昨今ニュースなどで度々耳にすることのある情報漏洩問題ですが、悪意を持って漏洩させる事ももちろんあるようですが、電車の中に社用パソコンを忘れたり、うっかり開いたメールからウイルスに感染して情報が流出したりといったことも少なくないようです。
そこで今回は、どんな対策が有効な情報漏洩対策なのか、アンケートをとり調査を行いました。

【質問】
情報漏洩対策として有効だと思う対策はどれですか?(複数回答可)

【回答】
情報・データ等の持ち出し制限:51
データの暗号化・アクセス制限:45
情報を個々人で活用できないようにする:32
情報に関する責任者とその権限を明確化する:29
情報管理の教育、管理方針などの周知徹底を行う:28
内部監査を実施する:24

データの持ち出しが一番危険…?

情報やデータの持ち出し制限を選んだ方が一番多い結果となりました。

・情報が外部に不用意に流出することがないように、パソコンのUSBは原則使用することが出来なく設定されている。また、職場外に文書を持ち出す場合は上司の決裁を取ることとしている。(50代/男性/公務員)
・情報やデータが絶対に社外に持ち出ししないことが有効です。職場に出入りする際、わたしの職場は制限があり、またビニールバックに物を入れて他の人からみても何を持っているのはわかるようにしています。出るときも紙やデータが入った媒体があってとしたら気が付くようになっています。(30代/女性/契約派遣社員)

情報を抜き取られやすいUSBそのものの利用をできなくするのはとても効果的な対策と言えそうですね。またパソコンの中のデータだけでなく見落としがちな紙媒体もしっかりとした手順を踏んで持ち出すシステ厶や、スタッフ全員が持ち出しを監視できるビニールバックの使用など、危機感を持って管理していることが伺えますね。

データを暗号化して情報を扱える人を限定!

次いではデータの暗号化やアクセス制限という回答になりました。

・アクセス制限をかけログを取ることで、誰がいつデータに触れたのかを把握することができ、データを暗号化することで、漏洩した場合でも情報を守る事が出来るのではないかと思うからです。(30代/女性/会社員)
・知識がある人に破られると言う課題はあるもののその前提をなくせば人為的なミスは極力防げるため。(30代/男性/会社員)

情報にアクセス可能な人物を制限し、さらに誰がいつアクセスしたのか管理することで持ち出すことに対する抑止力にもなりますし、万一漏洩した際の責任の所在を明らかにする効果もありそうですね。またデータの暗号化によって専門知識の持ち主はともかく不特定多数に漏洩することは避けられるかもしれません。

一人の判断では利用不可能にしてみたら…?

続いては個々人での情報利用ができないようにするとの回答になりました。

・情報を活用する際は、最低3人以上の人間が関与する仕組みを徹底させれば、漏洩は防げると思います。(40代/男性/会社員)
・個人の安直で誤ったデータアクセス、データ使用に諸悪の根源があるように思います。(40代/男性/会社員)

複数人でチェックや許可を行うことにより不必要な閲覧や、不適切なデータ利用そのものをなくすという取り組みは非常に効果が高そうですね。個人の判断によるデータの取り扱い自体が無いようににすれば、誤った情報利用や漏洩も起こりにくくなると言えそうです。

意識の向上や責任の所在は重要!

続いては情報に関する責任者とその権限の明確化、情報管理教育や方針の周知徹底、内部監査の実施という順での回答でした。

・責任者が明確ではないから誰かがやっているだろうと考えるから。また、実際問題が出た時に収集がつかない。(30代/女性/会社役員)
・まず、社員の意識を高めるために情報管理の教育を徹底することが一番重要だと考えます。その上で、情報管理のルールをしっかり作り、守っていくべきだと思います。情報流出事件のニュースを見ていると、当たり前のモラルの欠落が、大きな原因になっているに思います。(40代/男性/会社役員)
・やはり一部の人は故意に情報を持ち出そうとするので、それを教育だけで防ぐのは不可能。会社としても取り締まる姿勢を見せる事で抑止力になる。(30代/女性/契約派遣社員)

責任の所在がわからないと対策の立てようもなく意識の統一も難しいでしょう。管理責任の所在をはっきりさせることで初めてきっちりとした対策が行えるようになり、問題が起こった際も迅速な対応が可能になるのではないでしょうか。
また情報管理教育や内部監査によって日々社員の意識を高めていくのも大切なようです。

