ICT業務のアウトソーシングはお任せください!
ICT保守サポートに関するご相談はT&Rサポートへ!
顧客情報や機密情報の持ち出しが
増えています!!
信じたいから導入する!!
Pointは2つ
A.「機密へのアクセス制限」
B.「不正アクセスの行動記録」
A.「機密へのアクセス制限」
B.「不正アクセスの行動記録」
大企業では善管注意義務の観点から導入済みのシステムを
中小企業でも導入しやすいリーズナブルな価格で!!
何ができるの?
監視(モニタリング)ソフトで出来ること!!
経営者の「こんな事できない?」「これが心配…。」を実現、解決します!!
ご紹介にない問題などもお気軽にご相談ください。
ご紹介にない問題などもお気軽にご相談ください。
『監視ソフトで判明した事例』
【Case1】
退職スタッフが『顧客データ』と『営業資料と契約書フォーマット』を持ち出して独立
ある不動産会社の賃貸と売買を主に行う個人経営の不動産会社(X社)
従業員は約20人
勤務5年になる賃貸を主に担当していた宅建士のスタッフA氏が「不動産賃貸物件の貸主(大家)リスト」と「契約書類関連のフォーマット」を全てコピーして独立して、Y社を友人B氏と立ち上げた。ただし、Y社はB氏が代表者となっておりA氏は役員にはなっていない。
ある貸主(大家)さんからA氏が管理を自分に任せて欲しいと連絡があったことをX社のスタッフが聞き及んだ。
調べてみると、A氏が友人B氏と立ち上げた会社(Y社)から貸主(大家)リストに、
「管理物件の管理費用を安くするからY社に管理を任せて欲しい」
旨のDMが大量に送られていることが発覚。
また、A氏が担当していた貸主(大家)以外にもDMが大量送付されていることも発覚。
ある貸主(大家)からY社のB氏がプレゼンの際に置いていった『営業書類と契約書フォーマット』を見せてもらったところ、X社のWordやPowerPointで製作した契約関連書類や営業資料を修正したもの。
特に、A氏が主に担当していなかった賃貸以外の部署の「売買関連の営業書類」もコピーされて持ち出されている形跡があった。
弁護士に関係ない部署の営業書類を持ち出している旨などを相談したところ、コピーした証拠が無いと対応は難しいと言われた。
この為、退職したA氏のパソコンをチェックしたところ、パソコンを工場出荷時の状態に戻されていて、アクセスやコピーの形跡は発見されなかった。
A氏は賃貸がメインのスタッフであったため、売買関連の営業書類までコピーされるとは思わなかったと代表は悔しがっておられた。
ここからは推測になるが、A氏はUSBメモリーかメールの添付による方法によりデータを持出したものと思われる。
■対象となるファイル(データ)は何か?
- 『不動産賃貸物件の貸主(大家)リスト』
X社が保有する『不動産賃貸物件の貸主(大家)リスト』で、売上の7割を賃貸部門が占めるX社にとっては、非常に貴重な顧客情報。
A氏が担当するのは15程度の貸主(大家)であったのだが、X社すべての貸主(大家)リストにA氏がアクセスやコピーできる状態になっていた。 - 『営業資料』
X社のスタッフがみんなで長年蓄積してつくりあげてきた説明資料やDMの資料。
機密ではないものの、資料の作成にかかる人件費を考えれば数千万にもなるほどの価値のもの。
また、A氏が担当することのない営業資料にもアクセスできる状態になっていた。 - 『契約書関連書類』
不動産関係の契約書は、定型のモノを使うのが一般的であるが、A社では独自の契約形態がある為、定型のひな形をつかっていない。
司法書士にリーガルチェックを依頼して、独自の契約書を使用していたが、これらのデータもコピーされた可能性がある。
- 『不動産賃貸物件の貸主(大家)リスト』について
- アクセス権限の制限
- アクセス許可とコピー不可の制限 →USBメモリーやメールで送信できなくす 不動産賃貸物件の貸主(大家)リストの細分化 →X社では500件近い貸主(大家)リストがあるが、担当者が必要とする貸主(大家)リストにしかアクセスできないようにリストを細分化するか、データベースを用いてアクセス出来ないようにしてしまう。
- 各細分化されたリストに、誰がいつアクセスしたかのログ(記録)をとるようにする
→関係ないリストにアクセスしていれば、その時点でA氏が怪しい動きをしていたことを察知できたはず - PCの使用状況記録 →メールまたはUSBメモリーでデータを外部に持ち出しているはずなので、メールの送受信ログ(記録)とUSBメモリーへのコピーログ(記録)をとることで、怪しい動きを察知できた可能性があります。
