【ハッキングだけではない】情報流出を防ぐ手立てについて

今日は僕らの普段取り扱う大事な情報の取り扱いについてのお話です。

どうもこんにちは、リュウです。

僕は普段NPO法人と就労継続支援B型事業所の運営をしています。

うちの事業所ではITを用いて業務の改善や支援の質の向上を目指す取り組みをしていますが、そんな際に言われるのが以下のようなことです。

ITで個人の情報を取り扱うのってなんか危なくないですか?ハッキングの話とかも聞くし。うちらの事業所ではそんなリスクのあることはできないな。

こんなことを言われますので、今回はITと個人情報の取り扱いについて触れながら情報流出を防ぐための手立てについて書いていきたいと思います。

情報流出を防ぐ手立て

確かにIT活用による情報流出の危険性は決して軽視すべきものではありません。

実際に悪意あるハッキング(俗にクラッキングと呼ばれる行為)によって情報流出は大手の会社ではありますからね。

ただ、それ以外にも注意すべきことはあります。

僕らの事業所では「個人」、「事業所」、「ネット環境」といった3つの要素に対しての危険性を想定しています。

情報流出はなぜ防がないといけないのか

今回の話をしていく前にまず確認しておく必要があるのが、「情報流出を防ぐ必要性」について理解しておきましょう。

すべきことと言われても、なぜ必要なのか理解していないと本腰を入れて学ぶ姿勢には至りません。

情報流出を防ぐ必要性は「個人の権利、尊厳などを守るため」にあります。

例えば「知られたくないようなことを色々な人に知られる」というのは精神的にはとてもキツイことですよね。

内容によっては生きていることさえ苦しくなることだってあります。

また、銀行の暗証番号などが流出した場合には財産を失う可能性も出てきますよね。

このような金銭てきな損害はその人の生活に対して大きな影響を与えることになります。

2つの例はともに個人の情報が流出することで起こり得ることのあくまでも一部ではありますが、この2つを見ただけでも情報流出というのは本当に嫌なものです。

自分でそんな目にあったら嫌ですよね。

守るための法律改正も行われている

IT社会が進むことで法律改正も進みました。

昨今では中小企業でも情報保護に対する取り組みが義務付けられることとなりました。

僕らのような事業所もサービス提供のために色々な個人情報を取り扱うこととなるため、同様に対策を必要とされています。

もちろんこれはIT活用の場面だけでなくです。

他に関係のあるキーワードについても確認しておこう

情報流出については個人情報、プライバシーなどといった色々な言葉も出てくるのでそれらについても知っておく必要があります。

個人情報とは「個人を特定できる情報のこと」で名前、住所や生年月日などの情報を指します。

またプライバシーについては個人の生活における事柄をみだりに公開されない権利について指します。

個人情報に比べてプライバシーが指す範囲は広くなるのはイメージできると思います。

僕らの収集する情報のうち、フェースシート等に記載される内容が個人情報に該当します。

またプライバシーといえば相談などで聞く事となる生活内での話などがそれに当たるでしょうね。

いずれも個人としては重要なものなので流出なんてして欲しくは無いものですよね。

3つのルートについて確認しよう

さて、ここまで確認してきたことを前提として話を進めていきましょう。

冒頭で書いたように情報流出は3つの面から起こりえます。

「個人」、「事業所」、「ネット環境」ですね。

ただ、このように書いただけではイメージが湧きにくいですよね。

ということでそれぞれについても書いておきます。

「個人」からの流出

ここでいう「個人」というのはサービスに係るスタッフのことです。個人からの情報流出というと危険性は非常に少ないと考える人もいます。ただ、実際には「個人」からの情報流出というのは非常にハードルが低く容易に起こります。例えば昼食や仕事後の飲みの席などではかんたんに流出は起こります。同僚といるとそれはとても容易に起こり得るのです。環境が変わったにも関わらず、仕事場と同じ面々が揃うと勘違いする人も少なくないですからね。また、電話の内容を盗み聞きすることだって容易にできます。ハッキングのように特別な能力は必要なく、他の人が話していることを単に近くに行って耳をそばだてているだけで済むのですから。

「事業所」からの流出

「個人」からと同様に、このルートでの情報流出もまた容易に起こりえます。資料やデータが盗み出されるというケースです。事業所のドアを破りただ事業所にある資料等を盗み出せばいいだけです。こんな書き方をすれば情報を目的に行われることが前提に話をしていますが、実際は不可抗力でこのようなことが起きることを想定してみて下さい。例えばPC等が盗まれたり、金庫を破られて情報が流出することもあるでしょう。この方法もまた特別な能力が無くとも行えること、またそれが故にかんたんに起こり得ることです。