全ての対策を行っても100%ではないけれど…

いかがでしたか?アンケートからは、情報を利用する際のシステムの複雑化や責任の所在の明確化、社員の意識の向上などが見られましたがこのどれもが徹底して行われれば、故意による情報流出やうっかりミスによる情報漏洩もかなり防げるのではないでしょうか。データに直接関わる人間のみならず社内全員が情報漏洩に対しての正しい知識や取り組みを理解し、実施することが大切といえるでしょう。

■調査地域:全国
■調査対象:【職業】会社員 会社役員 公務員 契約派遣社員
■有効回答数:100サンプル

情報漏洩対策として有効だと思う対策はどれですか?(複数回答可)

【「情報・データ等の持ち出し制限」と回答した人の声】
・情報の持ち出し制限がないことには、いくらでも情報漏洩の危険性が高まりますので、まずは制限することが大切と思うからです。(20代/女性/会社員)
・USBメモリによる漏洩が、一番ありえることであり、情報量も多いので、リスクが高い。物理的に利用できないような工夫が必要だと感じます。(40代/男性/会社役員)
・社外のUSBやHDなどを使えないようにして、持ち出し用パソコン等も他のデータを入れられないようにする。(30代/女性/会社員)
・実際には故意で情報を悪用しようとする人はどうやってもすると思うので、うっかり漏洩を防ぐしかないと思う(30代/女性/会社員)
・一番は会社のデータをUSBメモリーに保存して持ち出し厳禁はもちろんのこと、情報も外部に出さない。(30代/男性/会社員)
・情報やデータが絶対に社外に持ち出ししないことが有効です。職場に出入りする際、わたしの職場は制限があり、またビニールバックに物を入れて他の人からみても何を持っているのはわかるようにしています。出るときも紙やデータが入った媒体があってとしたら気が付くようになっています。(30代/女性/契約派遣社員)
・情報が外部に不用意に流出することがないように、パソコンのUSBは原則使用することが出来なく設定されている。また、職場外に文書を持ち出す場合は上司の決裁を取ることとしている。(50代/男性/公務員)
・過去にデータを家に持ち帰って漏えいした後輩がいるので、有効だと思います。(20代/男性/会社員)
・情報・データ等の持ち出し制限を機械的におこなっています。USBとかにコピーできないですよ(30代/男性/会社員)
・知り合いが泥酔して会社のパソコンを紛失していた。持ち出すこと自体制限した方が良いと思う。(20代/女性/会社員)
・情報・データ等の持ち出しの制限が1番だと思います。会社にUSBやCD-ROMなどの持ち込みを制限し徹底すれば防げることだと思ったからです。(20代/女性/会社員)
・情報の持ち出しについて制限をかけ、意識を高めるとともに、実際に漏洩した際の厳罰な対応が大切だと思います。(30代/男性/公務員)
・データを持ち出さないようにすれば、最低限情報を漏らすことが無いようになると思うので。(20代/女性/契約派遣社員)
・色々な人が閲覧出来るの方が良いので、しかし複製や持ち出しが出来ないように管理する。(30代/男性/会社員)
・情報のデータ持ち出し制限より、完全に持ち出しをしないようにする。良く電車内に個人情報を忘れたという、ニュースが流れるから!(50代/男性/契約派遣社員)
・個人情報などの持ち出しによる置き忘れ事件などがあったし、情報を持ち出していい程に社内の人間を信用してはいけないと思う。(50代/女性/会社員)
・自宅に持って帰ることによって起きるトラブルってあると思います。(30代/女性/契約派遣社員)
・情報漏えいは人的ミス又は不正アクセスによって起きる、なので後者はセキュリティの問題で、前者を無くす方が効果的であると思うので(30代/男性/会社員)
・社外に持ち出してしまうことで自由に扱いができてしまうので、社内からの持ち出し制限を厳しくすることが大切だと思います。(20代/女性/会社員)
・情報の入ったデータ端末は完全なスタンドアローンにしておき、専門担当者以外アクセスできなくしておく(30代/男性/会社員)

