ブログ

情報セキュリティ事故の損害は?

企業の経営者様の一番の関心は、情報セキュリティ事故が起きたら一体どのような損害を被るのかということでしょう。

独立行政法人情報処理推進機構 2017.01発行 中小企業の情報セキュリティ対策ガイドライン 第2.1版 によると以下の4点が挙げられています。

 

情報セキュリティ事故の4つの損害

 1.金銭の損失

取引先から預かった秘密情報を漏洩すると損害を賠償しなければならない。

例・インターネットバンキング利用時の不正送金、クレジットカードの不正使用による損金(警察庁広報資料:2015年 30.7億円 うち法人14.6億円)

 2.顧客の損失

事故を起こすと企業に対して管理責任が問われ、社会的評価が低下する。それにより顧客離れが起き、売り上げが激減する。

 3.業務の喪失

事故が発生すると被害の拡大を防ぐために、運用しているサーバーを停止、インターネット接続の遮断を行うが、外部からは営業を停止した状態となり営業機会を損失する。

 4.従業員への影響

内部不正が容易に行えるような職場環境は、従業員のモラルの低下を招く。事故を起こした従業員のみを罰して経営者が責任を取らない姿勢は、従業員の働く意欲を失わせ、離職の増加につながる。

 

 この様に、単なる損金だけでなく、企業の運営そのものを揺るがす事態に発展することがお分かりいただけると思います。

個人情報の漏えいに関して特定して、その影響を調査したデータは、日本ネットワークセキュリティ協会が発行しています。

2016年情報セキュリティインシデントに関する報告書によると、一件当たり平均想定賠償金額は、67千万円余りにもなります。

純利益が、これだけ損失することになります。これだけの支払いができますでしょうか・・・

下手をすると、市場から撤退することもありうることを覚悟しなければなりません。

 

2016年の個人情報漏えいインシデントの分析結果

2016年における個人情報漏えいに関する報告がこちらです。

漏えい人数 1,396万5,227人
インシデント件数 468件
想定損害賠償総額 2,788億7,979万円
一件あたりの漏えい人数 3万1,453人
一件あたり平均想定損害賠償額 6億2,811万円
一人あたり平均想定損害賠償額 3万1,646円
 

表 1:2016年 個人情報漏えいインシデント 概要データ

その原因は以下のように分類されます。

 

図 1:原因別の漏えい件数

図 1:2016年単年漏えい原因別件数と比率

 

情報漏えい事故の原因は、「管理ミス」が34%と最も多く、情報セキュリティ対策の重要性をご認識頂けると思います。

情報セキュリテイの法改正は?


情報セキュリティに関連する法規制は、個人情報保護法、マイナンバー法、不正アクセス禁止法、不正競争防止法、民法などがあります。

その中で、改正個人情報保護法は、2017530日施行されました。
主だった改正内容は以下になります。

 1.個人情報を取り扱う事業者の制限がなくなった。

 取り扱う個人情報の人数が、従来5000人分未満は除外だったが、これが無くなりました。
事業者は、法人に限定されず、営利か非営利かも問いません。個人事業主、中小企業、NPO、自治会等も該当します。

 2.罰則規定が強化された。

 従来、第34条にて、主務大臣への虚偽申告、命令違反のみだったが、第83条データベース提供罪が追加されました。

 3.個人情報保護委員会が設置された(201611日)

 従来、主務大臣が権限を持っていたが、個人情報保護委員会に一元化されました。

 

経営者が負う責任は、独立行政法人情報処理推進機構 2017.01発行 中小企業の情報セキュリティ対策ガイドライン第2.1版によると以下の如くです。
情報セキュリティに対する、重要性を改めてご認識されるものと思います。

 

 

情報セキュリティ体制が取引先から必要といわれたが?



