PCの社外持ち出しのリスクと情報漏洩対策とは?
感染症拡大の影響や働き方改革の推進により、テレワークが一般的なものとなりサテライトオフィスや自宅、カフェなど会社以外の場所で仕事をする機会も多くなっています。どこでも業務を行えることは便利ではありますが、一方で会社支給のPCを社外に持ち出すことには様々なリスクが伴います。
PCを持ち出すことはどのようなリスクがあるのか、企業はリスク軽減のためにどのような対策方法を講じればよいのかご紹介します。
企業が気を付けるべきリスク
情報漏洩事故は一度発生すると損害賠償の発生だけでなく、ブランドイメージの低下や社会的信用の失墜など様々な影響が出てくる可能性があります。コロナ禍を経てテレワークが定着している中、企業においてはPCの社外持ち出しにおける情報漏洩対策の実施が求められています。
さらに、令和4年4月に施行された改正個人情報保護法では、法令違反に対するペナルティが強化(措置命令・報告義務違反の罰則について法定刑の引き上げ、法人に対する罰金刑を引き上げ)され、個人情報の取り扱いに対する意識が高まっています。
近年では、ウイルス感染・不正アクセスによる情報漏洩が増えていますが、PCなどの端末の紛失や盗難が原因の情報漏洩も多くあります。ここでは代表的なリスクについて解説します。
盗難や置き忘れによるPCの紛失
社外に持ち出したPCの盗難や紛失することによる情報漏洩のリスクです。
PCを入れていたバッグを立ち寄った店舗や電車に置き忘れてしまう、置き引きされる、車上荒らしに遭うなど、PCを社外に持ち出す機会が多いほど、盗難・紛失の危険性は高まります。PCに顧客の情報や社外秘の資料が保存されていれば、それらが情報漏洩してしまう可能性があります。
また、保存されていたデータの特定や影響が及ぶ取引先や関係者への報告・謝罪・損害賠償など膨大な対応工数やコストがかさむことになります。
外出先の公衆Wi-Fi利用時のウイルス感染
カフェや公共の場所等で公衆Wi-Fiを利用し、インターネット経由でPCがウイルス感染してしまうことによる情報漏洩のリスクです。
最近は公衆Wi-Fiが利用できる店舗や公共の場所が多くなっています。安全性の高い公衆Wi-Fiもありますが、有名なWi-Fiサービスの名前を偽る悪質なWi-Fiも存在します。
しっかりしたセキュリティ対策が講じられていないWi-Fiを安易に利用すると、通信傍受やマルウエア感染、不正アクセスに繋がる可能性があります。悪意のある人物に情報が渡ってしまうと、セキュリティトラブルに発展します。
意図しないヒューマンエラーによる情報漏洩
自宅等、会社外での意図しないヒューマンエラーによる情報漏洩のリスクです。
情報漏洩というと多くの人がウイルス感染や不正アクセスによって、情報を盗み取られるケースを思い浮かべるかと思いますが、ヒューマンエラーによる情報漏洩にも気を付けなければなりません。重要な情報が書かれたメールを誤った宛先に送るなどのメール誤送信、ファイルのアクセス権の設定を誤り、外部から閲覧可能になってしまう設定ミスなどがあります。
また、自宅のWi-Fi環境が安全である保障はありませんし、席を外した際に家族がPCを操作し、意図せず情報漏洩をしてしまう危険性もあります。会社とは異なりプライベート空間といった場所で業務に当たる事は時には集中力が低下する場面が想定されます。あらかじめ間違った操作が出来ないようシステム設計することも有効です。
ショルダーハックによる情報漏洩
ショルダーハックとは背後や横からPCの画面などを盗み見られて、情報を取得されることです。
自分の後ろや横に注意するだけでなく、時には望遠カメラで遠くからのぞき見されることもあります。その際に、画面上に顧客情報や機密情報が表示されていれば情報を不正に取得されます。覗き見防止フィルターを使用したり、テレワークの場所はよく検討する必要があります。
個人情報漏洩の事例
近年発生した端末の紛失や盗難が原因の個人情報漏洩事例についてご紹介します。
- 病院における患者の個人情報流出