- USBメモリーのロック →PCに不慣れな人にとって、ネットワーク経由のデータコピーではなく、USBメモリーを使いたいという要望は非常に多いものです。USBにロックをかけて、会社のPC以外ではUSBを使えないようにUSBにロックをかけてしまうことで、データ流出の可能性は低く出来ます。
- 各細分化されたリストに、誰がいつアクセスしたかのログ(記録)をとるようにする
【Case2】
従業員の就業時間内中のアダルトサイトの閲覧
内部監視ソフトを導入していたことで、ある不動産管理会社の社員(管理人)が、常駐先の管理人室でアダルトサイトを閲覧していることが判明。
また、アダルト写真を集めて自分のUSBメモリーに持ち帰っていたことも判明。
内部監視ソフトでUSBメモリーにコピーできなくする制限もつけられるものの、管理人室のパソコンであり個人情報や気密も入っていなかったため、利便性を考えて制限をしていなかった。
この社員は、デスクトップにコピーしたアダルト写真をゴミ箱に入れて、なおかつ、ゴミ箱を空にすることで、完全消去出来ると考えていた様子。
■問題は何か?
- 就業時間中の私用(さぼり)の問題
- アダルトサイト閲覧によるウィルス感染の危険性の問題
↓
内部監視ソフトはさぼりをチェックするために使用されることもあるが、労務管理として働きすぎをチェックするために使用されることもあります。
【Case3】
どのようなメールをやりとりしているかのチェック!!
基本的に勤務時間中は職務専念義務があるため、私用のメールをやりとりすることは債務不履行となります。
当然、実務的に勤務時間中も多少の私用を許容しているでしょうが、勤務時間中に私用メールをつくっていたような事例も散見されます。
また、私用のメールだけでなく、仕事であってもミスを隠すなどの目的で、取引先とのやり取りを隠していたような事例もあります。メールの内容は証拠にも採用されるため、従業員のメールは受信メールだけでなく、送信メールも保存をしておくことを強くお勧めいたします。
※受信メールはメールサーバで簡単にコピーを残すなどしてチェックすることができますが、送信メールは対策を施さないとチェックできません。
■問題は何か?
- 就業時間中の私用メール(さぼり)の問題
- 取引先とのやり取りメールをチェックすることで、従業員の動向をチェックする必要性の問題
- 証拠保全の問題(特に、送信メール)
【Case4】
会社のデータを勝手に消して退職
退職者にも色々な方がいます。
円満退職の場合、会社に不満があって退職する場合、トラブルがあって退職する場合、等々。
今回は、会社に不満があって退職した方が、今までの顧客とのやり取りのファイル(データ)を消してしまったという事例です。
退職された方はパソコンに詳しい方(※)で、自分でソフトをインストールする権限を経営者からもらっていました。
(※詳しいといっても、プロのレベルではありません。)
十名足らずの会社で、当初経営者は円満退社であると信じていたようです。
このため、退職される方が
「資料を整理して退職します」
という言葉を信じてすべて任せていたようなのです。
しかしながら、最終日のそれも終業時刻間際に
「パソコンをリセットしておきました」
と言って、初期出荷状態に戻したパソコンを持ってきたそうです。
経営者が
「顧客データは?」
と聞くと、
「顧客データは私がまとめたものなので、消去しておきました」
とのこと。
この時はじめて経営者は、この退職者が会社に不満をもってやめたことに気づいたそうです。
幸いこのお客様は当社の「保守サービス」と「監視システム」「データバックアップシステム」を導入くださっておりましたので、端末のパソコンデータを消去してもサーバーからデータを復元することができたのですが、問題は数日前に重要な顧客データを個人用のUSBメモリにコピーしていたことです。
監視システムのポイントは、
・アクセスの制限(個人用USBなどにデータをコピーさせない等の制限)
・アクセスの記録
の2側面で対応しますが、この退職者の場合は経営者からの指示もあって、PCにソフトをインストールする管理者権限や個人用USBを接続できるアクセス権限が与えられていました。
このため、個人用USBにデータコピーが出来てしまい、また、パソコンも初期出荷状態に戻してデータを抹消できてしまったわけです。
個人用USBに顧客データコピーされた記録は残っているものの、経営者の方が「大ごとにはしたくない」ということでした。
最終的にこのお客様の技術サポート対応として、退職した従業員が使用していたパソコンは管理者権限を使用者に与えず、また、個人用USBを使用できないようにアクセス制限をかけて対応しました。
■問題は何か?
