企業の情報漏えい対策の種類について教えてください。

「別表」

<企業情報漏えいの大まかな類型>(筆者による)

① 情報管理上の過誤

② 内部からの意図的な情報窃取(持ち出し)

③ 外部からの情報窃取行為(ハッキング等)

前回示した情報漏えいの大まかな3類型(「別表」)について、具体的に説明すると以下のとおりである。

1 情報管理上の過誤

企業情報漏えいが、企業の従業員もしくは企業より情報管理を委託されている者(業者等)の過失により発生するケースである。筆者の実感では、企業情報漏えいの一番多くのパターンであると思われる。

具体的な事例としては、

(a)定期的に自社の顧客や取引先へ照会文書(たとえば金融機関であれば預金者の残高やローン取引履歴、取引先であれば債権残高等)を送付しているところ、送り先を間違ってしまった

(b)特定の取引先に自社が提供する商品内容のデータを送信しようとしたところ、別の取引先や、全く関係のない第三者にパスワードもかけずに(あるいは、パスワードを一緒に)誤送信してしまった、

(c)企業情報の入っている資料を社外に持ち出していたところ、その資料を社外で紛失してしまった(このような事案では、往々にして資料の社外持ち出しが禁止されていたという場合もある)―といった事案が多くみられる。

 

2 内部者からの意図的な情報窃取(持ち出し)

次に考えられる類型としては、企業情報を取り扱っている従業員や企業情報にアクセスできる従業員らが、意図的に企業情報を持ち出して外部に漏えいするといったパターンである。具体例としては、以下のようなものが挙げられる。

(a)社員が企業情報を不正に持ち出し、名簿業者に有償で売却した(ベネッセコーポレーションの事案等)

(b)社員が会社を退職する際に、在職中にアクセスできた情報を社外に持ち出し、転職先に提供するか、転職先での自己の業務に使用した

(c)会社の技術情報を取り扱っていた社員(または業務提携していた企業の社員等)が、会社の技術情報を持ち出して競業他社に提供した(東芝の事案等)

 

3 外部からの情報窃取行為(ハッキング等)

インターネットの普及により、インターネットを介した外部者からの情報窃取が急増している。これについても具体例をあげると

(a)企業情報を管理していた会社のパソコンに第三者の作成したコンピューターウィルスやスパイウェアが入り込み、そこから企業情報が外部に流出する

(b)インターネットに接続している会社のパソコンに第三者が不正に侵入し(クラッキング)、企業情報を窃取する

といった事案が多くみられる。

(次回に続く)

労働新聞社「週刊 労働新聞」第3035号掲載・連載「管理者必見!! 実践的情報漏えい対策」第1回(岡芹健夫)の最初の3分の1部分に加筆補正のうえ転載