お取引様から、「お宅の情報セキュリティ体制はどうなっているの?」と、問われたことはありませんか。
個人情報取扱い方針や、情報セキュリティポリシーをなどで公開しておられますでしょうか。

制定はしたものの、運用の評価は如何でしょうか。管理責任者を任命して、「後は任せたから宜しく」というようなことはないでしょうか。また、「自分達で努力しています、過去に一度も情報セキュリティ事故は起こしていません」と、言っても、明日起きないということは誰が認めてくださるでしょうか。そこで、第三者認証制度が有効になってくるのです。

 一般的に知られているのが、

プライバシーマーク認証制度(PMS):JISQ15001準拠

情報セキュリティマネジメントシステム(ISMS):ISO/IEC27001JISQ27001規格

の2制度です。

これらを取得されておられる事業者は、取引先に対して監督責任の義務があります。
このため、取引先に対して同様の制度を要求することは自明です。しかし、取引先は概して、小規模な事業者が多くこれらの認証取得・維持管理は至難であります。

そこで、小規模事業者でも、十分なセキュリティ対策を取っていることを認証する制度が、

オフィスセキュリティマーク認証制度(OMS

です。

小規模事業者において、情報のみならず、経営資産の保護も重要でありますが、この観点で制度が構築されています。専門職である「オフィスセキュリティコーディネータ」が、対応させていただきます。

以下にこれらの制度についてご紹介します。

 プライバシーマーク認証制度

・JISQ15001に準拠した、個人情報保護マネジメントシステムで、認証されると「プライバシーマーク(Pマーク)」が付与される。

・一般社団法人情報経済社会推進協会(JIPDEC)並びにJIPDECが認定した機関が認証審査を行う。参照:https://www.jipdec.or.jp/project/pmark.html

・認証登録範囲は全組織に及ぶため、本社、支社、支店、営業所など全国の組織が対象となる。このため、一般的に組織体制作りと維持管理が難しい。

・2年に1回更新審査がある。

定期審査が無いため、審査不合格となると再度取得しなければならない。

・維持費用が高価になる。

 ISO/IEC27001/JISQ27001(ISMS)

・国際的に認められた情報セキュリティマネジメントシステム。

・認証取得範囲を特定し、認証組織を限定して取得することが可能。

・認証審査機関は多くあるが、国内ではBSI(英国規格協会)の実績が多い。

参照:https://www.bsigroup.com/ja-JP/ISO27001/

・3年に一回更新審査があり、1年に1回サーベイランス(定期)審査がある。

・維持費用は高価になる。

 オフィスセキュリティマーク認証制度(OSM)

・一般社団法人ニューオフィス推進協会(NOPA)が制定・認証登録しているオフィスセキュリティマネジメントシステムで、小規模企業、SOHOが取得しやすい制度である。

・オフィスの経営資産のセキュリティを主眼に構築している点が特徴である。

・プライバシー(P)マーク認証制度、ISO情報セキュリティマネジメントシステムを実施するためにどのような制度を採っているかとの問い合わせが増えていますが、この様な問い合わせに対応できます。

 

情報セキュリティ対策はどうすればよいのか?

情報セキュリティは、どこまでやればよいのか、経営者の方は皆様お悩みになられます。

お取引先からの要求であれば、即実行しなければなりませんが、それにしても何から手をつけたら良いものかも大きな課題です。

まずは、情報セキュリティの定義をご理解ください。

  

情報セキュリテイの定義

情報を活用する前提で、情報を悪用されないように守秘し、保護すること。

 

完ぺきではなく、改善の積み重ねを目指すこと、このように、段階を追って構築されることが一般的です。

情報セキュリティの脅威と課題は、以下のように纏められます。

実際に対策を行う上で考慮すべきこと

対策を具体的に行う上で、必ず3つの ”C” を考慮してください。
特に、可用性の観点を損ねると、実際には使えない対策となってしまいます。

 

1.機密性 Confidentiality・・・漏れたら困る

2.完全性 Integrity・・・壊れたり改竄されたら困る

3.可用性 Availability・・・使えないと困る

 

内部統制の観点では、不正のトライアングルが有名ですので、是非配慮されることをお勧めします。

単に、情報セキュリティのみならず、不正の芽を摘むという観点で、対策を立てる必要があります。

 

弊所では、経営者様のお悩みに的確に対応させていただけるよう、経験豊富な専門家を配備しております。

お気軽にお問合せ下さい。

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

PAGE TOP

お問い合わせは
 こちらから