従業員による不正持ち出しへのガ象さんの対策

近年DX(デジタルトランスフォーメーション)という言葉がささやかれ、IT導入が一気に加速しています。IT化がDXというわけではないのですが、それはまた別として、その一方で不正アクセスなどの情報漏えいのニュースが後を絶ちません。

情報漏えい事故の状況

東京商工リサーチが2023年の上場企業の個人情報漏えい・紛失事故の調査結果を公表しています。それによりますと、事故件数は175件で2012年に調査開始以降3年連続で最多件数を更新しているとのこと。情報漏えいといえば、ウイルス感染や不正アクセスによる外部からの攻撃によるものを想像すると思います。情報漏えい・紛失事故の原因別でみると「ウイルス感染・不正アクセス」が53.1%で最も多い原因となっています。

情報漏えい・紛失 原因別グラフ

ただ、注目すべきは「不正持ち出し・盗難」が13.7%で、前年の約5倍に増加している点です。(2023年:24件、2022年:5件)

ランサムウェア(身代金要求型ウイルス)が顕著に話題になっており、外部による巧妙な犯行にセキュリティ対策が急務となっていますが、社内が原因になる被害にも目を向けておかなければならないことを表しています。

昨今取り上げられる不正持ち出し

上記のように機密文書のUSB等の媒体を用いた不正持ち出しが昨今問題となっています。社内の技術資料を他社に提供したり、顧客リストを名簿業者に販売していたりとさまざまです。特によくニュースでも話題になりその被害の大きさに驚かされることもしばしばです。

最近では某コールセンター業務を担う元派遣社員がUSBを用いて顧客情報を不正に持ち出していました。約900万件の流出が明らかになり、一部は名簿業者に渡っているとのこと。

また、某通信事業者で営業機密文書をメールの添付ファイルとして自分自身が設定していたメールアドレスに送信していました。その後ライバル企業に転職していました。

その他にも、某通信事業者で業務委託先の元派遣社員が業務に使用するパソコンから個人契約している外部ストレージにアクセスし、約596万件の顧客情報を不正に持ち出しました。この派遣社員は情報を持ち出した翌日に、契約期間が満了しているとのこと。

該当従業員の犯罪ではありますが、会社の信用問題にも発展し、後処理や再発防止策など時間もかかることになります。未然に防ぐためにも従業員の教育や利用状況の把握などが大切になってきます。

外部流出の原因とは

まず、個人情報や機密文書などの重要なデータの社外に持ち出されるルートについてです。実例にもありましたが、データが持ち出される主な手段として以下のようなものが挙げられます。

  • 印刷物やメモなどの紙媒体
  • USBメモリ、HDD、スマートフォンなどの可搬記録媒体やモバイルデバイス
  • 電子メール本文への記載やファイル添付
  • オンラインストレージサービス
  • カメラで撮影

さまざまな方法で持ち出すことができます。そのため、まずは、個人情報や機密文書に触れる機会を適切にしておく必要があります。

従業員であれば誰でもいつでも開けるような状態にしておくと、情報漏えいのリスクが高くなります。個人情報や機密文書などのアクセス権は常に整備しておく必要があります。

また、アクセスできる環境を整える必要があります。個人情報を扱う部屋又はPCを用意し 、USBなどの可搬記録装置を利用できなくする、又は記録簿を用いた承認や操作ログの監視など管理されている状態にする。カメラ付きスマートフォンを持ち込みできないようにするなど。

目に触れる機会と持ち出せる環境を最小限にすることで、持ち出せるかもと思える判断を抑制することが重要です。

気づかないうちに利用される外部サービス

ただし、セキュリティ対策によって制約が増えすぎてしまい利便性が下がると、「シャドーIT」が発生する原因につながります。「シャドーIT」は企業が許可していなかったり把握できていない外部サービスを従業員が私的に使用してしまうものです。

外部サービスには、普段プライベートで使用しているSNSやオンラインストレージサービス、個人所有のデバイスなどを指します。このようにプライベート利用のものが多く、シャドーITを放置すると、企業の知らないところで情報漏えいや不正アクセスなどにつながる危険性があります。

なんでもシャットアウトではなく適切な利用を行えるようにすることが求められています。

ガ象さんの不正持ち出し防止策

ガ象さんサービスで取り扱う画像共有においても一部を持ち出しされるリスクはあります。特にアカウント発行不要なサービスのため、持ち出しハードルが低くなってしまうことも想定されます。

ただし、ガ象さんを仕事の場で使っていただけるように、法人様にて対処できるIPアドレスによるアクセス制限機能を用意しております。

このサービスはIPにより登録や閲覧に制限を設けることができるサービスです。登録した画像が社外から閲覧できないようにすることで、社内から登録しても持ち出すことができないように設定することができます。

設定はIPアドレスや利用形態をお聞きして設定いたします。不正に利用されないよう、申告をいただきたいと考えています。以下のお問い合わせフォームよりお気軽にお願いします。

お問い合わせフォーム

他のクラウドサービスであればID、パスワードの漏えいによって一部又は全部が流出する懸念がありますが、本サービスのIPアドレス制限ではアカウントの漏えいの心配はありませんし、IPアドレスの偽装による不正閲覧も基本的にはできません。

なお、本サービスはインターネット上に画像が保存されます。機密情報、個人情報を含む画像のアップロードは必要に応じて社内規定にて規制をお願いします。

参考リンク

2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分 | TSRデータインサイト | 東京商工リサーチ