- PCを初期出荷状態に戻せる管理者権限を従業員に与えていたこと
- 信頼している社員だからとA.アクセス制限をかけていなかったこと
(※コンプライアンスルールとしてアクセス制限をかけることが望ましかったのかもしれません。)
■幸いだったこと
- データバックアップシステム・・・時系列でデータを取得していたので100%データを復元できたこと
- 保守サービス・・・当社が遠隔点検をしてデータ復元が100%できたこと②データ復元に際し追加費用や別途費用が生じなかったこと
- 監視システム・・・『A.アクセス制限』は解除していたものの『B. アクセスの記録』をとっていたので退職者の行動がわかったこと
従業員による情報漏えい
「責任はだれがトル?」
漏洩させた本人は「不正競争防止法違反」「横領/業務上横領罪」等の罪になり、
企業・取締役は善管注意義務と内部統制構築義務の面から責任を問われます。
民法644条では、取締役に対して会社からの委任における受任者の注意義務として
「善良な管理者の注意をもって、委任事務を処理する義務を負う」と定められています。
情報セキュリティで任務懈怠と判断される要因
●セキュリティリスクに対策についての認識、知見の不足
●考えられるセキュリティリスクに対してのシステム構築の不備
また、個人情報情報の取り扱いに不適正が認められた場合、
個人情報保護委員会から是正の勧告、命令がされる可能性があり、
命令に従わない法人に対しては1億円以下の罰金刑に処される可能性があります。
(個人情報保護法148条1項から4項、178条、184条1項1号)
データ・情報はどこから漏えいするのか?
情報漏えい経路の上位は「中途退職者による漏えい=36.3%」「誤操作・誤認による漏えい=21.2%」「ルール不徹底による漏えい=19.5%」と一般的に話題になる「サイバー攻撃による漏えい=8%」と比較すると「人的」しかも「故意」による情報漏えいが増加しています。
情報処理推進機構(IPA)の調査結果によると、企業における秘密情報の漏えいルートには
- 中途退職者による漏えい
- 現職従業員の誤操作や誤認による漏えい
- 現職従業員のルール不徹底による漏えい
- 現職従業員による金銭目的等の具体的な動機をもった漏えい
情報漏えいの原因としては、内部不正や人的なミスなどが多く、外部からの脅威よりも企業内部からの脅威が大きいと言われてます。
情報漏えいで発生する企業の三大リスク
法的責任と損害賠償
情報漏えいで多い個人情報の漏えいは、個人情報保護法は令和4年4月1日施行の改正から、漏えい等の報告と本人への通知の義務化など企業に対し情報漏えいに対してより厳格な対応を求めるようになっています。
また、マイナンバーカードの診察券や免許証への利用など、今後は規模の大小かかわらず企業がより機密性の高い情報を取り扱う機会が増え、賠償額もより高くなる事が想定されまます。一人当たりの賠償額は小さくとも事故の総額は経営にとって大きな影響が出ます。
自組織が管理する個人情報を漏えいした場合の1人あたりの平均損害賠償額は2016年~2018年の3年間では平均¥28,308でした。(出典:JNSA)
信用低下による業績悪化
これまでは規模が小さい情報漏えいなどはニュースでも大きく取り上げられる事は少ない傾向にありましたが、SNSなどの個人発信による情報拡散はますます影響力が大きくなり、特に不確かな情報であっても波及するに従い企業も無視できない影響力を持つようになっています。
このような情報拡散による信用の低下は見えない信用低下などに繋がり、規模の小さな企業ほど業績に大きな影響がでます。
事故対応の費用・時間
情報漏えいが発生した場合、顧客や取引先への対応に必要なコスト以外に、情報漏えいの原因などの調査や再発防止するための内部統制強化などのコストが必要になります。これらは情報漏えいを防ぐ施策よりもコストが必要になる事が多いのが現実です。
また、本来の業務外の対応になるため業務や業績への影響は避けられません。
では情報漏えいをどう防げばいいのか?
