すべてのカテゴリ

個人情報の有用性に配慮し、個人の権利利益を保護する目的で個人情報の取扱いについて定めた法律個人情報の法的な定義は「生存する個人に関する情報であって、この情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」となっています。 個人情報が漏洩しただけでは実害が生じないケースも多いです。ただし個人情報の漏洩は重大なプライバシー侵害であり、被害者に対して心理的な苦痛や不安を引き起こします。このため法的枠組みに基づいて、漏洩があった場合には適切な対応や通知が求められます。 個人情報保護委員会の命令に個人情報取扱事業者等が違反した場合には、個人情報保護委員会は違反行為の公表に加え、１年以下の懲役又は100万円以下の罰金が科される可能性があります

不正行為関係の漏洩についても原因別どんな時に起きてしまうのか。また対策はどうすれば良いかを考えていきましょう。 これらはまとめて考えます。 不正アクセス　90件　20.3％ 盗難　17件　　3.8％ 内部犯罪・内部不正行為　 13件　 2.9％ 不正な情報持ち出し　 10件 　2.3％ どんな時に発生するかについて出た意見を発表してください。 １．企業情報を盗み出す目的でサーバーや管理職者などの業務用PC内の情報を抜き取る。 ２．企業情報を盗み出す目的で書類を盗み出す、あるいはコピーや写真などを撮って情報を外部に持ち出す。 ３．組織あるいは組織内の誰かに対する嫌がらせや攻撃を目的として情報を盗み出す。 ４．犯罪的な意図が無くても正規の手続きを経ずに勝手に情報を持ち出すのもNG。 次に対策についてはどのような意見が出ましたか？ １．情報管理体制の徹底、見直し。 ２．システムのセキュリティーソフトの更新、変更。警備会社の警備強化。防犯カメラの増設。 ３．組織に対する不満分子を出さない。不満の早期発見と対策。

機密情報が保護されない場合、どうなってしまうのでしょうか。流出した際のリスクを考えてみましょう。 まず企業の経営不振に発展するリスクがあります。情報流出が起こると、企業のセキュリティ意識や社員教育の質を問われ、信用の失墜を招きます。 信用がない会社とは取引ができないと判断する取引先も出てくることも予想されます。そして信用は一度失うと回復するまで時間がかかる上、信用がなければ仕事は生まれません。 2つ目のリスクは情報漏洩に対するペナルティーが発生することです。 機密情報には自社内の情報だけではなく、取引先の機密情報も含まれますので機密情報守秘義務違反や個人情報保護法違反等が問われます。機密情報が流出した際には漏洩の範囲を特定するための調査などの各費用に加え、損害賠償など金銭的な対応にも追われることになります。また被害が広範囲に及ぶ場合、謝罪広告を出す費用が数千万円から数億円に拡大する恐れもあります。共同開発会社など協力先や取引先から預かっている情報や技術、ノウハウや技術の漏洩による優位性の喪失に直結し、非常にな損害賠償を支払う必要が出てくる可能性もあります。 このように金銭的なダメージが膨れ上がると、倒産に至るという最悪な事態にもなりかねません。 管理者としては情報流出のリスクには常に目を光らせている必要があります。

引き続き、独立行政法人情報処理推進機構（IPA）からの情報です。米国の犯罪学者ドナルド・R・クレッシーによると、「動機」「正当化」「機会」の三要素がそろうことで、人は悪事を働きやすいとされています。 動機とは何らかの報酬を得られること、正当化は不正行為を後押ししてしまうロジック、機会とは不正を容易に行うことができる状況を指します。動機の例としては「前職の情報を持ち出せば転職先で優位に立てる」「機密情報が競合企業に高値で売れる」正当化の例としては「苦労している自分は報われるべきだ」「会社が悪いから困らせてやろう」 機会の例としては「重要な情報を持ち出しやすい」「パスワードを知っている」 この三つを同時に成立させないことが重要となります。そのために一番取り組みやすいのが機会を与えないことです。ルールや仕組みによって機会を作らせないことに努めます。 正当化をさせないことは不可能ではありませんがゼロに抑えること難しいことです。社内のコミュニケーションや心理的安全性を確保して満足度の高い環境を作るか、組織としてコンプライアンスを重視して隙を与えないなどの対策が考えられます。 動機については外的要因が大きく関与しますので対策は困難です。しかし機会または正当化のどちらかを成立さえなければ不正行為が実行される確率は相当抑えることができます。難しい方に敢えて挑む必要はありません。 この研修では最後に機会を作らせない方法について考えていきます。正当化を抑え込む方法はコミュニケーション研修などで習得を目指してください。