【「データの暗号化・アクセス制限」と回答した人の声】
・ 取得した情報を全員が持つことができると、漏えいの可能性が高くなります。情報については、特定の人物に限定すべきかと思います。(30代/男性/会社員)
・データの暗号化とアクセス制限が一番効果的と思います。暗号化されたデータはたとえ漏れても読み取れません。また、データにアクセス制限をかければ、意図的にデータを盗まれることもありません。(50代/男性/会社員)
・誰でもサイトに繋げられる時代になってきた個々人に配信する場合には個別のデータ認識コードを設定しその人しか解読できないようにすることが良いと思う。(50代/男性/会社員)
・そもそもアクセスできる人を限ったり禁止にしていれば、万が一の情報漏えいにときに責任を明らかにすることはできるが、漏えい事態を防ぐことはできないので。(30代/女性/会社員)
・データを暗号化していれば、流出したとしても利用ができないと思うから。(30代/男性/会社員)
・やはり、ネット社会なので情報を暗号化しアクセス制限をつけることによってさらにセキュリティ強化につながると思います。(20代/女性/契約派遣社員)
・アクセス制限をかけログを取ることで、誰がいつデータに触れたのかを把握することができ、データを暗号化することで、漏洩した場合でも情報を守る事が出来るのではないかと思うからです。(30代/女性/会社員)
・情報を他者に分からないように、またはアクセスできないようにすることで、事故などによって情報が万が一漏れても読み取れず情報の内容が漏れないと判断したため。(20代/女性/契約派遣社員)
・データの暗号化とアクセス制限は決まった人しか観覧できないので、有効と思う。(30代/男性/会社員)
・情報にアクセス制限をつけて、関係ない人が情報を見れないようにすることで対策できると思います。(20代/男性/会社員)
・暗号化してあれば、外部にもれてもデータを見られないので一番安全かもしれません(40代/男性/会社員)
・どんなに制限をかけても狙われたら、どうしようもないかもですが。基本データには暗号をかけるのが良いと思う(30代/男性/会社員)
・あんまり暗号化しるぎると、解読できなくなっちゃうんですが・・・(40代/女性/会社員)
・もしもデータの入ったものが盗まれても、暗号化などがされていればその間に対処ができる。(20代/女性/契約派遣社員)
・仕事上でデータの活用は不可欠になっているため、データをUSBメモリなどにコピーして自宅に持ち出すことも考えられるため、暗号化しておくことによって、データが外部に漏れた場合でも閲覧を制御できると思う。(50代/男性/公務員)
・万が一外部に流失したときに、暗号化か破壊されれば漏洩は防止可能。(40代/男性/会社員)
・知識がある人に破られると言う課題はあるもののその前提をなくせば人為的なミスは極力防げるため。(30代/男性/会社員)
・情報を安全に使うためには、暗号化やアクセスの制限が有効だと思うから。(20代/男性/契約派遣社員)
・データを悪用しようとする人がアクセスしようとしても制限があったり記号化することで防げると思うから(20代/女性/会社員)
・フューマンエラーの流出自体は防ぎようがないので、中身がわからない様にする方が良い(20代/男性/会社員)
・持ち出させないとか、持ち出す人を管理するとか色々あるが、持ち出しても使えないようにすればいいと思う。(40代/男性/会社員)
・データを暗号化することで、関係者以外分からなくなる。そうすることで情報が漏れるのを防ぐことができる。(30代/女性/会社員)
・管理者を決めようが、何しようが結局データは持ち出さなければならない。暗号化されていれば、データが浪費したとしても、情報漏れは防げる。(20代/男性/会社員)
・ルールや教育・周知のみでは、個人の意識のばらつきが発生したり、時間が経つごとに認識が薄れることなどから、継続的な管理の徹底は困難と感じる。意識付けも重要だが、情報自体にアクセスできないよう一定の制限をかけることが有効だと思う。(30代/女性/契約派遣社員)

