どんな情報を使うか?
先日、ソフトバンクを退社した元社員が
5Gに関する技術情報を持ち出したというニュースがありました。
まさに情報漏洩の事件です。
いまは大量かつ重要な情報が簡単に持ち出されてしまう時代です。
今回の場合は故意に持ち出した可能性も考えられますが、
過失で漏洩してしまうこともありますので、企業個人ともに注意が必要です。
1.誰がどのレベルの情報を扱うか?
今回の事件にも関係するのかもしれませんが、
その情報にアクセスできるのは誰か?
はあらかじめ決めておかなければなりません。
「誰が」としては、部門ごと、担当者ごと、職位ごと、
いろいろ区分けの方法はあります。
そこに「どのレベル」を組み合わせると、
・社員の個人情報にアクセスできるのは総務部のみ
・技術情報にアクセスできるのは技術者のみ
などのレベル分けが出来ることになります。
「誰でも」「全部の情報」が見られることは危険です。
2.それは機密情報になるか?
企業としては「ノウハウ」「取引先情報」などを機密情報として
扱いたい情報は多数あると思います。
では、それらが法律上でも機密情報として扱われるか?
という点については、注意が必要です。
簡単に言えば、
ちゃんと機密情報としての管理をしていたか?
は重要なポイントです。
✖ 誰でも見られる環境に置いてある。
✖ 誰でもコピーできる環境にある。
こうした管理では機密情報として扱われることは難しくなります。
機密情報とするのであれば、
・情報閲覧者の情報(閲覧者や閲覧日時が分かるログ等)を残す
・機密情報へのアクセス権限を制限する
といった対応は必要となるでしょう。
3.情報の価値
情報の価値については、
・保有者にとって価値のあるもの
・保有者にとっては価値はないが、他者にとっては価値があるもの
両方あります。
普段から電話やメールでやり取りしている取引先情報などは
自社にとっては単なる連絡先かもしれませんが、特にそこを通じて
大手企業などに攻撃を仕掛けようとしている場合には
絶対に漏洩してはいけない情報の一つでもあります。
リモートワークをする中で、
・PC画面に情報を表示したまま離席
・後ろの人からPC画面を覗かれる
・大きな声で電話で話し、相手先や取引内容が周りでも分かる
といったことは、ついやってしまう危険な行為です。
社内で扱う情報は他者にとっても価値があると考え、
普段から情報の取り扱いに注意しておくことはリスク回避の基本となります。