セキュリティの
学び場

今回の解説ニュース

元社員が顧客情報を持ち出してしまい、個人情報の漏洩となってしまったということです。退職者によるインシデントを発生させないための対策や、性善説によるセキュリティ対策の課題について説明します。

今回のインシデントは、元社員が転職先企業に顧客管理リストを持ち込み、営業活動に一部使用していたというものです。原因として、退職時に個人情報の持ち出しが無いことについて誓約書へ署名していたにもかかわらず、業務引継ぎの際に使用した顧客管理リストを印刷し、退職後も不正に自宅で保管していたことが挙げられています。

対策として、該当する顧客に個別に郵送等で連絡を行っており、顧客管理リストが廃棄処分されたことを確認しています。再発防止策として、退職予定者による顧客情報アクセスの制限、印刷制限等の措置を強化するということです。

退職者によるインシデントを発生させないための対策

退職者によるインシデントを発生させないための対策として、日々の情報持ち出しへの対策を徹底した上で、退職者へ違反した場合のリスクを正しく伝えることが重要です。

まず、退職前後だけでなく、日々の情報持ち出しへの対策が重要となります。具体的には、アクセス権を適切に制限し、物理的にも技術的にも、必要な情報へのアクセスのみを許可します。また、ネットワークやシステムの監視を行い、印刷できるファイルを制限したり、個人のクラウドサービスなどへデータがコピーされたりすることを検知できるようにします。特に、顧客情報や機密情報は暗号化するなどして、再利用できないようにしましょう。

また、情報を持ち出した退職者に対する法的措置をあらかじめ明確化し、刑事と民事の両面で責任が追及される可能性があることについて、本人と共有しておくことも重要です。具体的には、個人情報保護法に違反した場合、刑事罰が科される可能性があることや、顧客情報の漏洩により損害賠償責任を負う可能性があることを、退職者に対して共有するようにしましょう。

性善説によるセキュリティ対策の課題

性善説によるセキュリティ対策の課題として、悪意を持った攻撃者や内部犯行、人為的なミスなどが挙げられます。

性善説は人が基本的に善良であり、悪意を持って行動することはないという考え方ですが、現実的には悪意を持った行動も存在するため、性善説に基づくセキュリティ対策には限界があります。例えば、悪意を持った攻撃者の存在は、不正アクセスやマルウェア感染を引き起こします。

また、従業員の中にも、故意または過失によって情報を漏洩してしまう人が存在する可能性があります。例えば、今回のインシデントのような故意の情報の持ち出しだけでなく、情報の取り扱いに関する認識不足などが原因で、過失による情報の漏洩も考えられます。

さらに、人為的なミスにより意図せずとも情報を漏洩してしまうことも考えられます。例えば、フィッシング詐欺に引っかかってしまったり、USBメモリなど外部記憶媒体を紛失してしまうことなどが挙げられます。