まずは内部不正を出来ない環境を作りから
IPAによる「企業における営業秘密管理に関する実態調査2020」では約56%が従業員に対して「機密保持契約」を結んでいると回答しています。 しかしルールを守るのが人である以上、契約や教育をいくらおこなっても動機や機会があれば不正をおこなってしまう可能性はあります。
企業が行える対策の一つとしては、悪意ある動機があったとしても不正を実行できないシステムによって「やりたくても出来ない」セキュリティ環境を作ることです。
実行したくても出来なければ、機会があるために従業員が犯罪を犯してしまうことの抑止にも繋がります。 また、誤操作などのうっかりミスを防ぐことにもつながり、「従業員が安心して利用できるIT環境」を構築することができます。
内部不正を抑制する大切な二つのポイント
B.「不正アクセス検知」と
「行動の記録」
まずこの二つのポイントを人の目ではなく、システムで常に管理・監視する事で、人件費コストを抑えながら企業内のセキュリティ状態を一段階引き上げる事が可能になります。
A.「機密へのアクセス制限」
情報へのアクセスを管理・制限をどうする?
御社は大丈夫ですか?
こんな環境は悪意のある社員が好き勝手できる危険な状態です!
不正利用が発生する前に
まずはデータアクセスの制限を徹底しましょう!
データへのアクセスを管理
データの利用を制限
その他にもこんな管理・制限ができます
- ネットへのアップロード禁止
- CD、SDカードの利用禁止
- 印刷の禁止、制限
- 特定アプリ利用の禁止、制限
- 送受信メールの監視
- Webサイトの閲覧監視
- ファイルのアクセス監視
- 利用アプリの監視
適切な管理をおこなう事で悪意ある不正利用を防止するだけでなく
うっかりミスも抑制し管理者も従業員も安 心できるIT環境になります。
B.「不正アクセスの行動記録」
必要な不正の検知と行動の記録とは?
「不正アクセスの検知」禁止されている操作を検知して通知
パソコンの操作は会話とは異なり、管理者が把握しにくい従業員の行動です。禁止されている操作を検知し管理に通知する事ができます。
「行動の記録」パソコンの操作を記録
交通事故でも当たり前の様に利用されるドライブレコーダーの様にパソコンの利用状況をしっかり記録する事ができます。利用状況の把握だけでなく、不正利用発生時の証拠にもなります。
1:機密へのアクセス状況やPCや行動状況を記録
2:メールの送受信記録
管理者が気になるメールの送受信も詳細なデータを記録できるので不正行為もしっかり記録する事ができます。
- 送信受信の日時
- 差出人メールアドレス
- 宛先メールアドレス
- 添付ファイル名、種別
- メールの本文内容
3:その他にもこんな記録ができます
- ファイルアクセス記録
- コピー内容記録
- ホームページ閲覧記録
- パソコン操作記録
- 印刷記録
- アプリ利用記録
労務時間をチェック
「従業員の労働時間の把握」が義務化など法律改正への対応の一つとして、パソコンの利用時間の記録や起動の制限などがおこなえます。
経営者のPC操作をチェック
パソコン操作のログは管理システムで記録するので、パソコン内の履歴を消しても不正に操作された記録は残ります。
管理の難しいパソコンの操作を見える化する事により、不審な行動を事前に察知する事も可能になります。
また、勤怠管理と組み合わせることで、従業員の業務状況の見える化にもつながります。
「料金 & フロー」
情報漏えい対策スタートプラン
社内のセキュリティ環境に不安はございませんか?
例えばパソコン1台一日¥40の安心
例えばパソコン1台一日¥40の安心
まるごと対応しても
超リーズナブル
超リーズナブル
私たちはメーカーではありませんので、特定の商品を販売する事を目的にはしていません。
様々な企業様のITセキュリティに関する問題に対して「無駄の無いプラン」をご提案します。
例えば、ご紹介したアクセス管理、不正検知、記録の対策にまとめて対応できるシステムは
パソコン1台あたり月額¥1,200、一日¥40から導入する事も可能です。
ここまでにご紹介した機能をワンパッケージでご提供します
1:現状調査社内パソコンのセキュリティ設定やデータアクセス権限など、ITセキュリティの管理状態を詳しく調査
2:対策設計現状調査、業務フローの確認、将来的なご要望から御社のIT環境にピッタリなセキュリティ環境を設計
3:システム導入メーカー対応、ライセンス購入の代行からシステムの初期設定、各パソコンの設定など丸ごと対応
4:運用サポート導入したシステムの運用に関する対応だけでなく、保守管理を行う事も可能なのでご安心ください。
