2019.04.05
企業は、機密情報や顧客情報などを含む大量の情報を抱えています。情報は企業にとって財産となりますが、情報漏えいなどのリスクにも目を向けることが必要です。情報は適切に管理して守っていくことが重要になります。そのためには、自社における情報管理体制をしっかり構築しておくことが欠かせません。そこで、情報管理とは何か、管理する理由、管理体制の構築ポイントなどについて紹介します。
企業が情報管理体制を構築するうえでは、情報管理とは何かをまず把握しておく必要があります。情報管理とは、会社経営において欠かせない顧客情報や取引先情報などを必要なタイミングで利用できる状態を保ちながら、外部からの侵入者などから保護したり、流出させたりしないようにすることです。情報を取り出しやすくすることと、外部から簡単にアクセスし情報を持ち出されないようにすることを両立することが情報管理のポイントになります。単に、厳格さだけを情報管理に求めると、必要なときに使いにくくなってしまうでしょう。逆に管理を緩めすぎれば、外部からの侵入を許してしまうことにつながります。企業は、保有している情報を適切に管理し、セキュリティ事故が起こらないような体制を整備することが大切です。
情報管理体制の構築にあたっては、管理を怠った場合に生じるリスクを具体的に考慮することが欠かせません。リスクを正確に認識したうえで、必要なセキュリティ対策を講じて情報管理を徹底させることが重要です。情報管理を怠ると、第三者によるハッキング攻撃を受けて情報漏えいやデータの改ざん、さらにはデータベースの破壊などの被害が生じるリスクがあることを認識しておきましょう。
企業にとって情報管理が重要だとされるのは、理由があるからです。そこで、情報管理が重要である理由について解説します。主な理由は、3つあります。
1つ目の理由は、企業にとって重要な財産とも言えるブランドイメージを保つためです。情報管理を徹底しておかないと、企業のブランドイメージが簡単に損なわれてしまう可能性があります。たとえば、情報管理不足により顧客情報を流出させる事態になった場合、流出事実を公表することになるでしょう。そうなれば、企業のブランドイメージが低下することは避けられません。ブランドイメージの低下は、ビジネスに直結し、悪影響が及ぶ可能性が高いです。顧客から取引停止を申し入れられたり、対策のための支出がかさみコスト増による利益減少が生じたりします。徹底した情報管理が、企業のブランドイメージの保持に役立つということを十分認識しておきましょう。
2つ目の理由は、ウィルス感染などによって生じる機会損失を最小限に抑えることです。万が一、企業内のパソコンなどの電子機器が、外部から侵入したウィルスに感染してしまうと、社内システムが正常に稼働しなくなり、業務が滞ってしまいます。また、ウィルスによってwebサイトが改ざんされてしまうと、社内だけでなく社外にまで影響が及ぶ可能性も否定できません。社内システムがウィルスに侵されて稼働停止に追い込まれれば、業務継続ができず、販売機会を失うなどの事態に陥ります。そうなれば、販売によって得られたはずの利益を失う機会損失が生じてしまうでしょう。そういった事態を避けるためにも、情報管理は重要です。
3つ目の理由は、情報管理を徹底することが企業の競争力強化になるからです。企業が取り扱っている情報のなかには、取引先などが持っている技術情報なども含まれています。特に、日本の製造業においては、企業同士が密接につながって1つの製品を作り上げる体制がとられていることも珍しくありません。企業間で業務の役割が分担されており、効率的に製造が行われるのです。そういった体制のなかでは、企業間での情報流出リスクがあります。ひとたび、保有している他社の技術情報などの流出という事態が発生すると、流出させてしまった企業は一瞬で信用を失うことになるでしょう。そうなれば、企業の競争力はそがれてしまい、国内はもちろん、海外企業との競争にも負けてしまう事態になりかねません。企業の競争力の強化のためにも、情報管理は欠かせないものだと認識しておくことが重要です。
徹底した情報管理ができる体制を整えるためにも、セキュリティ事故がどうして発生するのかを理解しておく必要があります。発生する可能性があるパターンを把握しておけば、管理体制構築もしやすくなります。そこで、情報セキュリティ事故の主な原因について紹介します。
セキュリティ事故原因の1つ目は、モバイル機器の紛失・盗難です。社員は、モバイル機器を持ち歩くことで、場所を選ばず仕事ができるようになるメリットがあります。しかし、持ち歩けるからこそのリスクがあると認識しておくことが必要です。モバイル機器の携帯は、置忘れなどによる紛失や、目を離したすきの盗難などの発生と隣り合わせというリスクがあります。モバイル機器が紛失してしまったり盗難にあった場合、社内パソコンなどに不正にログインされ、機密情報を盗まれてしまう可能性があるでしょう。実際にそういった事例が多数発生しています。
2つ目の原因は、社員によるヒューマンエラーです。社員の不注意やミスでもセキュリティ事故は起こります。社員による情報の取り扱いにあたっての確認が不足すると、セキュリティ事故発生の原因となるでしょう。また、誤操作を行ったことによって送信してはいけない相手先に機密情報が送られるといったセキュリティ事故も発生する可能性があります。機密情報が含まれたファイルやメールを送信する際の相手先間違えなどは、起こりやすい事例です。各社員に十分情報管理の重要性を認識してもらい、情報送信時には細心の注意を払うように教育することも大切になります。
3つ目の原因は、外部からの脅威です。具体的には、ウィルス感染や不正アクセスが該当します。企業は、サイバー攻撃を受けたことが原因でウィルス感染や不正アクセスが発生するリスクに常にさらされていることを認識しておくことが重要です。ウィルス感染や不正アクセスが発生すると、社内システムは停止に追い込まれることも珍しくありません。また、重要な機密情報が盗まれるといった事態も想定できます。十分な情報管理体制を構築して情報を守ることが大切です。