【「情報を個々人で活用できないようにする」と回答した人の声】
・個人の安直で誤ったデータアクセス、データ使用に諸悪の根源があるように思います。(40代/男性/会社員)
・どの回答も重要視すべきではあるが、単独で出来無いようにする事で二重ロックになると思います。(40代/女性/契約派遣社員)
・何事も一人でやるのではなく複数人でやることで、事故を未然に防ぐことができるから。(20代/男性/会社員)
・いくら制限しても駄目な時は駄目かと思います。それならいっそ扱えないよう制限してしまえばいいのではと思います。(20代/女性/契約派遣社員)
・やはりデータを閲覧するときに数名で行うことによって漏えいが漏れにくくなると思う(40代/男性/会社員)
・パスワードで管理して情報のい制限を行い、どの役職しか扱えないようにしています。(30代/男性/会社員)
・これくらいしかできることはないですし、一番いいんじゃないかと思います(30代/女性/会社員)
・たくさんの人が働いている場合にはしっかりと情報にパスワードロックする必要がある。(30代/女性/契約派遣社員)
・最終的には人から漏れる可能性が一番高いとおもう。かかわらないのが一番。(30代/男性/公務員)
・誰でも手に取れるようにしておくのが一番危険である。厳重に保管するのが第一。(40代/男性/会社員)
・使用者側ではなく、もっと根本から防がないと意味がないと思うから。(30代/女性/会社員)
・やはり情報を利用できる人物が増えれば増えるほど情報漏洩のリスクは高まります。(20代/男性/会社員)
・個人情報を人が扱うことをやめて、定期的に自動消去とかすれば安心だと思う(20代/女性/会社員)
・インターネットに繋いでいると危険なので、情報を個々人で活用できないようにするのが良いと思う。(40代/男性/契約派遣社員)
・個人のパソコンや機械などは会社の機密を容易に入手できますので禁止した方が良いです。必要であれば会社でパソコン等を用意すべきです。なお、USBは公私ともに禁止です。(50代/男性/会社員)
・個人で自由に情報がみられると、情報が漏洩したこともわからないと思います。(30代/女性/会社員)
・情報を活用する際は、最低3人以上の人間が関与する仕組みを徹底させれば、漏洩は防げると思います。(40代/男性/会社員)

【「情報に関する責任者とその権限を明確化する」と回答した人の声】
・メールで顧客とやりとりをするのがメインですが、皆が気をつけるようにアカウントを一つにして全員が閲覧可能にしています。(30代/男性/会社員)
・どの情報に誰が触れることができるのかを明確にすることが大切だからです。(30代/男性/会社員)
・信頼できる人間に責任者になってもらえれば安心できそう。明確化することでより一層の効果を期待できる(30代/男性/会社員)
・扱える人を限定して、誰でも簡単にアクセスできないようにするのが一番有効なのではないでしょうか?(20代/男性/会社員)
・情報を誰もが閲覧したり、持ち出したり出来ないように特定の人物を定め、厳しく管理する。(20代/女性/会社員)
・大事な情報は責任のある立場の人だけで共有するようにします。むやみに人に話さないことが大事です。(30代/女性/会社員)
・責任者が明確ではないから誰かがやっているだろうと考えるから。また、実際問題が出た時に収集がつかない。(30代/女性/会社役員)
・故意に情報を盗もうとするのを防ぐのは、プロに相談してセキュリティを強化すべきだが、日常の業務で、うっかりやミスによる情報の漏えいを防ぐには、責任者と権限を明確化するのが一番効率が良いと思う。(50代/男性/会社員)
・どのような手段を用いてもサイバー攻撃されればたやすく漏洩します。これは管理責任を重くしてもっと認識してもらわないと何を行っても無駄です。(30代/女性/会社員)
・ 暗号化し誰でも扱えなくするのと、権限を一人に集中させず、数人のパスがないとみれないようにすればいいと思います。(40代/男性/会社員)

