JAPHICマーク取得企業は、すべての従業員が一丸となって個人情報保護に関する体制を強化しています。
しかし、どれだけ個人情報保護体制を強化しても、偶発的脅威のリスクを完全に排除することはできません。
今回は、JAPHICマーク取得企業における偶発的脅威の対策について解説します。
偶発的脅威の概要
偶発的脅威は、主に企業における従業員が引き起こすミスによる脅威です。
何かしらのミスをしたことにより、情報システムに障害を引き起こしたり、個人情報を含む重要な情報が漏えいしたりします。
ヒューマンエラーとも呼ばれる偶発的脅威は、人間が業務や情報システムの運用を行っている限り、100%なくすことは不可能です。
もちろんミスが原因であるため、従業員の意識が高ければ排除できるというものでもありません。
こちらはJAPHICマーク取得企業も例外ではなく、いまだに偶発的脅威による被害で個人情報の漏えいなどが起こり、信頼性を失ってしまう事例が散見されます。
主な偶発的脅威の例
JAPHICマーク取得企業が注意しなければいけない偶発的脅威の例としては、主に以下のことが挙げられます。
・設定ミス
・誤廃棄
・置き忘れ
・操作ミス
各項目について詳しく説明します。
設定ミス
従業員による自社のウェブサイトなどの設定ミスにより、個人情報などの情報が漏えいしてしまうことがあります。
例えば、本来ウェブサイトの管理権限者しか閲覧できない個人情報を、アクセスした全員が閲覧できるように誤って設定してしまうなどのミスです。
またメールの設定ミスにより、全員のメールアドレスが受信者間で閲覧できる状態になることも、事例としては多いです。
誤廃棄
紙媒体によって多くの個人情報などを保管しているJAPHICマーク取得企業では、誤廃棄が起こるリスクも高くなります。
誤廃棄は本来必要な情報が記載された書類や、正しい手順を踏んで処分しなければいけない書類について、誤って廃棄してしまうことです。
また、誤廃棄には従業員だけでなく、古紙回収業者などによって行われるケースもあります。
例えば廃棄する予定のなかった書類について、古紙回収業者が誤って回収してしまい、廃棄するようなケースです。
置き忘れ
従業員が外部に個人情報などが記載された書類、デバイスを持ち出す場合、置き忘れのリスクもあります。
例えば、オフィス以外のワークスペースや電車、タクシーなどに媒体を置き忘れてしまうというケースはよくあります。
また最悪の場合、個人情報の漏えいだけでなく、置き忘れたデバイスによる二次被害が発生することも考えられます。
操作ミス
操作ミスは、もっとも初歩的な偶発的脅威だと言えます。
代表的なものとしては、メールの誤送信が挙げられます。
例えば、取引先Aに送信するはずのメールにもかかわらず、誤って取引先Bに送信してしまうケースは、非常にシンプルな操作ミスです。
偶発的脅威の主な対策
無知による偶発的脅威については、教育の実施やダブルチェック、トリプルチェックを行う手順などの導入が必要です。
また偶発的脅威は人が要因となって起こるため、できるだけ人が処理を行うプロセスを排除することも大切です。
さらに働きやすいもしくは作業のしやすい環境であれば、従業員の手元の作業においてのミスを軽減させることが期待できます。
ちなみに、近年は置き忘れなどの偶発的脅威を防ぐために、個人情報などが含まれた書類やデバイスの持ち出しを一切禁止する企業もあります。
まとめ
JAPHICマークを取得している時点で、その企業の従業員はある程度の情報リテラシーを持っていることが予想されます。
しかし日々新たな教育を継続しなければ、従業員に油断が生まれたり知識が不足したりして、偶発的脅威の被害に遭うリスクが高まります。
また従業員を教育するだけでなく、経営陣が現場の業務環境を見直し、適宜改善することも大切です。