次に個人情報についても考えてみましょう。個人情報も重要な情報です。個人情報にはどんなものがあるでしょうか？ 氏名、住所、電話番号、メールアドレス、生年月日、顔写真、指紋、職業、所属組織などが代表的な個人情報ですね。 法律的に見ますと、個人情報とは、生存する個人に関する情報で、その情報によって特定の個人が識別される、もしくは識別可能となる情報のことです。 この、特定の個人の識別というところがポイントで、例えば名前だけであればよほど特殊な名前や有名人でもない限り個人を特定することが困難です。ですから名前だけでは個人情報とは言えない場合があります。しかし名前と住所が結びつけば個人のと規定につながりますので個人情報として法律で保護される対象となります。 顧客の個人情報はもちろん、従業員の個人情報も保護の対象です。仲の良い同僚だからと言ってその悩み事や家庭環境などの話を第三者にペラペラと話せば個人情報邦語法違反に問われるだけでなく信頼関係に深刻なダメージを与えるものです。

情報は隠せば良いというものではありません。企業側に不正の事実がある場合は、それを所定の手続きで通報した場合にはその通報者は保護されるべきです。そのようなことが無いように企業は法令を遵守して活動しなければなりません。公益通報者保護法とは、公益のために通報を行った労働者や役員が不利益な取扱いを受けることがないよう、保護を図るための法律 社内で違法行為などを発見した労働者や役員が、事業者が定める内外の通報窓口行政機関・報道機関などに公益通報を行うことを認めています。 公益通報は単なる内部告発ではなく、公益通報者保護法に基づく下記の要件を満たし、公益通報者が不利益な取り扱いを受けないことを保障される通報をいいます。 公営貴通報の要件は次の３つです。①「公益通報者」に該当する者が、②通報対象事実（通報の対象となる法令違反）を、③「公益通報を行うことができる窓口」に通報すること、を言います。 ※ただし、不正な目的で通報を行った場合は、上記①～③の要件を満たしていたとしても「公益通報」から除外されます ①公益通報者に該当する者＝正社員・アルバイト・パートタイマーなど、労働基準法9条に規定される労働者、派遣労働者、請負契約などに基づき業務に従事する者・従事していた労働者、役員（いずれも退職後1年以内の者を含む） ②通報対象事実（通報の対象となる法令違反） 公益通報の対象となる法令の種類は公益通報者保護法別表に掲げられており、刑法、食品衛生法、金融商品取引法など、2023年6月現在、約466の法令違反についてと定められています。ここでは買いきれませんので公益通報者保護法別表第八号の法律を定める政

最後に関連法令について触れておきます。 不正競争防止法 公正な競争と国際約束の的確な実施を確保するため、不正競争の防止を目的とする法律。企業が持つ秘密情報が不正に持ち出されるなどの被害にあった場合に、民事上・刑事上の措置をとることができます。 そのためには、その秘密情報が、不正競争防止法上の「営業秘密」として管理されていることが必要です。 有用性　当該情報自体が客観的に事業活動に利用されていたり、利用されることによって、経費の節約、経営効率の改善などに役立つものであること。 秘密管理性　営業秘密を保有する企業は、秘密の管理方法を明確に示し、従業員などがその管理方法を理解できるようにする必要がある。 非公知性　保有者の管理下以外では一般に入手できないこと この法律に違反した場合に罰則があります。営業秘密の不正取得・領得・不正使用・不正開示のうち、一定の行為について、10年以下の懲役又は1000万円以下の罰金（又はその両方）を科すこととしています

