FacebookTwitterHatenaLine

2018.03.31

社内の情報資産を守れ!ハインリッヒの法則から考える、ヒヤリハット共有の重要性

FacebookTwitterHatenaLine

個人情報を始めとした情報資産は、そのほとんどが電子化され、かんたんに膨大なデータを持ち出されることが容易になったことにより、これまで以上に危機に面しています。
記憶に新しい例としては、外部からの不正アクセスによって日本年金機構の年金情報管理システムサーバーから個人情報が流出した事件がありました。

また、外部からの脅威以上に内部のミス、故意による事件も多発しており、東商企業の会員情報が職員のパソコンから流出したり、2014年には、システムエンジニアであった派遣社員の男性によりベネッセコーポレーションの顧客情報が3504万件流出した事件がありました。

ベネッセコーポレーションは度重なる調査やそれに対する記者会見を実施し、流出してしまった対象の個人にQUOカード500円と謝罪文を一斉送付する対策を行いましたが、それが逆に消費者の怒りを買い、同社の会員数は大きく現象させる痛手を負いました。

こうして顕著な事件ではないにしても、実は我々の日常には常にこうした情報資産の流出が発生しています。
例えば、電車の中でパソコンを開き作業をするサラリーマンの姿は珍しいものではありませんが、横から覗き見されれば個人情報が流出します。

打ち合わせのあと、カフェで顧客からヒアリングした情報のメモを開き、整理する姿も同様です。
社員証を首から下げ、このような行為に及べば会社の信用に傷がつきます。

そこで今回の記事では、個人情報の漏洩といった危機を回避するために重要なことをまず整理し、そして、ハインリッヒの法則を理解することで、このように日々の身近な業務活動でさまざまな危機に直面していることを意識し、さまざまな危機に対する社内意識を強化するヒアリハット共有の習慣づくりについてご紹介していきたいと思います。

ハインリッヒの法則を理解した上で、日々の業務におけるヒヤリハットに対する意識を改善することで、危機回避や社内情報資産の保護に繋げていきましょう。
 

情報資産とは

資産とは、企業の業務遂行の過程で生み出される価値あるもののことであり、不動産や商品など、目に見えるものもあれば、財務情報、人事情報、顧客情報、技術情報などの目に見えないものもあります。
これらのことを、情報資産といい、情報セキュリティ上の脅威から守る必要があります。
企業には、多くの情報資産が蓄えられており、それらは、コンピュータ、記録媒体、紙、または人の記憶や知識など、さまざまな形態をとります。
ITの普及に伴い、情報資産の価値は、ますます高まっているといえます。

(出典:経済産業省 JNSA日本ネットワークセキュリティ協会
 
情報セキュリティとは、企業の情報システムを取り巻くさまざまな脅威から、情報資産を機密性・完全性・可用性(三大要件)の確保を行いつつ、正常に維持することです。
情報セキュリティの三大要件は下記が該当します。
機密性の確保:情報資産を正当な権利を持った人だけが使用できる状態にしておくこと。
(対策例)情報漏えい防止、アクセス権の設定などの対策
完全性の確保:情報資産が正当な権利を持たない人により変更されていないことを確実にしておくこと。
(対策例) 改ざん防止、検出などの対策
可用性の確保:情報資産を必要なときに使用できること。
(対策例) 電源対策、システムの二重化などの対策

危機管理の具体的な保護対策

では、危機管理ができておらず情報セキュリティがずさんな環境ではどのようなリスクに直面するのでしょうか。
具体的なイメージを情報セキュリティの三大要件のそれぞれに分類し、考えてみましょう。
 
機密性の確保:リード(見込み客)や既存顧客、取引先など、さまざまな企業の情報が該当します。
電話番号やメールアドレスといったプロファイル情報はもちろん、過去に提出した見積・請求書、メールのやりとりも流出してはならない保護対象の情報です。
また、社員の給与や住所といった内部の個人情報も該当します。
こうした情報は情報資産の中でも特に狙われやすいものであるため、管理体制には注意が必要です。
まず、簡単に持ち出したり紛失の可能性の高い紙での管理を徹底的に廃止します。
顧客台帳などは全てデータに移し、押印が必要な請求書もデータ上で押印できる仕組みに変更すると良いでしょう。
記載ミスなどにより破棄となった請求・見積書などは決して裏紙などにせず、シュレッターにかけるルールにしなければなりません。
ゴミ出しのルール同様に、守れない人がいる場合には指導するだけでなく、出力することができない仕様に変更することでデータを保護するのも一つの手でしょう。
また、アクセスできる人が多いほど、その情報が流出するリスクがアップすることになりますので、それぞれの情報資産に対し、正当な権利を持った人だけがアクセスできる状態にしておくことも重要です。
 
