情報漏洩事件の80%は内部要因

情報漏洩事件の80%は内部要因
情報漏洩事件の80%は内部要因
セキュリティという言葉を聞くと、ウイルスやサーバーへの攻撃など外部要因を心配する経営者がいますが、情報漏洩事件のほとんどは会社内部の人間による盗難、流出が占めています。つまり内部要因がほとんどです。

NPO日本ネットワークセキュリティ協会から「2008年上半期 情報漏えいインシデント報告書」の速報版が出ています。2008年1月~6月の半年間に発生した情報漏洩事件を集計し、漏洩件数は683件です。集計が進むと2008年は過去最高の年になりそうです。
→ NPO日本ネットワークセキュリティ協会

「紛失・置忘れ」があいかわらず多い
「紛失・置忘れ」があいかわらず多い
気になる漏洩原因を見てみると外部要因は
「盗難(15.7%)」
「不正アクセス(0.6%)」
で、他は
「誤操作(36.6%)」
「管理ミス(19.2%)」
「紛失・置忘れ(14.5%)」
と内部要因がほとんどです。

2007年度に比べて、「紛失・置忘れ(20.5%)」が減りましたが、「誤操作(18.2%)」が倍になっています。

協会が行っているセキュリティ強化川柳の第二位の作品が
「無くしたか どうかもわからぬ USB」
でした。まさに内部要因です。

委託先の情報漏洩に注意

社内の情報漏洩対策はもちろんですが委託先も含めて考えなければなりません。企業の多くではDM発送、システム開発、製造委託、コールセンターなど業務の一部をアウトソースするのが当たり前になっています。ただし業務委託するのは各業務部門で、会社全体として委託先管理を行っていません。

委託先から情報漏洩することも多く、最近でNHK(北海道)の業務委託先が個人情報を記載した契約書を紛失した案件やNTT東日本・山形支店の委託先でファックスの誤送信による情報漏洩がありました。

取引先の80%が取引停止の格付けに

取引先の80%が取引停止の格付けに
取引先の80%が取引停止の格付けに
松下電器産業では材料や部品購入先企業のセキュリティレベルによって「A2」「A1」「A」「B」「C」の5つに格付けしています。

高い格付けである「A1」の企業とは重要技術情報を共有することができるのに対して最低の「C」は取引停止レベルです。2006年3月に国内の取引先企業2365社の情報セキュリティ・レベルを評価したところ、「A」レベルが6%、「B」レベルが14%、「C」レベルが80%になってしまいました。

8割の企業が取引停止になれば松下電器産業の業務が止まってしまいます。そこで中小企業側の問題を調査したところ、具体的にどうセキュリティ強化をしたら分からないという声が多く、まず取引先企業に対する情報セキュリティ研修からスタートしています。

松下電器産業だけでなく、大手企業と取引をしている中小企業ではセキュリティ対策をどう行っているか報告書を求められるケースが増えています。これは1次下請けだけではなく、2次、3次も関わってきます。