情報漏えい事故が世間を賑わせる中、「自分の会社には関係ない」と考えている中小企業も少なくありません。特に、大手企業の事件が注目されがちですが、実際には中小企業でもリスクは存在します。
そして、その被害はときに甚大です。
たとえば、近年、ある中小企業が大手企業の取引先として機密情報を漏洩させた事例が発覚しました。これにより、取引先との信頼関係が崩れ、大幅なビジネス損失を被ったのです。こうした事故を未然に防ぐためには、情報セキュリティ対策をしっかりと講じる必要があります。
中小企業を脅かす情報漏えいリスク
近年、サイバー攻撃や内部犯行による情報漏えいが急増しており、規模を問わず企業にとって情報管理が重要課題となっています。つい最近も、大手通信会社であるNTTドコモの顧客情報漏えいが大きく報道されました。この漏えい事故では、NTTドコモ自体ではなく、業務を委託していた企業から情報が流出したことが原因です。この事例は、取引先からの情報漏えいがどれだけ深刻な影響を及ぼすかを如実に示しています。
経済産業省が行った調査では、中小企業の約6割が「情報の管理ができていない」と自己評価していると報告されています。こうした背景から、企業は自社だけでなく、取引先にもセキュリティ対策を求めるようになっています。皆さんの会社でも、取引先企業の情報管理体制が不十分である場合、自社も影響を受ける可能性があるのです。
情報漏洩の事例3選:教訓と対策
近年、企業における情報漏洩事件が増加しています。ここでは、実際に起こった3つの事例を紹介し、その教訓と対策について考えます。
1. 外部攻撃:大手SNSサービスにてマルウェア感染により約44万件の個人情報が流出
概要
– 発生時期:2023年11月
– 被害内容:SNSサービスの利用者情報約44万件が流出した可能性
経緯
大手SNS会社と技術協力をしている企業の子会社の取引先のコンピューターがマルウェアに感染。共通の認証基盤を使用していた大手SNS会社のサーバも攻撃を受け、不正アクセスが行われました。
影響
– 利用者の個人情報約30万件
– 取引先の関連情報が9万件弱
– 従業員の関連情報が5万件強
教訓と対策
1. システムの共通化にはリスクがある:セキュリティの観点から共通化の範囲を慎重に検討する
2. サプライチェーンセキュリティの重要性:取引先や協力企業のセキュリティ対策状況も確認する
3. 早期検知と迅速な対応:不審なアクセスを素早く検知し、適切な対応をとる
2. 内部不正:大手通信会社の子会社、元派遣社員が約900万件の顧客情報を不正流出
概要
– 発生時期:2023年10月
– 被害内容:顧客の氏名、住所、電話番号などの個人情報約900万件が流出
経緯
大手通信会社の子会社に勤務していた元派遣社員が、クライアントから預かっていた顧客情報を不正に持ち出しました。システムの管理アカウントを使用してサーバーにアクセスし、個人情報を含む34個のファイルをダウンロード・コピーしました。
影響
– 約900万件の個人情報が流出
– 情報は名簿業者に売却され、過去2000万円以上の利益を得ていた可能性
教訓と対策
1. アクセス権限の厳格な管理:必要最小限の権限付与と定期的な見直し
2. 内部監視システムの導入:不正なデータアクセスや大量ダウンロードを検知する
3. 従業員教育の徹底:情報セキュリティポリシーの周知と定期的な研修実施
3. 人的ミス:尼崎市、市民約46万人の個人情報を含むUSBメモリ紛失
概要
– 発生時期:2022年6月
– 被害内容:全市民約46万人分の個人情報を含むUSBメモリを紛失
経緯
自治体から臨時特別給付金事務を受託する企業の再々委託先の社員が、データを無断で持ち出し、居酒屋で泥酔した際にUSBメモリを紛失しました。
影響
– 全市民約46万人の住民基本台帳情報
– 住民税、非課税世帯等臨時特別給付金の対象世帯情報
– 生活保護受給世帯や児童手当受給世帯の口座情報
教訓と対策
1. 外部記憶媒体の使用制限:機密情報の持ち出しを原則禁止し、必要な場合は暗号化を義務付ける
2. 委託先管理の徹底:再委託、再々委託先も含めた情報セキュリティ管理体制の確認
3. データアクセスログの取得:誰がいつどのデータにアクセスしたかを記録し、定期的に監査する
これらの事例から、情報漏洩は外部攻撃、内部不正、人的ミスなど様々な要因で発生することがわかります。企業は技術的対策だけでなく、従業員教育や委託先管理など、総合的なアプローチで情報セキュリティ対策に取り組む必要があります。
