未だ変わらない官民企業の情報セキュリティの意識の低さ。このままでは確実にマイナンバーは漏えいする
こんにちは、情報セキュリティコンサルタントの石原です。
日本年金機構をはじめとする公的機関の個人情報漏えい事故が多発していること、来年にマイナンバー制度の施行を控えていることを受け、官民企業の情報セキュリティ意識の実態調査が不可欠と判断し、公務員・会社員222人を対象に、調査を行いましたので結果を発表します。
【調査概要】
- 調査目的:官民企業の情報セキュリティ意識の実態把握
- 調査対象:20歳~65歳の公務員・会社員222人(有効回答数:222人)
- 調査日:2015年7月8日(水)
- 調査方法:インターネットリサーチサービスによる調査
- 調査実施機関 :Fastask(株式会社ジャストシステム)
マイナンバー漏えいの危険大! 公務員の6人に1人が私物のパソコンに個人情報を保存
「お勤めの会社の方が『私物のパソコンに会社で扱う個人情報を保存している』ところを見たり、聞いたりしたことがありますか?」と聞いたところ、公務員の16.7%、6人に1人の割合が、「ある」と回答をしています。
公務員は、民間企業に比べて、機密性の高い個人情報を多数保持しているにも関わらず、私物のパソコンが自由に持ち込め、さらに個人情報の保存ができてしまっている環境があることに恐怖を感じます。
持ち込みが自由にできるということは、裏を返せば、個人情報を保存したパソコンを自由に持ち出せるということです。
また、同質問に「分からない」「答えたくない」という回答も合わせて40%の割合を占めており、国民の秘匿性の高い情報が漏えいする潜在的なリスクは非常に大きいものと推察します。
会社の機密情報が売られる!? 3人に1人が会社支給のパソコンを自宅に持ち帰れる
「会社支給の情報端末(パソコン・タブレットなど)を自宅に持ち帰ることはできますか?」という質問に対し、公務員・会社員の11.3%が、「自由に持ち帰ることができる」と回答。さらに、「会社のルールに準じればできる」との回答も27.5%ありました。
実に3人に1人が会社支給のパソコンを自宅に持ち帰れる計算になります。
このことは、情報セキュリティの観点から、非常にリスクの高い行動が広く行われていると言えるでしょう。
社内ネットワークにセキュリティ対策の設備を導入していても、社外(自宅)でパソコンを使用した場合、社内と同レベルのセキュリティ対策を講じていないと、なんの意味もありません。
例えば社外に持ち出したパソコンが、セキュリティが脆弱な外部ネットワークを介しウィルス感染したとします。
そのパソコンを社内に持ち帰りウィルスを社内ネットワークに拡散、他のパソコン、会社の基幹サーバーへと内部感染することが十分に考えられるからです。
例えて言うなら、自宅では風邪予防のために、うがい、手洗い等で除菌、殺菌対策をしっかりしていても、ウィルス感染の危険性が高い満員電車に乗ってしまってはなんの意味もないのと同じことだからです。
会社支給のパソコンには、機密性、秘匿性の高い情報が多数保存されている可能性があります。
このように会社のルールの整備が甘かったり、持ち帰りを行う情報端末のセキュリティ対策、本人が持ち帰る社外でのネットワーク環境に不備があったりすると、会社の資産情報や個人情報が漏れる可能性が高まります。
悪意のある従業員であれば、企業情報・個人情報を第3者に売られてしまうリスクも十分に考えられます。
総括
本調査は、大きくメディアで取り沙汰された日本年金機構による年金情報流出事故、東商顧客情報流出事故の後に実施しましたが、事故以前と変わらず、企業の情報セキュリティの意識の低さ、従業員のモラルの低さが明るみになりました。
特に国民の個人情報を扱う公務員の社内でのセキュリティ意識が、大きな情報漏えい事故が起きた後も変わっていないという結果には一国民として恐怖を感じます。
年金情報の流出事故もあり、またマイナンバー制度の施行を控え、国民・消費者の企業の情報管理に関する目は今まで以上に厳しくなります。
その一方で、公的機関・企業の情報セキュリティに関する意識や取り組みが全く追い付いていないことが今回の調査で伺えました。
このままで、マイナンバー制度の施行をスタートすると、まず間違いなく個人番号が漏えいし、これまで以上に大きな事故がまた発生する恐れがあります。
セキュリティ対策ソフトや機器は、進歩を重ねていますが、それを越えるスピードでサイバー攻撃は複雑・高度化しています。
また、セキュリティ事故は、外からの攻撃だけでなく、内にいる従業員の過失・悪意により発生することもあります。
会社組織におけるプライバシーポリシーの整備及び、従業員の情報モラルの向上のための「教育」、個人情報の管理区域・取り扱い区域の明確化による「物理的な情報の隔離」、セキュリティ対策ソフトやセキュリティ対策機器の「設備導入」、などを全てバランス良く整備することが重要だと考えます。
特に、ルールの整備や教育は、一朝一夕にはいかないため、今からスタートし、慣習化を図る必要があるでしょう。
特に中小企業は公的な機関とは違い一度でも情報漏えい事故を起こしたら、会社の信頼が無くなり、会社の存続を危ぶまれるリスクが十分に考えられるので細心の注意をはらう必要があります。
なお、今回の発表以外にも、企業が簡単にセキュリティ被害に遭ってしまうという調査結果が出ています。
その内容については、本コラムで改めてご報告します。
情報セキュリティもマイナンバーもお任せください
当相談所では、中小企業に必要なセキュリティ対策、マイナンバー制度の準備・段取りが学べるセミナーを無料で開催しています。初心者の方でも理解しやすい内容です。お気軽にご利用ください。
投稿公務員の6人に1人が私物のパソコンに個人情報を保存。業務時間における情報セキュリティの意識調査の結果を発表は石原先生のネットセキュリティ相談所の最初に登場しました。
