持ち運び可能な端末の普及や、クラウドサービスの業務利用の一般化に伴い、業務において、スマートフォンを活用する企業が増加しています。
会社から各従業者に対して、専用端末を支給するケースもあれば、BYOD(Bring Your Own Device)と呼ばれる、従業者自らが所有している端末を、業務で活用するケースなど、様々な形態が考えられます。
しかし、いずれにせよ言えることは、従業者が社外に情報資産を持ち出すことが容易になり、それにより、情報流出のリスクが増加するということです。
スマホを紛失した場合の被害額は…?
ところで、もしとある従業者が業務で利用しているスマートフォンを紛失し、悪意ある者の手に渡り、中身の情報資産にアクセス・悪用されてしまった場合、企業が被る被害額は、一体どれくらいになるのでしょうか。
情報セキュリティの被害額に関する有名な調査として、JNSAという組織が、個人情報漏えいインシデントに関する被害額の統計データ(*)を公表しています。
同統計データによると、1人の個人情報あたりの平均損害賠償額は、2万8,020円とされています。
計算しやすいように、個人情報1件あたり、約3万円と考えてみましょう。
個人情報には、自社の従業員リストや、スマートフォンの電話帳アプリに登録されている情報、自社サービスの利用ユーザーのリストなどがあります。
皆さんのスマートフォンからアクセスできる個人情報は何件あるでしょうか。
スマートフォン本体に保管されている情報だけではなく、スマートフォン経由でアクセスできる情報(クラウドサービス上の情報など)も考慮してください。
そして、その個人情報の件数に、3万円をかけてみてください。
もし、あなたのスマートフォンから個人情報100件にアクセスできるのであれば、スマートフォン紛失時の個人情報漏えいにともなう被害額は、かなりざっくりとした値ですが、約300万円と見積もることができます。
個人情報漏えい以外にも様々な問題が…
ところで、スマートフォンを紛失したときの被害額は、個人情報の漏えいによるものだけではありません。
スマートフォンそのものの購入額、スマートフォンをなくしたことによる作業効率の低下による間接的なコスト、企業のブランド低下による売上の減少、インシデント対応及び原因追求のコストなどが、必要となってきます。
これらのコストは、統計的な被害額データがないため、リアルな数字をお伝えすることはできませんが、スマートフォン紛失時に発生しうるコストとして認識しておく必要があります。
このような被害をもたらすことの無いよう、業務用スマートフォンには、確実なセキュリティ対策が求められます。
例えば、スマートフォンには必ずロックをかけること、自動ロック設定を行うこと、外出時は肌身離さず持ち歩くこと、リモートロックやリモートワイプの設定を行い、手順を確認しておくこと、などが考えられます。
(*)http://www.jnsa.org/result/incident/