情報は漏れないように守っているだけでは活用ができません。必要な情報が必要な人に過不足、遅滞なく伝わっていることも仕事には大切です。誰にどの情報を共有してよいのかどうかを正しく判断するためにも、情報の分類は正確に行い、その基準が共有されている必要があります。 機密情報の分類については法律などで厳密に決まっているわけではありませんが、それらを「極秘文書」「秘文書」「社外秘文書」の3つの管理レベルで管理すると区分がしやすくなります。 この区分について５つの観点で考える方法があります。職位が低いうちは大きな額が関わる情報に直接的にアクセスすることはできませんから、情報の軽重を正確に判断して区分を付けることはできません。ですからこれらの区分を自分で考えるということではなく、どのような意図をもって情報の区分がされているかということを考えるヒントとして理解を進めていきましょう。また当然ですが「上はそう言っているけどこんな情報は大したことないのにおsン何管理しなくても良いだろう。」などと軽く考えるのは大変危険であることも自覚しましょう。 この５つの観点について、どのような意味があるかを簡単に見ておきます。 経済的価値 これは即座に生じる損害、将来に向けて生じる損害の2種類があります。機材的に何が失われるかということは比較的わかりやすい基準です。 漏洩時の損失規模 情報が漏れた時には目の前にあるものが壊れるとか失われるというだけに被害が留まるとは限りません。例えば顧客情報が漏洩してしまった場合の顧客への謝罪にかかる費用などは膨大かつ長期にわたるものになる可能性があります。 ライバルにとっての有用

技術的に「犯行を困難にする」「諦めさせる」「発覚しやすくする」仕組みが重要となります。１．犯行を困難にする…鍵のかかる部屋や書庫、防犯カメラの設置 ２．諦めさせる…厳重なセキュリティー体制を取っていることをわからせる、発覚時のペナルティーを厳重なものとする ３．発覚しやすくする…人感センサーの設置、PCの操作ログを記録、不正操作を検知するセキュリティーソフトの導入、情報の管理状況の定期チェック機密保持契約…組織間、労使間で取り交わし、漏洩時のペナルティーを明確にする１．契約開始時 ２．契約条件の変更時 ３．契約終了時 機密保持契約の内容に変更が無くても、それぞれのタイミングで新たに機密保持契約を締結しておくことが望ましいと言えます。特に内部の人の場合、昇進時、降格時にこれまでとは権限や責任が変わることを明確にしておくと良いでしょう。

情報は、文書化されたりしてはいますが、基本的には形のないものですのです。だからとらえにくいという一面がありますので、物体とは異なる観点で保護する必要があります。 そこでもう一つ、代表的な機密情報として、知的財産権についても考え方を整理しておきましょう。 知的財産権（知財とは、人間の知的活動によって生み出されたアイデアや創作物などのうち、 財産的な価値を持つものを言います。 ６つの知的財産権について概要を説明します。 特許権 物、方法、物の生産方法の３種について発明と呼ばれる程度の高い新しい技術的アイデアを保護する。出願から20年。（医薬品は25年まで） 実用新案権 発明ほど高度な技術的アイデアではなく、小発明と呼ばれるような考案を保護する。出願から10年。 意匠権 物や建築物、画像のデザインの全部または一部を保護する。出願から25年。（2020年3月31日以前の出願は登録から20年） 商標権 自分と他人が取り扱う商品やサービスとを区別するための文字やマーク等を保護する。登録から10年で更新可能。 著作権 作者の思想や感情が創作表現された文芸、学術、美術、音楽、ﾌﾟﾛｸﾞﾗﾐﾝｸﾞ等の著作物を保護する。著作者の死後70年（法人は公表後70年） インターネットで誰もが情報発信をすることができます。その中でもこれらの権利を侵害すると、個人の活動だからとか、ついうっかりでは済まされません。巣馬年から数百、数千万円の損害賠償が請求されても全く不思議ではありません。意匠権や著作権なんて自分には関係ないなんてものではなく、ちょっとしたことでそれらを侵してしまう可能性は誰にでもあるという認識は

次は誰が情報を漏洩させるのか、です。 独立行政法人情報処理推進機構（IPA）によれば情報漏洩に関与したの人は以下のようになっています。 赤色のグラフになっているのが内部の人が関与したものです。これらを合計すると情報漏洩の約８７％は内部から発生していることになります。セキュリティー対策というと外部からの侵入を防ぐことに注目が集まりがちですが、実際には内部の人間の関与を警戒することの方が重要ということになります。

（以下、同様に話し合いと発表を繰り返します。） 誤操作　109件　24.6％　　※次に考える「設定ミス」とは違うことに注意！」 メールの添付文書を間違えて機密情報を送ってしまった。共有サーバー内やクラウドファイル共有サービスで全員に公開されているフォルダに機密情報を格納してしまった。 添付ファイル付きメールを送信する場合にアラートが出るように設定する。ファイルをクラウド内にアップする際の格納策の確認を徹底する。ファイルをアップする際にはシステム管理者等がシステム上で承認を出さないと公開できないような設定をする。 設定ミス　　16件 3.6％ システム管理者が共有フォルダ何の閲覧権限設定を間違えて、全員がアクセスできるようになっていた。データを共有するフォルダの閲覧権限をフォルダ作成時だけでなく定期的に点検する。

