企業の情報セキュリティと個人情報保護対策
<社会保険労務士法人 出口事務所 代表社員 出口裕美/PSR会員>
個人情報に関する法整備が進み、個人情報保護に対する世間の注目度は年々高まっていますが、漏洩事故は増えています。
東京商工リサーチの調査によると、2023年に漏えいした個人情報は4,090万8,718人分(前年比590.2%増)で、事故の要因は「ウイルス感染・不正アクセス(53.1%)」が1位、次いで「誤表示・誤送信(24.5%)」、「不正持ち出し・盗難(13.7%)」、「紛失・誤廃棄(8.5%)」となっています(データ出典:株式会社東京商工リサーチ 2023年「上場企業の個人情報漏洩・紛失事故」調査)。
個人情報流出が企業経営に与える影響
社会的信用の失墜
個人情報の流出が起きると損害賠償が発生するだけでなく、顧客や取引先からの社会的信用を低下させてしまうことになります。
社会的信用が落ちたり、評判が悪化したりすることで、顧客や取引先が離れていくこともあります。
利益や売上の低下
新規で営業をすることも自粛しなければならないという状況になると、本来見込めた売上まで失い、収益が低下することになります。
業務効率の低下
個人情報流出がメディアなどで報道されると、顧客や取引先等からの問い合わせが殺到したり、SNS等での誹謗中傷の書き込みが増えたりします。
それらに対応することで、従業員の業務効率が低下するだけではなく、士気も低下してしまうおそれがあります。
株価の下落
社会的信用や企業イメージの低下は、株価下落などに繋がる可能性もあります。
上場企業の場合には、個人情報流出により企業価値が損なわれたとして、株主から役員の責任を追及する声が強まる可能性もあります。
対策費用
個人情報流出が起こると顧客から損害賠償を請求される可能性があります。
また、企業が自主的に「お詫び」を配る場合がありますし、顧客等に損害が発生した場合は損害賠償の支払いに応じなければならないことがあります。
これらの問題を収束させるための費用に加えて、再発防止策の実施など、問題収束後も引き続き費用が増える可能性もあります。
個人情報流出の原因
サイバー攻撃や不正アクセス、ウイルス感染などの外部原因
情報流出・漏洩を引き起こす原因として、サイバー攻撃や不正アクセス、ウイルス感染などが挙げられます。
ネットワークを通じてパソコンのシステムを攻撃・破壊されたり、内部の情報が抜き取られたり、第三者が悪意をもって企業のサーバーやシステムにアクセスしたりして、情報が漏洩・流出した事件が少なくありません。
外部からウイルス付きのメールが送信されたり、アクセスしたサイト上でウイルスに感染したりして、情報漏洩・流出だけでなくシステムダウンなどの被害が生じることもあります。
人為的なミス・誤送信などの内部原因
社内の人間が、メールの送信先を間違えたり、誤って個人情報をウェブ上に掲載してしまったりするなど人為的なミス・誤送信で個人情報が流出・漏洩することがあります。
従業員が個人情報の入ったパソコンやUSBなどを持ち出し、社外に置き忘れたり紛失・盗難に遭ったりして、情報が流出するケースも少なくありません。
個人情報流出が起きた場合の対応方法
お詫び
個人情報流出が起こると、流出した個人は第三者に悪用されるリスクを負ってしまいます。
お詫びは迅速に行い、個人情報流出に関する内容、何の情報が流出したかなど、できる限り丁寧に説明する必要があります。
問い合わせ窓口の設置などにより被害者に対して企業として正しい情報を伝えていく必要があります。
二次被害の防止
個人情報流出が起こった場合、被害を最小限に食い止めることが最も重要であり、そのための応急処置を取る必要があります。
メール・文書の誤送信・誤送付の場合は、直ちに連絡し、削除を依頼します。
紛失・盗難の場合、警察等への届出や可能性のある場所を捜索し早期に見つけ出すことも重要です。
状況整理
社内に個人情報流出が起こった可能性を伝え、該当する従業員から状況確認をします。
個人情報が通常どのように管理、利用されているかを把握することで、個人情報流出が起こった当時も適正な扱いができていたかを確認することができます。
公表・発表
ホームページ上に文書を掲載し、記者会見などメディアを通して伝える場を設定する場合もあります。
個人情報保護委員会へ漏洩等報告の提出をしなければなりません。
再発防止策を検討
個人情報流出の経緯や原因を徹底追及した上で、再発防止策を検討・実施します。
発生した原因が人為的なミスであれば同じミスがおきない業務フローに変え、悪意ある第三者が盗み取った場合であれば同じ方法でアクセスできないようにセキュリティを再強化する必要があります。
個人情報流出が起きた場合の対策
情報漏洩に対する社内教育
個人情報の取り扱いについて、社内で定期的に教育・研修行い、従業員の意識を向上させるよう工夫する必要があります。
個人情報流出は決して他人事ではなく、自分自身のちょっとしたモラルの低い行動が起こしてしまう可能性も十分にあるということを意識づけましょう。
社内ルールの策定
個人情報保護法の改正により、個人情報を取り扱う全ての人が個人情報保護法に従う義務が発生しました。
あらゆる社員の個人情報流出を防ぐためには社内に個人情報を取り扱う際のルールをしっかり定めておく必要があります。
システムによる対応
テレワークの普及によりパソコンを会社の外に持ち出す機会が増え、盗難などに遭遇する確率も高くなっています。
そのような状況下で、個人情報流出事故をシステムで防ぐ方法として、例えば、シンクライアント(端末のハードディスクにデータを残さない仕組み)などがあります。
また、人為的ミスの中で最も多いメールの誤送信に対しては、誤送信対策システムの導入もおすすめです。
まとめ
個人情報流出は、常に進化する不正アクセスによるもの、また、人が個人情報に関わる上で避けられないヒューマンエラーによって起こります。
個人情報流出が企業に与える影響は大きく、社会的信用の低下などこれまで築いてきた信頼関係を壊すことにつながります。個人情報流出を防ぐため、働き方に合わせた施策の検討も進めていきましょう。
プロフィール
出口裕美
社会保険労務士法人 出口事務所(https://www.deguchi-office.com/)
代表社員 特定社会保険労務士
2004年に社会保険労務士事務所を開業。出産を機に、育児と仕事の両立のためテレワーク(在宅勤務)を開始。2014年に社会保険労務士法人出口事務所に法人化。2017年にテレワーク(サテライトオフィス勤務)を開始。2020年に新型コロナウイルスの取り組みの様子をメディアにて紹介。
経営者と社員が継続的に安心して働ける環境を構築するため、インターンシップ、ダイバーシティ(雇用の多様化)、テレワーク、業務管理システム等を積極的に導入し、また企業への導入支援コンサルタントとしても活動中