ビジネスQ&A
顧客情報の流出や従業員の不正などのリスクをマネジメントする方法を教えてください。
印刷会社を経営しています。現在は、自社において大きな問題はありませんが、顧客情報の流出や従業員の不正など、さまざまなリスクに備える必要があると考えています。どのようにリスクマネジメントをすればよいのでしょうか。
回答
企業の情報流出は、企業経営をも左右する大きな損害になる可能性もあります。セキュリティポリシーなどの指針を示すなど情報流出を未然に防ぐ対策と、情報流出が起きた場合の対策をあらかじめ検討しておく必要があります。
近年では、インターネットなど情報システムが普及し、大量の情報の蓄積や交換が容易になるとともに、企業の情報流出などに関するリスクは拡大しています。顧客情報などが流出した場合、企業は経営責任だけではなく、多大な損害、社会的信用の失墜というダメージを受けることになります。企業は社会的責任という観点からも情報セキュリティの仕組みを構築する必要があります。また、2005年4月1日に個人情報を取扱う事業者に対して、個人情報の取り扱い方を定めた個人情報保護法が施行されました。
【リスクの発生に対する対応】
情報流出などのリスクが発生しないためのポイントを、以下に説明いたします。
(1)セキュリティポリシーの策定
セキュリティポリシーを策定することで、従業員が企業のシステムを利用して「何をやってよいのか」、「何をやってはいけないのか」などの行動指針になります。ただし、セキュリティポリシーは策定しただけでは不十分です。従業員に浸透させ、根づかせるにはさまざまな工夫や仕掛けが必要となります。
- ※セキュリティポリシー:セキュリティポリシーとは、組織内の情報セキュリティを確保するための手順や対応策などをまとめた包括的な指針のことです。
(2)内部の対策
とくに情報流出の多くが内部犯行によるものです。本来情報と関係のない従業員が簡単にアクセスできるような状況では、非常にリスクが高いといえます。対策としては、「データの暗号化」や「パスワードや指紋などによるアクセスコントロール」などにより、業務上必要最低限の者にのみ必要なアクセス権限を与えるような仕組みにする必要があります。
(3)外部の対策
外部から自社のデータベースなどへの不正アクセスも考えられます。「ファイアーウォールの設置」や「ウイルス対策ソフトの利用の徹底」などにより、セキュリティレベルを高める必要があります。
(4)情報の管理
企業には、顧客情報などが日々蓄積されています。管理方法の徹底や、必要性のない書類やデータ、CD-ROMなどは、明確なルールのもと適時に廃棄する仕組みが必要です。
(5)パソコンなどのセキュリティ
情報流出のケースとしては、書類の紛失、ノートパソコンの盗難、外部からデータベースへの不正アクセス、内部の人間による情報の持ち出し、FAX・メールの誤送信などが考えられます。パソコンなどは盗難される可能性の高い資産になりますので、次のようなことに留意する必要があります。
- ノートパソコンは、室内であってもチェーンをかけるなどルールを徹底して、物理的に 盗難されないようにしましょう。
- パソコンの起動やスクリーンセーバーにはパスワードを設定し、ほかの人が簡単に使用できないようにしましょう。
- パソコンなどが盗難された場合でも、通常の方法ではデータにアクセスできないようにセキュリティをかけておき、実際には被害につながらないようにしましょう。
【リスクが発生した後の対応】
セキュリティポリシーを徹底しても、リスクを100%完全に防ぐことはできません。リスクの発生を防ぐことも重要ですが、リスクが発生した場合も想定して、被害が最小になるような準備をしておくことも大切です。リスク発生に備えて、次のような対応が考えられます。
- システムダウンの損害や情報流出などによる損害賠償に備えた保険の加入
- リスク発生時に迅速に対応するためのマニュアルの作成
【個人情報保護法】
個人情報保護法は、個人の権利と利益を保護するために、個人情報を取り扱う事業者に対して、個人情報の取り扱い方法を定めた法律で、2005年4月1日に全面施行されました。事業者は個人情報の適正な取り扱いが求められます。
(1)目的
個人情報の有用性に配慮しながら、個人の権利や利益を保護することを目的としています。
(2)利用・取得に関するルール
- 個人情報の利用目的をできる限り特定し、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはいけません。
- 偽りそのほか不正手段によって個人情報を取得することは禁止されます。
- 本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければなりません。間接的に取得した場合は、すみやかに利用目的を通知または公表する必要があります。
(3)適正・安全な管理に関するルール
- 個人情報の漏洩などを防止するため、個人データを完全に管理し、従業者や委託先を監督しなければなりません。
- 利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つ必要があります。
(4)第三者提供に関するルール
- 個人データをあらかじめ本人の同意をとらないで第三者に提供することは原則禁止されます。
- 回答者
-
中小企業診断士
沢田 一茂
同じテーマの記事
- クーリングオフは、店頭で販売した使用済みの商品でも対象になるのでしょうか?