ミス関係の漏洩について原因別にどんな時に起きてしまうのか。また対策はどうすれば良いかを考えていきましょう。 紛失・置忘れ　116件　26.2％　これについてはどのようなときに発生すると思いますか？またどうすれば防ぐことができるでしょうか？隣の人と話し合ってみてください。 それではまずどんな時に発生するかについて出た意見を発表してください。出先で休憩した喫茶店に書類の入ったカバンを置き忘れてしまった。USBメモリがどこに行ったか分からない。重要書類をシュレッダーにかけてしまった。 次に対策についてはどのような意見が出ましたか？必要以上の書類を持ち出さない。カバンに置き忘れ防止ブザーをつける。USBメモリーなどの記録媒体を使用しない。セキュリティーロックのついたUSBメモリーを使用する。シュレッダー前に処理前書類の置き場を設け最終確認する。 （以下、同様に話し合いと発表を繰り返します。） 管理ミス　　54件 12.2％ 所定の場所に書類が戻っていない。書類の管理手順が不明確。データを格納するファイルの整頓ができていない。保管期限管理が無く不要な情報に重要情報が埋もれている。 書類のファイルにせよ、データにせよ管理の場所、方法を明確にして整理整頓をする。特に、不要となった情報を廃棄しないと必要な情報が埋もれてしまい、結果として使えなくなる。

情報漏洩がどのように起きているのかを見ていきましょう。 日本ネットワークセキュリティー協会によれば２０１８年に発生した情報漏洩の原因は次のようになっています。 １位　紛失・置忘れ　116件　26.2％ 2位　誤操作　109件　24.6％ 3位　不正アクセス　90件　20.3％ 4位　管理ミス　54件　12.2％ 5位　盗難　17件　　3.8％ 6位　設定ミス　16件　 3.6％ 7位　内部犯罪・内部不正行為　 13件　 2.9％ 8位　不正な情報持ち出し　 10件 　2.3％ 9位　バグ・セキュリティホール　8件　　1.8％ 10位　その他　6件　　1.4％ 11位　目的外使用　3件　　 0.7％ 12位　ワーム・ウイルス　1件　 　0.2％ このグラフでは青系はミス関係、赤系は不正行為関係を表しています。 並び変えてみるとミス関係の青系で66.6％。過半数以上がうっかり漏洩であることが分かります。それは不正行為や犯罪の2倍です。情報漏洩と言えば産業スパイや意図的な漏洩などをイメージする人が多いかもしれませんが、意図的でないものの方が多いということです。 私達自身が意図せず情報漏洩の原因になってしまう可能性があるということになります。誰もが自分事として情報漏洩に向き合わなければなりません。

早速ですが、機密情報（企業秘密）にはどんなものがあるでしょうか？ 製品・サービスに関連する情報: 新製品または新技術の開発計画 製品の設計図や特許情報 製品の市場価格設定情報 研究成果や特許出願情報 製品の改良や品質管理の手法 マーケティングに関連する情報: マーケティング戦略や販売計画 ブランド価値や知名度向上の戦略 マーケットリサーチや顧客調査結果 顧客・パートナーに関連する情報: 顧客リストや顧客契約情報 サービス提供の仕組みや手法 ビジネスパートナーシップの詳細 経営戦略に関連する情報: 企業の経営戦略や目標 研究開発の予算や計画 会計情報や財務報告書 知的財産に関連する情報： 特許技術や特許権の情報 商標や著作権などの知的財産権の情報 内部情報と組織に関連する情報: 従業員の給与や人事情報 企業の内部組織や階層構造 データベースや顧客情報のセキュリティ対策 いろいろありますが、簡単にまとめると企業が外部に漏らしたくない重大な情報のすべてが該当します。万が一漏洩が起きた場合、信頼の失墜や損害賠償のリスクなど、企業にもたらす損失は計り知れません。主語は企業です。自分が良いと思っても自分の都合で企業の情報を流出させてしまうと大変なことになります。