防災・BCP・リスクマネジメントが分かるメディア

もしも会社のパソコンを紛失し、機密情報が漏洩したら…対処と再発防止方法を考える

「パソコンのセキュリティ対策はパスワードをかけて、ウイルス対策ができていたら万全」そんな風に思っていませんか?

喫茶店や電車の網棚への置き忘れ、路上荒らしによる盗難……。会社のパソコンを社外へ持ち出すとき、パソコンの紛失の危険はさまざまなところに潜んでいます。

たった一度でも情報漏洩してしまうと、企業への懸念や不満が湧き上がり、顧客からの信用を失ってしまうだけでなく、会社の収益も大きく下がってしまうことにつながりかねません。一度失った信頼を取り戻すのは非常に困難なこと。会社の経営自体が揺らぐ事態に発展する場合もあります。

こういったトラブルをなくすためには、紛失事故が生じたとき、あらゆる対策をスピーディに行う必要があります。この判断にあたっては、経営、広報、技術、法律など多くの要素を考慮する必要があり、総務が束ね役となって、組織一丸で解決にあたることが重要です。もしもパソコン紛失という非常事態に落ち入ったらどうするべきか、総務がどう対応すればよいかを解説します。

従業員がパソコンを紛失したときの考えられる脅威


会社用のパソコンには、仕事に関するメールや資料、顧客や連絡先の個人情報が大量に保存されています。パソコンの紛失は、顧客や利用者のプライバシー情報にせよ、会社の機密情報にせよ、第3者に渡ってはならないデータが野ざらしになる危険を伴います。

もし顧客情報が流失し、悪徳業者や詐欺グループの手に渡ったら、不審なダイレクトメールの発送や振り込め詐欺に悪用されるおそれがあります。流出元となった企業のイメージは大きく低下し、損害賠償を請求される可能性もあるでしょう。

会社の経営に関わる機密情報が外部に漏れれば、株価の下落、ブランド力の低下は免れられません。わずか1台のパソコンの紛失が、会社の経営を揺るがしかねない事態に発展しうるのです。

被害者の方への対処方法


もしもパソコンを紛失してしまったら、企業に関する機密情報の漏洩や個人情報の漏洩が発生するリスクが考えられます。どうして、どこで無くしてしまったのか、情報をまとめるとともに、被害者に対する謝罪をすることがとても大切です。

まず、漏えいが起きた個人情報の持ち主への通知、ホームページやマスコミなどによる公表を行う必要があります(個人情報保護法第7条に定められています)。

漏えい事故の公表の第一歩としては、個々の被害者のメールアドレスなど連絡方法を確認し、個別に謝罪と簡潔な事情説明を兼ねたメールや手紙を送信するのが一般的です。また同時に、通常はWebページの目立つところに謝罪と事情説明を兼ねた文書をアップします。

事情説明では、「どのような個人データが」、「いつ」、「どのような規模で」流出したかといった経緯を、なるべく具体的に説明します。詳細な情報を公開することで、被害者の不安が膨らむことを防ぐためです。特にクレジットカード番号が漏えいしたケースなどにおいては、被害者本人が二次被害を防止するための対策を講じる必要があるため、納得してもらえるような事情説明が不可欠です。

紛失当事者への対処方法と、再発防止策


会社の重要な情報漏洩の脅威について、どれほど教育、指導し、従業員に注意を呼び掛けていても、人的ミスを完全になくすことはできません。

万が一、従業員が会社のノートパソコンを紛失してしまった場合、会社側としては次の3点を速やかに行う必要があります。

■すぐ報告させる
パソコンを紛失しても、「もう少し時間をおこう」「会社にバレたらどうしよう」「自分で探してから」といった考えで、すぐに社員が報告してこないケースがあるかもしれません。

しかし、会社の業務に関する資料や取引先の情報、顧客の個人情報など、重要な情報を失ってしまったとき、少しでも対応が遅れれば、これらの情報が流出して拡散し、関係者全員に大きな被害をもたらす恐れが高まります。

従業員がパソコンを紛失したときにはすぐに会社に報告させるよう、普段から指導を徹底しておきましょう。

■被害者の方に謝罪
「どのような個人データが」、「いつ」、「どのような規模で」流出したかの情報を整理し、被害者の方に謝罪をします。

情報漏洩により、被害者の方が二次災害に遭わないよう、個々の被害者に対して謝罪の連絡を入れ、同時にWeb上で詳細な情報を説明しなければなりません。

■迅速なヒアリング

紛失を把握した会社は、警察や紛失場所の管理者(鉄道会社担当窓口、店舗窓口など)などとの間で速やかな対応が必要になります。これに先立って、紛失時の正確な情報を従業員から聞き取る必要があります。