完全性の確保:
情報資産が正当な権利を持たない人によって変更されてしまい、改ざんされるのを防ぐため、完全性の確保が必要になります。
いたずらに外部から不正にアクセスし、顧客情報を誤った形で変更されたり、社員の給与や営業成績のデータを改ざんされるケースなどがこれに当たります。
具体的な対策としては、まずアクセスできる人を制限することが大切です。
さらにアクセスはできても編集はできず閲覧のみにするなど権限をコントロールすることも有効です。
そして、情報を編集した人と時間を記録することにより、安全性が確保されます。
この条件は、その安全性確保を管理する記録を改ざんされ易いという点から、紙媒体での管理で徹底することは難しく、すべてをデータ化し、システムによってコントロールすることが大切です。
 
可用性の確保:
情報のセキュリティ対策を徹底するあまり、全てを金庫にしまいこむような暴挙に出たのでは、業務は円滑に進めることができません。
重要なのは必要なデータに必要な人がアクセスできるような環境を整えつつ、情報セキュリティ対策を実施することなのです。
これには、データへのアクセスコントロールの他に、使用するパソコン端末などのセキュリティ対策も関連してきます。
パソコンのウィルス対策のソフトウェアをインストールすることがまず大切です。
そして突然のアクシデントに備えてデータはローカルに保存せず、安心できるセキュリティ対策がされたクラウドサービスに乗せて置くようにしましょう。
サービスも価格を重視したり選定を見誤ると、データセンターがクラッシュし全てのデータを失うというリスクも万に一つとしてありますので、複数の高度なセキュリティ対策を施したデータセンターを置きバックアップをとっているものを選ぶ必要があります。

 

ハインリッヒの法則とは

ハインリッヒの法則とは、労働災害の事例統計を分析したアメリカの技術者ハインリッヒが発表したもので、「1:29:300の法則」とも呼ばれています。


(出典:Wikipedia)
 
この数字は、1件の重大事故の裏には29件の軽い事故があり、さらにその裏には300件のヒヤリとしたりハッとしたりする事故未遂があったことを示したものです。
つまり、事故を根本から防止するためには、重大事故の原因究明だけではなく、事故未遂までに着目し、ヒヤリハット自体を減らしていくことが必要というものです。
この法則はビジネスにおいても同様であり、例えば顧客サポートや営業活動の場合、1件の重大トラブルの裏には29件の軽度なクレームがあり、さらにその裏には300件の顧客の不満があると考えられます。
実際にクレームを入れる顧客は不満をもつ顧客全体の4%程度とされており、潜在的な不満とクレームの結果が重大トラブルとして顕在化したとも考えられます。
軽度のクレームについて真剣に対応することで重大なトラブルを防止し、顧客の不満解消にも繋がり、製品・サービスの向上によって顧客からポジティブな口コミ効果を得ることも期待できます。
 

ヒヤリハットを共有しましょう

ここまでさまざまな情報資産を守るポイントについてご紹介してきましたが、セキュリティ対策の行動としての第一歩は、ヒヤリハットにまず気づけるようになることから始まります。
冒頭でご紹介した通り、どれほどアクセスをコントロールし、すでにある情報資産を会社から個人で持ち出し、カフェや電車で広げてしまっては意味がありません。
また、USBファイルに顧客データを入れ、それを持ち出し盗難や紛失をしてしまった際には恐ろしい事態へと一変します。
重要なのは、組織としての環境対策を行うと同時に、社員一人一人のセキュリティ対策に対する意識を改革していくことが大切なのです。
そこで活躍するのが、ヒヤリハットの共有です。
ヒヤリハットとは、 日々ヒヤッとしたり、ハッと思い出したり気づいたりすることを指します。
そうした気づきはつまりリスクであるため繰り返さないようにすることが大切です。

ヒヤリハットを週一回など社員で集まって報告しあう会を設けてみるといいでしょう。
例えば、「既存顧客に対して新商品のご案内メールを送ろうとした際、EXCEL(エクセス)で送付先リストを管理していましたが、メール送付先のアドレスと個人名・会社名が一段ずれており、顧客のメールアドレスに対し別のお客様あてとして送ってしまいそうになりました。」という情報を共有すれば、それを聞いた人々は送る際のメールアドレスと宛名をチェックし、自分も事故を起こさないように気をつけようとします。

こうした習慣があることが、どのように強固なセキュリティ対策を施すことよりも重要なのです。

<参考リンク>
業務改善の4原則、ECRS(イクルス)の原則とは?改善事例とツールについて

FacebookTwitterHatenaLine
FacebookTwitterHatenaLine