「ネット環境」からの流出

一般的に1番の心配要素とされるのがこのコースからの情報流出です。ハッキングなんかが想定されますね。ネットワークを通じてハッキング(クラッキング)を行い、事業所のPC等にある情報を取得するというのが例としてあげられます。この方面からの情報流出は注目の的となりますが、実際に行うとなるとある程度の能力が必要となります。ITやネットワークについての知識や情報、スキルなどが必要になるため他2つの方法に比べてハードルは高いです。しかしながら、その分遠隔で行えることとなるため対策は専門性が必要となります。

情報流出対策は「個人」「事業所」から

3つのルートからの情報流出についてそれぞれ書いてきましたが、一番起こり得るのはどれか。

当然行える対象者が多いルートほど起こりえますよね。

一般的に情報セキュリティだなんて話をするとハッキングなどの心配をすると思いますが、実際に起こりえるのはそれ以外のルートのほうがリスクは高いんです。

本当に必要なのはリスクの高いものから対処が必要ですよね。

「個人」からの流出を防止するには

個人からの流出は一番可能性として高いものとなります。

人間同士の会話からは特殊な能力も無く情報にアクセスできますし、存在するスタッフの人数分だけリスクはありますからね。

では個人からの流出を防ぐにはどうするか。

1番は外で仕事の話をしないことです。

極端ではありますが、これが1番確実。

というのも、個人からの情報流出の原因は「意識の低さ」や「理解の甘さ」です。

自分が話している内容を誰が聞くかわからないというリスクを意識できるか。

どの範疇までが個人の情報となりえるのかを理解できているかや、どのような事例があってどのようなリスクが有るかを理解できているかも大きく影響します。

そのため、仕事に関しての話をするときにはそれらを常に意識して話すことになります。

おそらく入職時の契約で個人情報保護に関する同意書などにもサインしていることでしょうから、僕らはこの仕事をしている時もやめた後も個人情報の取扱についての責任を負うこととなるのです。

また、本人だけでなく法人・事業所も必要な「意識付け」や「理解を深める」ための研修や指導をすべきことは言うまでもありません。

「事業所」からの流出を防止するには

個人からの情報流出とともにかんたんに起こり得るのが事業所からの流出ということで書きましたが、実際には主に強制的に「侵入される」ということが考えられますね。

いわゆる空き巣被害というもの。

事業所が長期で休みの時などは特に注意が必要でしょう。

最近では障がい者施設への侵入やそれによる事件もここ10年間の中ではありましたのでありえない話では無くなっています。

そのため施設におけるセキュリティ強化の動きも強まっています。

事業所での安全性を高める意味でもセキュリティ対策はきっちりとやっておきたいものです。

うちの事業所でもセキュリティ面は他の企業にお願いしてやってもらっています。

たまに忘れて事業所に入る際にセキュリティ解除を忘れてガードマンが飛んでくることがあってこれはこれで大変ですが(笑)

ネット環境からの流出を防止するには助けを‼

ここまで書いてきた2つのルートからの流出は人が媒介するものです。

個人はスタッフの立ち振る舞い、事業所は空き巣などの人がすることによって起こされます。

一方ネット環境からの流出は媒介はネット環境そのものとなります。

確かに操作ミス等で流出することもありますが、それらはシステムや作業フロー等の変更で改善できます。

ただ、ネット環境を通しての多くはネット回線を経由しての流出であり特に意図的な攻撃を前提としています。

こういった問題については専門的な話になりますのであまり詳しくは書きませんが、きちんとした対応が必要となります。

そのため、専門的な企業にきっちりと依頼することが大事です。

専門的な対応には仕組みの理解が必要

専門的な企業に依頼することが大事だとは書きましたが、実際にどのようなことが必要かということ。

コレについてはネット環境のセキュリティ設定やPCのセキュリティ等があげられます。

この話を聞いただけでもアレルギーのある人もいるでしょう。

ただ、案外仕組みを理解すれば「なるほど」と納得できるものです。

外部企業に依頼するにしても仕組みくらいは理解しておくようにしましょうね。

段階的に整備していこう

ということで、色々と書いてきましたが要は段階的に整備が必要だということです。

「個人」からの流出は誰でも取り組めることです。まずはここから始めましょう。

そして「事業所」や「ネット環境」についてはお金も時間もかかることから計画立てて進めていきましょう。

安心して支援を提供でき、支援をウケられる環境は大事ですからね。

それでは、また。