SNSによる企業の情報漏洩を防ぐ。具体的ケースから対策を解説
目次[非表示]
【無料WEB診断を公開中】
自社のSNSリスクの対策状況を今すぐ調べてみませんか?
>> [SNSリスクマネジメント診断]を試してみる <<
SNSで起きる情報漏洩とその原因
情報漏洩といえば、サイバー攻撃や不正アクセスなどを想像される方も多いのではないでしょうか。しかし、それ以外の理由で漏洩している事件は数多く存在し、その中には、SNSをきっかけとした情報漏洩事案も数多く含まれています。今回は、SNSに関連した情報漏洩事例やその対策について、見ていきたいと思います。
具体的にどのような情報漏洩ケースが有るのでしょうか。
<SNS関連の情報漏洩ケース>
- 職場で休憩中に撮った新商品の写真に、PC画面が映り込み。顧客情報が写っていることに気づかずSNSにアップ
- カフェでPCを操作。画面に映っている機密情報が第三者に撮影されてしまいSNSに流出
- 公式SNSの投稿の日時を誤り、当初の公開日時より先に未発表情報を全世界に発信
- 家族に未発表の新商品情報を話したところ、身内のSNSアカウントから情報が漏洩
- SNS上で他社からヘッドハンティング。年収・役職の条件が良くなるため会社の顧客リストをDM(ダイレクトメッセージ)で送付。
日本で起きる情報漏洩はサイバー攻撃や不正アクセスなど外部攻撃による発生より、誤操作・誤送信や管理ミスによる内部起因によるものが多いと言われています。(参考:2018年 情報セキュリティインシデントに関する調査報告書(特定非営利活動法人 日本ネットワークセキュリティ協会))
前述したSNSによる情報漏洩事例の多くも、きっかけは従業員の油断やミスによるケースがあります。具体的になぜSNSによる情報漏洩が発生してしまうのか、その原因について解説していきます。
1.従業員の情報セキュリティおよびSNSリスクへの理解不足
まず、SNSで情報漏洩するケースでは、従業員のリテラシー不足が考えられます。たとえば、情報セキュリティへの理解が浸透していない場合、自身のSNSにアップしようとしている写真に重要情報が載っていたとしても気づかないことがあります。あるいは、機密情報が写りかねないリスクのある場所(職場内、在宅勤務の机の上など)で写真を撮り、PC画面や重要書類が写りこみ、情報漏洩となってしまうことがあります。
また、Instagramなどである一定時間だけ投稿内容が表示されるストーリー機能を使用して、友人など内輪で共有する分には大丈夫だろうという油断からアップした情報漏洩に繋がる画像がスクショされ、他のSNSに転載、拡散されてしまう可能性も考えられます。
これらは従業員の情報セキュリティやSNSリスクへのリテラシーが高ければ未然に防げるケースでもあります。
【あわせて読みたい】従業員へのリスク研修を効果的にするポイントはこちら
→SNSリスク研修成功のための3つのポイント
2.在宅勤務・テレワークの普及による職場外での会社情報の持ち出し機会の増加
SNS経由の情報漏洩に限らず、在宅勤務・テレワークが普及したことで会社内の情報やPCを職場外に持ち出す機会が増え、情報漏洩に繋がる危険性も高まっています。その中でも気を付けなければならないのは、家族がいる自宅で仕事をするケース、特に家族のSNSがきっかけで情報漏洩してしまうパターンです。
実際に、過去には未発表の新商品を自宅に持ち帰ったところ、身内がそれをSNSにアップしてしまうという事件もありました。たとえ自発的に情報を共有していない場合でも、たとえば会議の内容が耳に入ってしまう、あるいは偶然机の上に置いてあった書類を見て知ってしまったなど、自宅内で家族が情報を知ってしまう経路は様々です。未成年でもSNS等で簡単に情報発信できてしまう時代だからこそ、細心の注意が必要です。
3.公式SNSの属人的な運用
公式SNSの運用の過程で未公開の情報を先出ししてしまう情報漏洩もあります。たとえば、新商品の情報が記者向けに解禁されたあとにSNSでも投稿する予定が、誤ってSNS担当者が先に公開してしまうというケースは、人為的なミス、もしくは組織の情報連携ミスで起こります。SNS担当者が専任で、情報の連携や事前確認が取りにくいときに起こる可能性が高くなるため、SNSの運用が属人的な管理体制になっている企業は特に注意が必要です。
4.所属企業への不満などをきっかけにした情報持ち出し
不正が発生するメカニズムとして提唱される「不正のトライアングル」はご存じでしょうか。「機会」「動機」「正当化」の3要素が揃ったときに不正が発生するという理論です。故意による情報漏洩が発生する原因は、この不正のトライアングルからも原因が考えられます。
従業員による情報持ち出しのケースを考えたとき、情報を持ち出しやすい環境になっていることや、キャリアアップなどで有利に働く機会があったとしても、リスク行為を正当化する理由がなければ、多くは実行されることはありません。しかし、そこに所属企業への不満など、情報持ち出しへの正当化の理由ができてしまうと、実行に移すきっかけになり、インシデントまで発展する可能性が高くなります。情報持ち出しがリスク行為であるという従業員自身の理解と、その行為を正当化させる企業への不満などを従業員に抱えさせないようにする企業側のマネジメントが大切です。
