A社に送るメールをB社に送ってしまったり、業務データの入ったUSBメモリを外出先で紛失してしまったり…仕事をしていく中で、どれだけ気を付けていても、情報の紛失、漏えいは発生し得ます。
本記事では、そのような情報の紛失等が発生した場合に、どういった対応を取ればいいかを説明していきます。
また、ISMS認証取得済み企業のご担当者様へ。2022年のISO27001規格改訂の変更点と取るべき対応をまとめた資料を無料で配布しています。ぜひご一読ください。
紛失・漏えいした事実の報告
情報資産を紛失・漏えいした場合には、情報漏えい等に関する自社のルールに基づいて対応することが必要です。多くの会社では、「上長に報告する」であったり、「情報セキュリティ管理者に報告する」といったルールが定められているかと思います。まずは、そのような報告先について確認し、速やかに報告を行いましょう。
例えば、金曜日の夜に財布を落としたとします。そして、財布の中には会社のセキュリティカードが入っていたとします。この場合、いつ報告先(例えば上長)に報告するべきでしょうか。
「夜も遅いし、土日は自分も上長も休みなので、月曜の出社後すぐに報告すればいいか」と考える人もいるかもしれませんが、このような場合、紛失に気づいたら夜間休日を問わずすぐさま報告するのが適切です。
なぜなら、担当者がすぐにセキュリティカードを無効化するなどの対応を取らなければ、悪意ある者が財布を拾得し、金曜夜間~土日のうちに会社に入室してしまう可能性があるからです(自身でセキュリティカードを無効化できるような仕組み、ルールがある場合や、〇日以内に報告すればOKというルールがある場合など、組織によっては異なった対応をとることになる場合もありますが、一般的には気づいたらすぐに報告をすることが望まれます)。
本人で(技術的・ルール的に)対応可能な初動対応の実施
上長等への報告と前後して、可能な初動対応を行いましょう。
組織のルールでどのような場合にどういった対応が必要か細かく定められている場合、そのルールに従った対応をします。以下、いくつかの例を見ていきましょう。
メール誤送信の場合
メールを誤送信した場合、使用しているメールソフトによっては、送信後数秒~数分以内はメール送信を取消しできる機能が付いているものがあります。
基本的には事前にその機能を設定する必要がありますが、会社によっては全社的にデフォルト設定で送信取り消し機能を有効化しているかもしれません。
誤送信してしまった場合、まずはそのような機能が有効になっていないか、今すぐ送信取り消しできないかを確認して対応すると良いでしょう。
スマートフォン紛失の場合
現在ほとんどのスマートフォンには、紛失時に遠隔操作でスマートフォンの位置情報を確認したり、内部の情報を削除・初期化したりできる機能・サービス(リモートワイプと呼ばれます)が備わっています。
こちらも、事前に機能を有効化しておく必要がありますが、利用できる場合は活用すると良いでしょう。
まず、スマートフォンの位置情報を確認してみましょう。確認した位置情報を元に探しても見つからないなど、どうしても見つけることができないときは、端末内のデータを削除することも検討しましょう。
基本的にクラウド上や組織の自社サーバ上に業務情報が保管されている場合には、端末内の情報が削除されたからといって(業務情報に関しては)問題ないかと思います。
情報の可用性と機密性(消えていい情報なのか、漏れても問題ない情報なのか等)の観点から、すぐにでも端末内の情報を消すべきかの判断ができない場合には、上長やシステム担当者などに適切な対応を仰ぎましょう。
また、リモートワイプはモバイル端末がインターネットに接続されていないと機能しません。
そこで、そのような場合に備えて、パスワードを複数回間違えた場合には端末内のデータが削除されるような設定も必要に応じて対応しておきましょう。
なお、スマートフォンの紛失をはじめとする記録媒体や紙媒体といった物理的な媒体の紛失については、最寄りの警察に遺失物届等を出しておきましょう。
情報セキュリティ管理者等による、インシデントに該当するかの判断
各従業員から情報セキュリティ事象(情報資産の紛失・漏えいを含む情報セキュリティに影響を与える出来事)が挙がってきたら、組織内の情報セキュリティ管理者等の責任者が、その事象が情報セキュリティインシデント(情報セキュリティに関する事故や攻撃)に該当するか否かの判断を下しましょう。
そして、インシデントに該当する場合は、組織の情報セキュリティルールに従って対応をおこなう必要があります。インシデントに該当しない場合でも、再発を防ぐための対処が必要かどうか判断し、必要に応じて対応する必要があります。
ISMS体制を構築している多くの組織では、情報セキュリティインシデントが発生した場合にはインシデント報告書を作成する等といった対応がルール化されています。
その場合、組織の雛形に沿ったインシデント報告書を作成していきます(組織によってはインシデントに該当しない、いわゆるヒヤリハットのような場合にも報告書を作成するようにルール化されているところもあります。自社のルールを確認してみましょう)。
個人情報漏えいの場合
紛失・漏えいした情報資産の内容や組織のルールによって、顧客や関係者への連絡・謝罪の要否は変わってきます。
一般的には、適宜情報セキュリティ管理者等の役割を持つ方が判断をおこなうことになります。
紛失・漏えいした情報資産が個人情報に関するものである場合、個人情報保護法などの法令に基づく対応をとる必要が出てきますので、そういった点も含めて責任者が判断するのが望ましいです。
例えば、個人情報保護委員会は、個人情報が漏えいした場合は同委員会に届け出るよう求めています。
また、2020年6月に改正された(同10月14日時点では未施行)個人情報保護法では、一定の場合の個人情報漏えいに関しては、同委員会への報告と本人への通知を義務化していますので、法令に沿った適切な対応が求められます。
上記は、情報漏えいした従業員本人ではなく組織の担当者の方が対応することになるかと思いますが、会社としてどういった対応が必要となるかも把握しておくことが重要です。
おわりに
情報資産の漏えい・紛失に関しては、基本的には、まず組織のルールに従った早急な初動対応が重要です。間違った対応が、取り返しのつかない事態を引き起こすこともありますし、二次被害など別の被害が生じる可能性もあります。そのためにも、普段からそのような出来事が起こった際にどう対応すればいいか確認しておきましょう。
ルールに記載されていない、対処の判断に迷う、といったことがある場合には、情報セキュリティ管理者をはじめとした責任者の方に、逐次報告・連絡し、適切な対応方法を仰ぎましょう。
また、弊社ではISMS認証取得コンサルティングサービスを行っています。
要求事項と会社の事情等の両方のバランスをとり、貴社で「運用できる」認証取得を心がけ、年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
認証取得にご興味のある方はぜひお気軽にご相談ください。