保存されている情報の内容(種類や量)、紛失したパソコンの特徴と紛失時の状況(機種や容量、パスワード設定の有無など)、紛失までの具体的な経緯など、ポイントを押さえて報告させることによって、会社による事後対応のスピードが向上します。「5W1H」の観点で調査し情報を整理するとよいでしょう。

ここでいう「5W1H」とは、具体的には下記を意味します。

【ヒアリングのための5W1H】
(1) Who:紛失、盗難の当事者は誰か?
(2) What:何(物)が紛失、盗難に遭ったのか?
(3) What:紛失、盗難の対象物に格納されていた情報は何か?
(4) When:いつ紛失、盗難が発生したのか?
(5) Where:どこで紛失、盗難が発生したのか?
(6) Why:なぜ紛失、盗難が発生したのか?
(7) How:紛失、盗難が判明した理由は何か?

上記内容もふまえて、始末書や報告書が作成されます。

そのうえで、会社は抜本的な再発防止策を検討し実施しましょう。調査報告書を経営陣に示し、被害者に対する損害の補償などについて必要な措置を行います。内部職員の責任などについても必要な処分手続きを行います。これらについて必要に応じて情報を開示する必要もあります。

あわせて、パソコンの保管方法や持ち出し、情報の暗号化やアクセス制御、およびその徹底など、問題点を総合的に検討し、二度と失敗が繰り返されないよう改善します。

情報セキュリティに関する危機管理能力の教育とは


上記したような対策は、総務が主体となって企業や組織全体におけるルールとして決め、周知を図るとよいでしょう。

ただし、これらの対策はいずれも情報漏洩に対するリスクを「軽減」するだけのものであり、事故を防ぐための万全な対策にはなりえません。やはり外部にノートパソコンを持ち出した場合には、情報セキュリティ上の危険性を伴うという事実を念頭に置き、そのことを従業員各自に理解させることが大切です。セミナーや講習会を定期的に開き、従業員の意識に次の事項を「刷り込む」ことが、危機管理上の教育として大事な意味を持ちます。

■重要情報を、外部への持ち運び用パソコンに保存させない
まず、持ち出すパソコンに大量の顧客情報や業務資料を保存させないことが大切です。これは、紛失した際の損害を最小限に食い止めるためです。
また、終了した案件に関する資料を持ち出し可能なパソコンに長期間保存させないことも大事です。これにより、無用な情報流出を避けることができます。

■暗号化、パスワード設定
仕事の都合上、どうしてもパソコンを持ち歩かなければいけない場合は、紛失に備えてファイルを暗号化させたり、パスワードを設定させたりして、第三者が簡単にファイルを開けないように、指導しましょう。

■仕事量、業務スタイルの改善

会社から情報を持ち出さなければ仕事ができない状況自体が問題となるケースもあります。たとえば、割り当てられた業務量が多すぎて職務時間内では仕事をこなせず、自宅への持ち帰り残業が長時間発生しているようなケースです。

この場合は、パソコンの持ち出し以前に、仕事の割り振り方に問題がある可能性があります。職場全体に目をやり、日々の業務スタイルを改善するように促しましょう。

■紛失リスクの啓発と注意喚起
パソコンの紛失は、個々人のうっかりミスや注意不足によって起きるのがほとんどです。結局のところ、社員一人ひとりが紛失時のリスクを認識し、注意をしなければ情報流出は防げません。紛失が会社にもたらす影響の大きさと責任の重さについて啓発し、十分な注意を呼びかけることが欠かせません。

なお、組織全体としてのルールを明確に決めて、従業員に順守させることも、社内の危機管理を担う総務の大切な仕事です。たとえば以下のような規則が考えられます。

【紛失リスクを軽減するための社内ルール例】
■外部にノートパソコンを持ち出す場合には、事前の申請を義務づけます。可能であれば、持ち出す情報の種類(個人情報、機密情報など)や内容(顧客名簿など)、目的も申請させましょう。
■万が一、実際に事件や事故が発生した場合の対処策や責任の所在を明確にしておき、申請時に確認させるようにします。

まとめ

パソコン紛失に伴う情報漏洩はどの企業にも起こりえることで、決して他人事とはいえません。万が一の事態に備え、被害者の方と、問題を起こした従業員への対応を、あらかじめ頭に入れておくことが、会社を裏方で支える総務に求められます。

問題が起きたときに何より大事なのは、迅速かつ誠意ある対応です。会社の命運を左右しかねないトラブルであるだけに、十分な事前知識を備えておきましょう。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です