情報管理を行うにあたっては、いくつか企業が実行すべきことがあります。有効な対策を実行することは、セキュリティレベルを高めることにつながるでしょう。そこで、企業が行うべき3つのセキュリティ対策について説明します。
1つ目は、技術的な対策です。技術的対策とは、ソフトウェアの観点からセキュリティ強化を図ることをいいます。具体的には、情報管理に有効なセキュリティ対策ソフトを導入したり、ソフトウェアを最新バージョンに更新したりすることです。社内には多くの社用パソコンが存在することも珍しくないでしょう。各端末にソフトウェア面からセキュリティレベルを高める措置を行うことが、セキュリティの確保につながります。技術的な対策にはさまざまなものがあり、自社の規模や状況、情報管理の目的などに合わせて適切な対策を選択することも大切です。
2つ目は、物理的な対策です。物理的対策とは、文字通りハード面からセキュリティを確保する対策のことです。たとえば、セキュリティルームへの入退室について、アクセスできる人を限定したり、社員証で入退出を管理したりすることや、重要機密にアクセスする端末を防犯カメラで監視することなどが挙げられます。また、パソコンからの不正アクセス以外にも、物理的に会社に第三者が侵入しての不正アクセス、情報盗難が起こる可能性があることにも注意が必要です。来客のアクセスエリアを限定し、それ以外の場所へはIDカードがないと行けないようにするなどの徹底した対応も必要でしょう。
3つ目は人的な対策です。人的対策とは、社員への教育を実施する、社内ルールを策定して徹底するなどの対策を行うことをいいます。セキュリティ事故は、技術的・物理的な対策を行っていても、起こる可能性をゼロにすることは難しいものです。社員のミスなどによってもセキュリティ事故が起こるのだということを認識しておきましょう。セキュリティ事故をなくすための人的対策は、定期的な研修を通じて教育を行う方法が有効です。
セキュリティ対策における重要な柱のひとつが情報管理体制の構築です。体制が整っていなければ、うまく運用をしていくことができず、結果的にセキュリティレベルの高い情報管理を実現することは難しいでしょう。そこで、情報管理体制を構築する際のポイントについて解説します。
情報管理体制構築におけるポイントの1つ目は、情報セキュリティポリシーを導入することです。情報セキュリティポリシーとは、情報管理における大きな方針や行動指針のことです。企業が機密情報や顧客情報などの重要な情報を保護していくための大方針という位置づけになります。情報セキュリティポリシーを導入することによって、情報管理の方向性を明確に示すことが可能になり、管理を行う除法管理体制の構築がやりやすくなります。また、さまざまなルールを設定するにあたっても大方針が決まっていれば、その方針に適合しているかどうかでルールを決めていくことができるため、ぶれることのないしっかりしたルールに基づく管理体制を作り上げることにもつながるでしょう。
体制構築における2つ目のポイントは、情報セキュリティの組織を社内に作ることです。情報管理においても、ほかの業務と同じように、指示命令系統が必要です。万が一セキュリティ事故が生じた場合の対応から日常的な情報管理に関する指示などを誰が責任を持って遂行するか明確にしておく必要があるでしょう。また、社員の教育についても役割分担のなかで明確にしておくべきです。社内セキュリティ組織を作っておけば、役割が明確になり、トラブルにも迅速に対応できるようになります。
3つ目のポイントは、情報管理ルールを設定することです。情報管理を行うにあたっては、社員のミスの発生を防ぐことも重要なポイントになります。詳細なルールをあらかじめ設けておけば、社員が間違いなく、かつ迷うことなく情報を扱えるようになることが期待できるでしょう。たとえば、許可されていないソフトウェアを勝手にインストールすることは禁止するなど、現場の実態に合わせたわかりやすいルールを決めておくことが大切です。
情報管理体制構築の4つ目のポイントは、セキュリティに関する外部専門家のアドバイスを受けてその意見を取り入れることです。情報管理体制の構築にあたっては、どのようなことをすればよいのか、どんなことがポイントなのかについて、担当者だけではわからないことも多いでしょう。また、実際の運用面では想定できないことが生じる可能性もあり、担当者としては常に不安を感じる可能性もあります。そういった状況にならないようにするためには、外部の専門家から客観的なアドバイスを受けることが有効です。最新のセキュリティ事故事例などにも対応できる的確なアドバイスを受けられるでしょう。
セキュリティ事故を防ぎ、企業の情報をしっかり守るための情報管理体制構築においては、注意点があります。注意点を知ったうえで構築すれば、より有効な体制を作れるでしょう。そこで、主な2つの注意点について解説します。
注意点の1つ目は、情報管理体制の定期的な見直しを行っていくことです。情報セキュリティの世界では、常に新しいリスクや脅威が発生しています。一度決めた体制が長く最善である保証はどこにもありません。常に、状況に合わせて定期的に体制の見直しを行っていくことが欠かせないでしょう。たとえば、進化したサイバー攻撃に対する技術的な対策が足りていない場合は、対策を追加するなどの対応が必要です。
7-2.起こりうる情報トラブルは徹底的に洗い出しをして対策を立てる
企業が情報管理体制を整備しておくことは、トラブルへの対応をスムーズにできるようになるだけでなく、顧客や取引先からの信頼を得ることにもつながります。いざというときに素早く対応できる体制を整えていることを公表できれば、企業が競争をしていくうえで有利になるということです。紹介したポイントを参考にして、自社に適した情報管理体制を構築してみましょう。