【「情報管理の教育、管理方針などの周知徹底を行う」と回答した人の声】
・情報管理について意外と知らないことがあるので定期的な教育は必要だと思うからです。(50代/女性/会社員)
・最終的には人が関わることなので、一人ひとりが意識を持たない限りはなくなりません!(30代/男性/会社員)
・情報漏洩対策として有効だと思う対策は、情報管理の教育や管理方針などの周知徹底を行うことですね。怪しいメールを開かないことや、個人情報の取り扱いに十分に注意すればある程度は防げると思うからです。(30代/男性/会社員)
・漏えいの原因は社員の教育不足によりそこまで情報を持ち出して良いのか分からないからだと思うので、しっかりとっあいた教育を行うことで認識を同レベルに保てるから。(30代/女性/会社員)
・情報管理の教育、管理方針などの周知徹底を行っています、これがコストもかかるし大変ですが必要です(30代/男性/会社員)
・セキュリティに関しての知識の無さと認識の甘さが情報漏洩につながると思っているから。(30代/女性/契約派遣社員)
・まず、社員の意識を高めるために情報管理の教育を徹底することが一番重要だと考えます。その上で、情報管理のルールをしっかり作り、守っていくべきだと思います。情報流出事件のニュースを見ていると、当たり前のモラルの欠落が、大きな原因になっているに思います。(40代/男性/会社役員)
・結局は、個人個人の意識が大きく影響すると思われるので、意識をしっかり持つ為の教育を徹底することが、有効だと思う。(40代/男性/会社員)
・情報管理とは言っても、結局は個人の責任問題になるのかなあ・・・・・・(40代/女性/会社員)
・漏洩の管理体制を確実に実行できるシステムが完璧だと漏れる必要がないため(40代/男性/会社員)
・どの情報が重要かであることに個々人で認識のずれがあると漏えいにつながりかねないと思うので、社員間での認識の共有化→教育が一番大事だと思う。(40代/女性/会社員)
・どんな管理方法を取っても、結局はそれを運用する人間の管理意識の問題です。ルールを守る。その共通認識が当たり前に行えることによって初めて情報漏洩対策が生きてくるでしょう。(40代/女性/会社員)
・情報管理の教育、管理方針などの周知徹底を行うことが一番有効だと思ったので選びました。(30代/男性/会社員)
・やはり従業員教育が最も大事だと思う。意識が伴わないとシステムだけでカバーすることはできないから。(50代/男性/会社員)

【「内部監査を実施する」と回答した人の声】
・やはり一部の人は故意に情報を持ち出そうとするので、それを教育だけで防ぐのは不可能。会社としても取り締まる姿勢を見せる事で抑止力になる。(30代/女性/契約派遣社員)
・内部監査を実施することにより、体制をつくりあげることができると思います。(50代/男性/会社員)
・注意箇所が沢山ある。上司に言っても聞く耳持たず、いざ監査がくると、気をつけようという事ではなく誰が通報したのかと犯人探しに夢中になるだけなので、職場の人にはジャンジャン問題を告発して上司に大事なことを気付かせたい(20代/女性/会社員)
・やはり内部監査しかないでしょうね。これこそが本当のチェック体制かもしれない(40代/男性/会社員)
・よっぽど意識が高いか詳しい知識がない以上、情報漏えいを身近な問題ととらえて対策をとりながら業務にあたれる人はそんなに多くないのではないかと思うので。そもそもデータを持ち出せないようにするか、内部監査で防止を徹底していくほかないと思います。(30代/女性/会社員)
・今一度、ことの重大さをきちんと把握、理解をしなければならないと思います。疎かになっている会社は沢山あると思いますので、抜き打ちで監査は入れた方がいいです。(20代/女性/契約派遣社員)
・同じ人間ばかりが情報を扱っていると、その情報を勝手に持ち出してどうこう、というのをニュースなどでよく聞く。普段の管理は当然だが、別の部署の人間がチェックする体制も必要だと思う。(40代/女性/契約派遣社員)
・情報漏洩は外部からよりも内部から持ち出されているケースをニュース等でよく耳にするから(40代/男性/会社員)
・会社の中で監査組織を設けて定期的にチェックすることが重要だと思います。(30代/男性/会社員)
・内部監査というある緊張を生ませることでいい意味でのプレッシャーが漏えい対策に役立つと思います。(50代/男性/契約派遣社員)
・個々の問題にしてしまうと、ほとんどの場合時間とともに曖昧な管理になってしまうので、内部監査する部署を設けるべきです。(30代/女性/公務員)
・やっぱり一番大事なのは管理だと思います。信用できる人間だけが情報を管理するようにすればいいと思います。(30代/男性/会社員)
・内部監査をすることで、職員の意識レベルが向上し、情報漏えいにつながります。(30代/男性/会社員)
・管理にも限界があるので、やはり内部監査が一番有効だと思います。(30代/男性/会社員)
・内部からの告発が一番早いと思うからです。持ち出し制限などではなかなかわかりづらいです。(30代/男性/契約派遣社員)