あなたはテレワークが引き起こす情報漏えいについて、不安に感じていることかと思います。
働き方改革への取り組みや、今日のコロナ禍により、テレワークを導入する企業も多くなっていますが、あなたの会社では情報漏えいのリスクについて万全な対策を取っていますでしょうか。
テレワークは場所や時間にとらわれず仕事ができる、というメリットがある反面で情報漏えいのリスクが高まる、という見方もできます。
効率アップを狙って導入したテレワークが原因で情報漏えい事故が起きてしまい、対応に負われてしまうことに…こんなことに陥ってしまうと本末転倒です。
テレワーク導入の成功を望むのではあれば、この様な自体は間違いない無く避けるべきです。
この記事では、想定される情報漏えいの事故と、会社を守るための保険を解説していきます。万が一の事故で被る巨額の損失に襲われる前に、ぜひともお読みください。
1.テレワークは情報漏えいリスクを高めてしまう
テレワークの大きなメリットは『場所を問わずに仕事ができる』ところであるのは周知の事実です。しかしながら『場所を問わず』という点には大きなリスクもあります。
ハード面から見ると、会社とは異なるセキュリティ環境であることがひとつのリスクです。
いくら社内のセキュリティを強固にしていたとしても、従業員が社外で使うネットワークのセキュリティが不十分であれば全く意味のないことになります。
また、セキュリティのみならず【会社では無い】という点が緊張感を欠いてしまう可能性も否定できません。
例えば、自宅のリビング・喫茶店や飲食店などオフィスとは全く異なる環境で仕事をするため、どうしても気が抜けてしまう、というのが人の性ではないでしょうか?
実際に情報漏えい事故の統計を見ると、人的ミスが非常に多いことから、ただでさえあるリスクがさらに大きくなってしまう、という見方もできます。
1-1.情報漏えいの原因は80%が人的ミスによるもの
NPO法人 JNSAの調査による下記のグラフからわかる通り、実に漏えい事故の80%が人的ミスによるものなのです。
漏えい事故と耳にすると、どうしても外部からの攻撃、というイメージが付きがちですがそうではないのが実態です。
2018年 情報セキュリティインシデントに関する調査報告書より引用
ただでさえ人的ミスによる漏えいが多いということは、もしかすると働く環境が変わればさらにそれは多くなるかもしれません。
例えば、オフィスであればいつも目を光らせている少し怖い上司がいるけど、家では誰も見ていないのでリラックスし過ぎている、なども考えられるのでは無いでしょうか?
そのような環境下であればいつもでは起こらないような誤操作や単純なミスにより、大切な情報をメールで誤送信してしまい大騒ぎ、なんてこともあり得ます。
情報機器だけでなく紙の資料にもリスクはある
また、情報漏えいの対象はパソコンだけではありません。
大事な資料をダイニングテーブルに置きっぱなしにしていたら、何もわからず子どもが持っていってしまった、などもあり得ます。そのまま行方がわからず、ということであればこれは【情報の紛失】にあたります。
一般社団法人 日本情報経済社会推進協会によると、紛失であっても【個人情報の取り扱いにおける事故等】と定義付けられているため、個人、会社が責任を問われることも十分考えられます。
100歩譲って、資料が無事に見つかれば良いのですが、子どもがただの紙切れだと思って持ち出したものが実は顧客名簿でそれを持ってどこかに遊びに行って亡くしてしまった、なんてことがあった日にはもう目も当てられません。
ここで、実害こそ無かったものの社員の家族が情報を流出させてしまった事例を紹介致します。
【女高生が新商品情報を「流出」、謝罪 グリコ・ポッキー「CMは嵐の二宮」】
女子高生が自分の父親から聞いた話だとし、一般には公開されていない江崎グリコの新商品の写真、そしてCMに出演するタレントの名前を「ツイッター」で「流出」させた。ネットでは、娘に情報を漏らした父親には守秘義務があるはずだ、などと騒ぎになっている。
女子高生は過去にもブログで、父親が家に持ってきたという発売前のお菓子を写真付きで紹介していた。今回の「流出」については、騒ぎが大きくなったためか、「ツイッター」のアカウントを削除し、自身のブログで「多くの方や父に迷惑をおかけしました」などと謝罪した。
新商品「ポッキー ソルティ☆」写真アップ
「月代千里」と名乗る女子高生は2011年8月9日に「ツイッター」で、
「この新製品(まだ売ってない)のポッキー、嵐の二宮がCMするよ。本当ですよ」
などとつぶやいた。なぜそんなことを知っているのか、とツィートされると
「父が会社でお菓子の担当してるんだよね。 グリコ会社とも会議するし、その話でその ポッキーは二宮がCMすることに決めたんだって!」
