企業に求められる情報管理とは

2021.02.16 ヤマトクレジットファイナンス株式会社

企業の情報漏えいという不祥事が連日続く中、これは対岸の火事ではないことを多くの経営者が理解していることでしょう。特に、これまでサイバー攻撃の対象から除外されがちだった中小企業においても、攻撃の無差別化によって被害が続出しています。そうした状況において、企業に求められる情報管理とは何でしょうか？

企業が抱える情報リスク

企業では日々さまざまな情報が生まれ、管理されています。売上データ、販売データ、仕入データ、顧客データ、会議資料、稟議書、事業計画書などなどその数は非常に膨大です。それらの情報の中には個人情報や機密情報が含まれていることも多く、決して社外に漏れてはいけないものばかりです。しかし時として、企業の情報資産は漏えい・破損・消滅といった被害を受けることがあります。

中でも特に警戒しなければいけないのが「個人情報漏えい」です。一般社団法人JNSA（日本ネットワークセキュリティ協会）の調査によると、インターネットニュースなどで報道された記事や企業からリリースされた情報漏えい記事をもとに集計した結果、2018年の個人情報漏えい事件は443件発生し、漏えいした個人情報の数は561万3,797人に達しています。この数字は前年から約40万人も増加しており、これに伴い損害賠償総額（想定）も1,914億2,742万円から2,684億5,743万円に拡大しています。そして注目すべきは、個人情報漏えいの原因です。

出典：JNSA『2018年情報セキュリティインシデントに関する調査結果～個人情報漏えい編～（速報版）』

個人情報漏えいを聞くとサイバー攻撃が原因で起こった事件とイメージしがちです。しかし実際は、「紛失・置忘れ」「誤操作」「管理ミス」の内部要因だけで合わせて63％を占めています。「不正アクセス」も20.3％と全体に占める割合は多いものの、内部要因はその3倍以上となっているのが実情です。また、最も漏えい人数が多かった事件に関しても管理ミスが原因となり発生しています。

企業として取り組むべきことは何か？

パソコンが一般家庭に普及し、高速インターネット環境が整備され、さらにはスマートフォン利用者が爆発的に増加したことによる恩恵を、多くの企業が受けていることは確かです。しかしその反面、ちょっとした管理ミスやセキュリティの甘さによって情報漏えい事件が起きてしまうこともまた事実です。こうした状況下で企業が取り組むべきことは、会社として抱えている情報資産の種類・質・量を正確に把握しながら、適切なセキュリティ対策を取ることにあります。これはもはや社会的責任の1つとして位置付けられています。

ところが、企業が取り組むべきことはセキュリティ対策以外にも、来年度の事業計画や予算編成を行ったり、毎日の経営業務や顧客対応を行ったりと、リソースの余剰はなかなかに残されていないものです。特に中小企業では財政面からも十分なセキュリティ対策が取れないケースも多いでしょう。だからといって情報漏えい事件は待ってはくれません。

そこで積極的に検討すべきなのが、他社サービスを利用しながらセキュリティ対策を強化していくという対策方法です。最近では様々なWebサービスが提供されており、経営活動に欠かせない業務システムなども多数提供されています。それらのWebサービスの中には高いセキュリティ要件を満たしているモノも多く、利用するだけでセキュリティ対策を強化できるケースがあります。

多くの中小企業では、Webサービスを利用するにあたって運用負担軽減や初期投資削減だけを目的にしているのではなく、セキュリティ対策の強化も視野に入れています。極端な話、社内の業務システムをすべてWebサービス化すれば、それだけで十分なセキュリティ対策が取れるというわけです。

そうした試行錯誤しながら取り組めば、中小企業でも高いセキュリティ要件を満たすことは十分に可能なのです。

アウトソーシング活用でリソースを生み出す

もう1つ有効的な手段が、アウトソーシングを活用した社内の人的・時間的リソースを生み出して、セキュリティ対策に割り振るという方法です。セキュリティ対策はやはり内製化するのが安心だと考える企業では、他社サービスを利用して業務システムを構築するのではなく、社内業務の一部をアウトソーシングし、新しいリソースを生み出すことでそれをセキュリティ対策に充てることを検討してみてください。

情報管理のためのセキュリティ対策は決して楽ではありません。しかし、今では情報管理を徹底していることを外部にアピールすれば、企業価値が向上するほど重要な管理項目となっています。この機会に、自社の情報管理体制を見つめ直してみてはいかがでしょうか？