自社の情報セキュリティ対策を担保する認証制度
情報漏えいリスクに対処するため、企業はさまざまな情報セキュリティ対策を講じていますが、何から始めるべきか分からないという声も多いです。その一助として、多くの企業が情報セキュリティ認証制度を取得することで、対策を進めています。
有名な認証制度には「プライバシーマーク(Pマーク)」や「ISMS認証(ISO/IEC27001)」があります。これらの認証を取得することで、企業は顧客や取引先からの信頼を得ることができます。しかし、これらの認証を取得するためには時間やコストがかかり、中小企業にとってはハードルが高いというのが現実です。
技術情報管理認証制度(TICS):中小企業のための情報セキュリティ対策
2018年9月にスタートした「技術情報管理認証制度(TICS)」は、特に中小企業に適した新しい認証制度です。この制度は、国が定めた「技術情報の守り方」に従って管理が行われているかを評価するもので、従来の広範囲な情報管理を求める認証制度とは異なり、技術情報に特化しています。そのため、比較的簡単に対策を進めることができ、段階的にセキュリティレベルを向上させることが可能です。
当社は2022年6月より「技術情報管理認証制度」の認証機関となりました。これにより、事業者様が行っている情報管理が基準に適合しているかどうかを確認し、認定書を発行できるようになりました。
よくある質問(FAQ)
- 中小企業でも認証取得することはできますか?
-
はい、可能です。本制度では自社のレベルに合わせて対策を選択し、認証を取得することができます。規模が小さく情報管理の予算や体制が限られる事業者でも、認証機関の指導・助言を受けながら自社で対応できる対策を選択し、認証を取得できる制度になっています。
- 申請から認証を取得するにはおおよそどれくらいの期間や費用が必要ですか?
-
事業者の規模や情報セキュリティの取組状況、認証機関により異なりますが、一般的に以下の通りです:
– 期間:早い場合は1~2ヶ月
– 費用:数十万円程度ただし、認証を取得する部署を限定するなどの方法で、これらの期間や費用を低減できる場合があります。詳細は認証取得を希望される認証機関にお問い合わせください。
- 先進的な技術があるわけではないのですが、認証取得は可能ですか?
-
はい、可能です。本制度では、技術に関する事業活動に有用な情報の漏えいを防ぐ措置を認証しています。対象となる情報は以下のようなものが含まれます:
– 技術情報
– 研究開発の成果
– サービス業の店舗運営のノウハウ
– 顧客に関する情報認証取得に当たっては、自社内の守るべき情報を具体的に特定していただくことになります。先進的な技術の有無に関わらず、自社の重要な情報資産を適切に管理していることが評価の対象となります。
技術情報管理認証制度(TICS)は、中小企業にとって取り組みやすい情報セキュリティ対策の枠組みを提供しています。自社の状況に合わせて段階的に対策を進められるこの制度を活用することで、企業の競争力維持と信頼性向上につながることが期待されます。
技術情報管理認証制度の特徴とメリット
組織の強みを認証
技術情報管理認証制度では、企業の「強み」となる技術情報に特化して管理を認証します。これにより、他の認証制度に比べて比較的簡単に対策を進められます。
幅広い管理対象
電子情報だけでなく、製造設備や図面、ノウハウが詰まった完成品、紙媒体も管理対象に含まれます。
国主導による信頼性の向上
国が主導する認証制度であるため、お客様や取引先からの信頼を高めることができます。さらに、情報セキュリティへの取り組みを対外的に示すことができ、ビジネスチャンスが広がります。
リスク低減
認証を取得することで、情報漏洩や知的財産権侵害のリスクを減少させ、企業のブランド価値を守ることができます。
運用プロセスの改善
認証を取得する過程で、自社の運用プロセスを詳細に見直し、効率化を図ることができます。
補助金や融資の優遇
「ものづくり・商業・サービス生産性向上促進補助金」の審査で加点されるため、補助金申請が有利になります。また、日本政策金融公庫によるIT関連設備や長期運転資金の融資(IT活用促進資金)を特別利率で受けられます。
もし技術情報管理認証制度についてご興味がございましたら、Zoomやお電話での無料相談を承っておりますので、お気軽にお問い合わせください。
<参考>ものづくり・商業・サービス生産性向上促進補助金