SNSによる情報漏洩を防ぐためには何が大切か
前述した原因からSNSによる情報漏洩を防ぐためには、SNSリスクと情報セキュリティの両輪の対策が効果的です。誤送信や不正アクセスなどのセキュリティ対策がしっかりしていても、従業員によるSNSにアップした写真への重要情報の映り込みは防げるものではありません。SNSリスクへの対策も含め、以下の4点が大切です。
- 従業員の教育
- SNS利用に関するポリシーやガイドラインの明文化
- 労働環境に合わせた情報管理
- 内部不正を引き起こす動機や正当化する理由への対策
従業員の教育とポリシーやガイドラインによる規範やルールの明文化は、従業員のリテラシー不足によるインシデントを防ぐ基礎になります。従業員全員が必ずしも情報セキュリティやSNSリスクへの理解が同じというわけにはいきません。「常識だからそんなことはしないだろう」という油断が情報漏洩に繋がるきっかけになります。
そのため、研修を通して情報漏洩のパターンや過去事例を学んだり、従業員向けのソーシャルメディアポリシーやSNS利用ガイドラインを策定することで、リスクのあるSNSの使い方(たとえば職場で写真を取らない、SNSにアップしないなど)を従業員に同じ水準で理解してもらい、会社の情報漏洩を防ぐことができます。
テレワーク中の情報漏洩や情報持ち出しを防ぐためには、従業員の労働環境や役職・部署に応じた情報の管理が整っていることがまず大切です。たとえば、テレワークが導入され、データがクラウド管理になった企業が増えていますが、顧客リストや製品ノウハウなど外部に漏洩すると重大なインシデントとなる重要情報は限られた場所や部署、役職のみがアクセスできるようにしましょう。そもそも自宅で家族に機密情報が触れられる機会は減らすことができ、情報持ち出しをしようとしても、情報にアクセスする経路を限定することができるため有効な対策です。
しかしながら、その中でも情報にアクセスできる立場・業務に就いている人が情報持ち出しを起こしてしまうことがあります。そのため、情報管理を徹底したうえで、長時間労働や属人的な負担の大きい業務体制、ハラスメントなど、会社への不満となる要素への対策も、間接的に情報漏洩を防ぐ対策も重要です。
【無料WEB診断を公開中】自社のSNSリスクの対策状況を今すぐ調べてみませんか?
エルテスが支援できるSNSの情報漏洩対策サービスの紹介
エルテスのサービスの中で、SNSによる情報漏洩対策に有効なサービスを紹介します。
SNSリスク研修
従業員のSNSリスクの理解を浸透するための研修コンテンツの制作・実施をしています。SNSによる情報漏洩事例を自分事として理解してもらうためのサポートをいたします。
▶従業員の研修ができる「SNSリスク研修サービス」の詳細はこちら
集合研修やオンライン研修が大変な企業様はマンガ教材もご検討ください
SNSのルール策定
従業員のSNS利用の指針を定めるソーシャルメディアポリシーや、公式SNSの管理担当者向けの運用ルールやガイドラインの策定支援を行います。これまで多くの企業のルール策定で培ってきたノウハウをもとに、会社の規模や社内の管理・運用体制を踏まえたルールの策定を支援いたします。
▶ポリシーやガイドライン策定ができる「ルール策定支援サービス」の詳細はこちら
内部不正検知
PCのアクセスログや印刷ログ、サイトの閲覧ログなど企業の様々なログデータを横断的に分析し、内部不正や情報持ち出しに至る行動の予兆を検知します。勤怠ログなどを活用すれば、長時間労働や不就労など、勤務実態の異常も検知し、不正のきっかけとなる企業への不満につながり得るリスク行動の検知も可能です。
▶内部の情報漏洩対策ができる「内部脅威検知サービス」の詳細はこちら
SNSモニタリング
SNSの情報漏洩は、万が一投稿されてしまっても広く拡散されるより早く発見することができれば被害を最小化することができます。エルテスでは、24時間365日のSNSの監視でリスク投稿を見つけます。
▶SNS上の情報監視ができる「Webリスクモニタリングサービス」の詳細はこちら
<あわせて読みたい>
ここまで、SNSによる情報漏洩の事例や原因などを紹介してきました。エルテスでは、多数の企業様のSNSのリスク事象をはじめ、デジタル領域のリスクマネジメントと向き合ってきたノウハウがあります。ルール策定や研修、緊急時のリスク対応などもお力添えすることが可能です。お気軽にご相談ください。
SNS上の情報漏洩対策は、エルテスへ
【関連情報】
〇関連資料
〇エルテスのサービス
・Internal Risk Intelligence(内部脅威検知)
〇関連コラム
・従業員からの技術情報漏えいを防ぐ。情報持ち出しへの対策とは?
【参考】
- 2018年 情報セキュリティインシデントに関する調査報告書(特定非営利活動法人 日本ネットワークセキュリティ協会)