- 環境ISOを取得するには、どのような公的支援が受けられますか?
- ISO22000について教えてください。
- ISO14001について教えてください。
- 自社にとって有利な取引条件に改善するにはどうすればよいですか?
- 顧客からのクレーム対応時に気をつけなければいけないことは何ですか?
- 顧客情報の流出や従業員の不正などのリスクをマネジメントする方法を教えてください。
- リスクマネジメントの一つであるBCPについて教えてください。
- プライバシーマーク取得の効果は何ですか?
- リスク分析、評価をどのように進めればよいでしょうか。
- インフルエンザ・パンデミックやその対策について簡潔に教えてください。
- 社内の震災対応などの防災対策を見直すには、どのようにすればよいですか?
- BCP策定のメリットと留意点は何ですか?
- 防災対応のために会社が持っておくべき情報を教えてください。
- 情報資産の風水害への対応体制はどうすればよいでしょうか。
- 企業の社会的責任(CSR)について教えてください。
- 風水害に備えて、自社に合った対策の立て方を教えてください。
- 企業機密の漏洩を防ぐにはどうしたらよいですか?
- 改正民法における中小企業への影響はありますか?
- どのような情報が「個人情報」にあたりますか?
- 私の会社も「個人情報取扱事業者」に該当しますか?
- 民法改正によって変わる時効の規定を教えてください。
- 新型コロナウイルス感染症(COVID-19)対策について知りたい。
- プラスチック製買物袋有料化について、どのように対応したらよいでしょうか。
- 新型コロナウイルスの感染症の影響による事業継続について何を準備すればよいか教えてほしい。
- 新型コロナウイルス感染症の第2波や自然災害に備えるための計画があると聞きましたが、どういったものなのでしょうか?
- DX(デジタルトランスフォーメーション)の推進について、どのように対応していけばいいでしょうか。
- 内部監査をオンラインで実施する際の注意点を教えて下さい
- HACCP対応のための支援制度はありますか?
- JFSM(Japan Food Safety Management Association)とは何のことですか?
- 食品製造業向けの有効なクレーム対応方法はありますか?
- 米国への日本酒輸出のために対応すべき、FSMAについて教えてください。
- 食中毒の原因や種類、予防方法について教えてください
- 飲食店での産業廃棄物処理の留意点について教えてください。
- SQF取得にあたり、そもそもの所から教えてください。
- 食品リサイクル法について教えてください。
- 食品製造業がHACCPへ取り組むにあたって考慮すべき点を教えてください。
- 喫茶店の開業を予定しています。営業にあたり必要となる許認可制度が変更になったと聞きましたが、どうしたら良いでしょうか?
- 総合衛生管理製造過程承認制度の留意点を教えてください。
- 食品工場内の設備に組み込むハンドラーやコンベヤなどの搬送設備についてHACCP対応が要求されています。 RoHS指令およびREACH規則を遵守していることでHACCP対応しているといえるでしょうか。
- 飲食店のHACCP対応は何から始めたら良いですか?
- 健康経営とは何ですか?どのように始めたらよいですか?またどのような効果がありますか?
- 中小企業にもセキュリティ対策は必要なのでしょうか?
- IT化とDXの違いを、中小企業がDXに取り組む際のポイントと併せて教えてください
- どうすれば業務の属人化を防いで、技術・技能承継をスムーズに進めることができるでしょうか。
- なぜ今Pマークの取得が求められているのでしょうか?
- BCPの策定と運用のポイントを教えてください。
- 従業員のメンタルケアの方法や注意点などについて教えてください。
- 物価高騰に対して中小企業がどのように対応していったらよいか教えてください。
- 時代の変化を見通した就業規則の直し方を教えてください。