と返答した。9月20日発売予定の新商品「ポッキー ソルティ☆」の写真もアップし、「塩味が効いてて美味しいですよ」などとアピールした。
ネットでは、流出させた女子高生も悪いが、守秘義務があるものを安易に家族にバラすのは脇が甘い、などといった意見が出た。
ブログを使って父親と関係者に謝罪
親子はお菓子の新商品について会話を交わすことが多いようで、女子高生の09年9月16日付けのブログには
「今日もお父さんが持って帰ってきたお菓子っwうっまそー!!発売はいつかは知らないが・・・楽しみ!」
などと書き、発売前と思われる沢山のお菓子の写真がアップされている。
ネットで騒ぎになっていることを知った女子高生は、自分が発した情報はウソだとし、
「ポッキーの件は信じないほうが身のためだぞ」
などと呟き、火消しに走った。
8月9日付けのブログでは、
「完全決定で無いのにかかわらずそのように言ってしまったこと、ポッキーの件、未発表にもかかわらず載せてしまったこと、ここで深くお詫び申し上げます。多くの方や父に迷惑をおかけしたこと、誠に申し訳ありませんでした」
などと謝罪した。
江崎グリコに今回の騒動について聞いてみたところ、「現在調査中」(同社広報)ということだった。ただし、現在のところ、これといった実害はなく、新商品もCMも、予定通りのスケジュールで発売、放映されるという。ただし、CMに起用するのは人気グループ「嵐」の二宮和也さんなのかどうかについては回答できない、ということだった。
いかがでしたでしょうか?
自身の家族ですら、漏えいの原因になってしまい、安心できないことがおわかりかと思います。
そして情報漏えいのリスクは社員のITリテラシーにも左右されます。
1-2.ITリテラシーの低さがトラブルを招く
テレワークが社会に浸透してきた昨今、ITリテラシーの低さ、がトラブルや悩みの原因になっているようです。
ここで、次世代の働き方を発信するニュースサイト【キャリネコ】に掲載されているニュースから実際の声を紹介します。
「WEB会議は心が伝わらない」 テレワークを阻むIT音痴な上司たち より引用
-
クラウドで使用している共用データフォルダをすぐ消してしまう。日々のExcelデータで使う、複雑に作った関数式を勝手に消してしまう」(30代女性/メーカー系)
-
「まるで国家機密でも扱うかのような謎のセキュリティの固さと、意味不明のルールでネットワークの不具合が続出した。その状況下でCTOの肩書を持つ役員が『不要なメールは送らない、不要なネットワーク接続は行わないこと』というメッセージを発信していた」
情報漏えいに直結するような話ではありませんが、【ITリテラシーが欠如している】という事実がそこにあります。
このことから想定できるリスクは、
- 社内にログインするためのパスワードを【123456】【abc123】【password】にしている、
- 自宅やサテライトオフィスなど、人の目につかないところでの仕事を指示されているのにも関わらず、ファミレスなどで作業をしてしまう(覗き見等のリスク)
ということが挙げられます。
ITリテラシーの欠如に世代は関係ない
必ずしも、IT音痴の上司世代、だけが高いリスクを持っているわけではありません。
PCやスマートフォンを使いこなせる若年層であっても、使い方を誤ってしまえば情報漏えいに繋がることもあります。
若年層についてはTwitter、Instagram、Facebookでアカウントを乗っ取られる、スパムメッセージをうっかり開いてしまいスマホに保存している情報が漏えいした、などが考えられます。
ですから、世代や年齢で偏った見方をせず、テレワーク導入の際にはITリテラシーについての研修を行う、など情報漏えいのリスクを低くする対策が求められます。
しかしながら、どんなに万全な対策を講じたとしてもリスクがまったく無くなる、ということは残念ながら考えにくいかと思います。
ここからは、万が一情報漏えいが起きてしまった後、リスクを軽減させるために必要な保険を解説していきます。
2.事故発生から解決までの3つのステップを手助けしてくれる情報漏えい保険
情報を1件でも漏えいさせてしまうと、企業はその対応に追われることになります。
応次第では企業のイメージダウン、風評被害といった社会的ダメージ、そして取引先からの取引停止や損害賠償請求などの経済的ダメージを負うことになります。
その様なときに備えて企業が加入しておくべきなのが、発生から解決までの3つのステップで手助けをしてくれる【情報漏えい保険】であり、会社を守るためには欠かせないものなのです。
ここからは、実際に事故が起きてから解決までのステップに沿って内容を解説していきます。
2-1.ステップ1:重要な初期対応のサポートを受けられる
まず、漏えい事故が起きた場合に重要なのが初期対応です。
この保険では初期対応で後手を取らないよう、対応方法のコンサルティングを受けることができ、それに要する費用も補うことができます。
