個人情報保護漏洩対策、なぜ知っていてもできないのか
サイバー犯罪被害としての個人情報漏洩
近年、個人情報の漏洩と聞いて真っ先に頭に浮かぶのは、マルウェアによる不正アクセスなど悪意のあるサイバー犯罪被害でしょう。
たとえば2018年1月には『「カラーミーショップ」不正アクセスによるクレジットカード情報の流出』が起きています。このWebショップ運営サイトは調査結果として、独自アプリケーションの機能を悪用した不正アクセスが発生し、クレジットカード情報が最大12,141件、氏名・生年月日・電話番号などの個人情報が最大77,385件流出した可能性があると発表しました。(GMOぺパポ(株)公開情報より抜粋)
サイバー犯罪は年々巧妙化が進んでいますが、この事件ではどこから不正アプリケーションが侵入したのか、調査時には判明しなかったようです。
個人情報漏洩はうっかりミスで発生する
巧妙化・高度化が進むサイバー攻撃は耳目を集めますが、個人情報漏洩事例の原因の1位は「管理ミス」であり、2位が「誤操作」、そして3位に「不正アクセス」と続きます。つまり多くの原因は社員の「うっかりミス」となっています。
(NPO日本ネットワークセキュリティ協会 2017年6月14日「2016年 情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜」より)
2018年2月の管理ミスの事例を見てみましょう。
「社員が、会社の業務用パソコンに保存されている、個人情報を含む業務上のデータを、自宅で仕事を行おうと考えて無断で私物のUSBメモリ(1個)に複写して所持していました。2月2日(金)午後、業務のため外出しましたが、外出先から戻った際にズボンのポケットに入れたはずの当該USBメモリを紛失したことに気付き、上司に報告したことから判明しました。」((株)あしすと阪急阪神「個人情報を含むUSBメモリの紛失についてのお詫びとご報告」より抜粋)
この企業は個人情報委員会への報告や関係者へのお詫びなどその後の対応に追われましたが、意外な顛末を迎えます。
「2月9日、当該USBメモリが紛失した社員本人の自宅で発見され、今回、情報流出や不正使用はございませんでした。」(同「紛失したUSBメモリの発見について」より抜粋)
無事に所在が明らかになったことは不幸中の幸いですが、当事者にとっては生きた心地もしない一週間だったことでしょう。
現場の実務に即した研修だからこそ伝わる
多くの企業で個人情報保護や情報セキュリティの研修は行われていますが、年1、2回集まって一般的な内容の講演を聞くだけでは、実感として身に付きません。業務データをサーバーから取り出さない、社外に持ち出さない、そんな簡単なルールさえ守れないのが人間であり、だからこそ、「納得感をもって取り組みやすく、知識がきちっと頭に残って、日々の行動に生かせる」社内研修を実施する必要があるのです。
社員が個人情報を取り扱うような場面に直面したとき、「大丈夫」だと思うのではなく「要注意」と思って立ち止まるためには、その必要性やリスクを認識していなければなりません。当社のeラーニングは、ビジネスシーンを多用することで、社員が学習内容を「自分事」としてとらえることができるよう工夫をしています。さらに、貴社独自のメッセージやマニュアル、問い合わせ先へのリンクを設定するなど、貴社の使いやすいかたちへ自由にカスタマイズすることが可能です。教材内容を自社のケースに書き換えることもできます。
個人情報保護研修の詳細はこちらからご覧ください
月1回、社内教育ご担当者様向けにお役立ち情報のメルマガも配信しております。
ご購読はこちらよりしていただけます。