・原因:ノートPC1台が所在不明
・流出した可能性のある個人情報件数:1,971件
・事象発生後の対応:監督官庁へ届け出→警察に被害届を提出→公式ホームページに「お詫び」を掲載→対象となる患者に、お詫びと紛失の経過を書面で送信→問い合わせ窓口の公表 - ガス業における個人情報に係わる顧客情報の流出
・原因:顧客情報が記録された可能性のある外付けハードディスクドライブ(HDD)1台の紛失
・流出した可能性のある個人情報件数:31,463件
・事象発生後の対応:管理体制の見直し、情報管理ルールの再徹底→公式HPにお知らせ掲載→問い合わせ窓口の公表
個人情報を保存しているPCなどの端末においては、情報が悪用されたと見られる事実がない場合でも、紛失した時点で情報漏洩事故として対応していく必要があります。いかに端末にデータを残したままにしない、万が一紛失した場合でも遠隔で端末を管理できる仕組み作りをしていくことが重要です。
リスクへの対策方法
企業が気を付けるべきリスクや実際に起こった情報漏洩の事例をご紹介しました。情報漏洩は企業として必ず避けたいものですが、情報漏洩のリスクを軽減し事前に防ぐためには、どのような対策を講じるべきなのでしょうか。4つの対策方法をご紹介します。
PCなどの端末や記録媒体のIT資産情報の徹底管理
情報漏洩事故を未然に防ぐ、または万が一事故が発生した際に原因の特定や影響範囲を調査するためには現在誰が、どの端末や記録媒体を利用しているかを把握することが必要です。厳格に管理されていれば利用者本人の責任感も高まり、置き忘れなどのヒューマンエラーの防止に繋がります。
IT資産情報管理ツールを活用し、ノートPCやスマホ等の端末、USBメモリ等の記憶媒体において、利用者や端末の数、操作ログを可視化し、チェックしていくことが重要です。
PCのデータレス化
PCに個人情報や機密情報等の重要データを保存させないというのも情報漏洩事故を未然に防ぐための有効な方法です。
現在、PC内のローカルデータを自動でクラウド等へアップロードし、シャットダウン時にPCからローカルデータが削除されるデータレス化サービス等が注目されています。PCにはデータは保存されず、万が一の端末の盗難・紛失時の情報漏洩リスクを低減します。
セキュリティソフトの導入
セキュリティソフトを導入することで情報漏洩のリスクは軽減されます。リモートワークではセキュリティ対策が施された会社のネットワーク外で業務にあたることになります。
社内でははねのけていた不正アクセスがPCを持ち出すことで攻撃を受ける可能性があります。ウイルス感染に気づかず会社ネットワークに接続すると、会社ネットワークにウイルスを持ち込むことになります。セキュリティソフトを導入しウイルスの感染リスクを減らすことが重要な情報を守ることに繋がります。
PC紛失時のリモート操作
持ち出したPCの盗難・紛失が起こった時点で、PCを使用できないようロックをかけたり、データの消去ができるよう、リモート操作ができるようにしておきましょう。盗難、紛失時に第三者によるPCの不正操作や情報漏洩を防止できます。
まとめ
多様な働き方が推進され、コロナ禍を経てテレワークを継続する企業も数多くあります。テレワークで働く社員が増え、様々な場所でPCを使用するようになると、情報漏洩のリスクも増加します。今後も企業における情報漏洩対策の重要性は高まっていくでしょう。
今回はPCを持ち出すリスクとその対策についてご紹介しました。もし情報漏洩が起きた際は迅速に適切な対処・原因究明が必要になります。PCをどのような場所で使用しても企業として適切な対応ができるよう、対策を事前に講じておきましょう。
三和コンピュータでは、IT資産情報管理ツールや、端末のデータレス化サービス「NEC Cloud File Sync」を取り扱っています。「NEC Cloud File Sync」は端末のデータレス化によって盗難・紛失時の迅速な情報漏洩対策を実現することができます。下記ページでサービスをご紹介しています。ぜひご覧ください。