例えば、
- 監督官庁への報告書作成のサポート
- 謝罪広告を出すべきか、会見を開くべきか、広告や会見の中身
- 被害者に対するお詫び文の書き方など
などが挙げられます。
関係者に対してどの様に初期対応をすべきか、迅速・的確にアドバイスを受けられ、ダメージを抑えることができます。
また、記者会見・メディアへの対応・謝罪広告の内容・などは会社のイメージに直結します。
ノウハウが無いまま適当な会見を行ってしまった、被害者への謝罪文が怒りを逆撫でるような内容だった、など対応に問題があると、余計なトラブルを生んでしまうことになります。
『ただでさえ情報漏えいが起きて大騒ぎなのに、対応がひとつまたひとつと増えてしまう…』 なんてことがあると、会社は後手後手になり、収集がつかないことも予想されますよね。
こういった事態を避けるためにも、初期対応のコンサルティングは非常に重要で、会社にとって心強い味方になるのです。
2-2.ステップ2:諸々の対応を実行するために掛かる費用を補う
ステップ1で受けたコンサルティング、アドバイスをもとに対応を進めていくことになるのですが、そこには莫大な費用が掛かります。が、この保険では対応費用もまかなうことができます。
ここで、【個人情報3万件を漏えいした】と仮定したとき対応にかかる費用例を紹介します。
|
お詫び状の作成・送付等 |
1,000万円 |
郵券代・消耗品等 |
|
コールセンターの設置費用・人件費 |
1,000万円 |
委託料や追加の回線費 |
|
お見舞金・お見舞品 |
1,500万円 |
1人500円×3万人 |
|
新聞等への謝罪広告掲載費用 |
1,500万円 |
全国紙・地方紙へTVCM等の広告費用 |
|
弁護士相談費用 |
120万円 |
被害者対応の相談 |
|
合計 |
5,120万円 |
|
上記の表から、千万単位の費用がかかることが想定され、会社は経済的に大きなダメージを負うことがわかります。
千万単位のお金をすぐに用意できるリッチな会社であれば問題はないのですが、実際には非常に難しいことかと思います。そのためにも、情報漏えい保険で高額な対応費用への備えを用意しておくことが必要です。
2-3.ステップ3:被害者への損害賠償金・裁判費用を補償する
残念ながら、コンサルティングを受け、対応を行ったとしても被害者から損害賠償請求をされてしまうことがあります。
記者会見や謝罪文、お見舞い品などで全ての被害者が納得する、ということは考えにくいため、一定数の損害賠償請求は覚悟しておくことが必要です。
そしてここで解説している情報漏えい保険では、
-
損害賠償金(被害者との和解にもとづいて払うもの)
-
弁護士費用、裁判に掛かる費用
を補うことができます。
では、実際に漏えい事故がどの程度の損害額になるのか、データに基づき解説をします。
2-4.漏えい事故は億単位の損害を生む!それに耐えられる補償額が必要
日本ネットワークセキュリティ協会が公表しているデータによると、漏えい事故は非常に大きな損害を被ることがわかります。
あくまで平均値ですから、必ずしもこの金額ではありませんが、一件あたりの漏えい人数と一人あたりの損害賠償額を半分にしても億単位の損害賠償が想定されます。
漏えい人数:6667人×想定損害賠償額:14,884円≒9,923万
また、マイナンバー、年収、身体情報、などプライバシー性の高い情報が漏えいした場合、賠償金が大幅にあがることも予想されます。このことから、情報漏えい保険の補償額は最低でも1億円必要だということがわかります。
ですから、これから保険への加入を検討する方は必ず1億円以上の補償を用意しましょう。また、すでに保険に加入している方は契約の内容を確認し、補償が少ないようであれば変更することをお勧めします。
ここまでの内容を簡単に整理すると、この保険には、
★正しい初期対応の方法を知ることができる→社会的ダメージの軽減
★対応に掛かる高額な費用、万が一の損害賠償金を補える→経済的ダメージの軽減
というメリットがあります。
記事の冒頭でお伝えをした通り、新しい働き方には新しいリスクも伴うため、漏えい事故から会社を守るために、この保険は必要であると考えられます。
まとめ
テレワークで起こり得る情報漏えいと、事故が発生したときに備えて加入すべき保険を解説してきました。
記事のなかでお伝えをした通り、情報漏えいは外部からの攻撃だけでなく、内部の人間、にも大きな要因があることがお分かりかと思います。これまでの働き方から、新しい働き方に変わる、ということは少なからず新しいリスクを生むことが予想されます。
コロナ禍において、企業も日々変化が求められる時代ですので、この記事をきっかけとして、情報漏えいについて改めて企業の体制を改め、リスクについて真摯にお考えいただければ幸いです。
