情報漏えいに注意。歓送迎会、忘年会シーズンの情報漏えい対策

歓送迎会、忘年会などビジネスにおける飲み会の場は、コミュニケーションを深め、関係構築に欠かせない文化として定着しています。しかし、その和やかな雰囲気の中で私たちは気づかぬうちにセキュリティの警戒線を下げてしまいがちです。アルコールの力を借りた会話の弾む空間は、同時に情報漏えいのリスクが高まる危険地帯でもあるのです。「ここだけの話」で始まる機密情報の共有、うっかり置き忘れるデバイス、酔った勢いでのSNS投稿など一瞬の気の緩みが、企業価値を揺るがす大きなセキュリティインシデントへと発展する可能性があります。本コラムでは、楽しい飲み会を安全に過ごすためのセキュリティ対策を紹介します。

飲み会で発生しやすいセキュリティインシデントの原因

紛失、盗難、置忘れ

アルコールによる注意力と判断力の低下により、書類やデータの紛失・盗難リスクが高まります。カバンや上着のポケットに入れた業務資料、USBメモリ、スマートフォン、ノートPCなどを、帰宅途中の電車やタクシー内に置忘れることに注意が必要です。なかでも、電車やホームのベンチ、道端で眠ってしまった隙には置忘れではなく盗難にあうことも懸念されますので注意が必要です。

口頭での漏えい

飲み会の場では、アルコールの影響で通常なら話さないような機密情報や内部情報を口にしてしまうリスクが著しく高まります。飲食店等では、個室と思いきやふすま一枚で隣の部屋と隣接しており、会話が筒抜けの場合があります。「ここだけの話」という前置きのもと、新製品の開発状況、顧客との商談内容、人事異動の内幕、業績の非公開情報などが会話の中で漏れ出してしまいます。特に協力会社など、社外の方との飲み会や公共の場での大声での会話は、競合他社や第三者に意図せず情報が伝わる危険性があります。また、酔いが進むほど「自慢話」や「愚痴」として機密性の高い話題に踏み込みやすくなり、翌日になって「言ってしまった」と後悔するケースも少なくありません。このような口頭での漏えいは、証拠が残りにくいため発覚が遅れ、被害が拡大しやすい特徴があります。

SNSでの不適切投稿

アルコールの影響で判断力が鈍った状態でのSNS利用は重大な情報漏えいリスクとなります。酔った勢いで会社の内部情報や愚痴を投稿したり、取引先との飲み会写真に位置情報付きで投稿することで、取引先の情報を公開してしまいます。特に「今日はあの大手企業との商談が成立」といった投稿は、公式発表前の機密事項を漏らすことになります。また、飲み会での出来事を面白おかしく共有するつもりが、社内の人間関係を暴露したり、他社や顧客の悪口になったりするケースも多発しています。こうした投稿は永続的にネット上に残り、スクリーンショットで拡散される可能性があるため、一度の不用意な投稿が会社の信用問題にまで発展することがあります。

誤操作

クラウドサービスやリモートアクセスの普及により、会社に戻らずとも業務システムを操作できる機会が増えています。酔った状態で自宅から、社内システムやクラウドサービスへのアクセス、顧客データベースの操作、メールの送信などを行うことで、誤った情報の入力や不適切なファイル操作が発生する可能性があります。この際に発生するセキュリティインシデントは、漏えいのみならず、不適切な操作によるデータ消失や設定変更などによるシステム破壊に繋がることもあり、酔いによる単純なミスが、事業を揺るがすような大きな事案の原因となる可能性があります。

想定されるリスク

前述したセキュリティインシデントで発生するリスクには以下のようなものがあります。

情報漏えい

紛失したUSBメモリやPCが悪意のある第三者にわたることで中の情報が流出する可能性があります。製品や技術の機密情報や顧客リストが他者に渡る可能性があり、こうした情報の流出は企業の成長や競争力を低下させる可能性があります。また個人情報や取引先の機密情報が含まれている場合は法的な責任や損害賠償を求められる可能性があります。

自社や業務委託元会社の信用失墜

企業で情報機器の紛失が発生するとメディアで大きく取り上げられ、自社の名前が報道されることがあります。重要なデータが入った情報機器を紛失することは「情報管理ができていない会社」というイメージを持たれ、顧客離れや株価の下落などにつながる可能性があります。
また、その業務が他社の業務を請け負っている場合は、委託元の社名も世間に知れ渡ることになり自社だけでなく他社の信頼も損なうことになりかねません。

業務への影響

紛失したUSBメモリやPCに入っていたデータは利用できないため、作業の中断や再作成の手間が発生しプロジェクトの遅延などが起きる可能性があります。また個人情報を含むデータを紛失した可能性がある場合には個人情報保護委員会への届出義務があり、その対応のためにリソースを割いたり、正面業務に影響が出たりする可能性があります。他にも会社宛ての苦情や抗議の連絡があり、それらの対応でも業務へ影響が出る可能性もあります。

紛失した端末から社内ネットワークに侵入される

紛失したPCに残された情報を悪意のある第三者が利用することでクラウドサービスや社内ネットワークに侵入され、情報の窃取やマルウェアに感染するなどの被害が発生する可能性があります。サイバー攻撃に備えてしっかり対策を施している企業では、第三者がインターネットから社内のネットワークに侵入することは困難ですが、社内ネットワークにつながっている端末があれば容易に社内ネットワークに侵入して、情報の窃取などを行うことができます。

人的、組織的な対策

飲み会における情報漏えい対策を、人的、組織的な対策とシステム的な対策の２つに分けて例示します。

会場に向かう前のチェック

そもそも情報機器、書類を持って行かないようにしましょう。 職場から会場に向かう際には各自カバンの中やポケットに情報機器や書類が入っていないかチェックすることが有効です。 特に取引先などから会場に直行する場合は要注意です。一度職場に戻って、情報機器等を置いてくるようにしましょう。
忘れがちな情報資産として「名刺入れ」があります。社外の方からいただいた名刺は名刺入れに入れたままにせず、すぐに取り出して保管する習慣をつけましょう。

社内ルールの制定

飲み会後の情報漏洩・紛失事案は「泥酔」状態で発生しやすくなります。 お酒に強い方でも二次会、三次会と回数を重ねていくうちに、正常な判断ができない泥酔状態になり、帰宅途中で寝てしまったり、電車の網棚に荷物を置いて忘れてしまうということが発生します。 会社のルールとして「二次会禁止」とするのも有効な手段です。
また、「酒席責任者」を設定するのも有効な手段です。最近ではお酒を飲まれないかたもいるかと思いますので、酒席責任者として会場を後にする際の忘れ物がないかチェックしたり、2次会に行こうとしているひとを制限するなどの役割を担います。

オフィス飲み会

フードデリバリ等を利用したオフィス内での飲み会開催では、情報セキュリティ面での安全性が高く、外部に漏れるリスクが低減します。また、費用面でも飲食店での予算と比較して大幅なコスト削減が可能です。時間の柔軟性も高く、業務終了後すぐに開始でき、帰宅時間を気にする社員も参加しやすくなります。
会社の近所の飲食店や居酒屋、お弁当屋さんなど、公式にはデリバリーやケータリングサービスを行っていなくても、相談してみると快く対応してくれる場合が多いようです。

システム的な対策

いくら厳格なルールを設定していても発生してしまうのが情報漏えい。上記のような人的、組織的な対策のほか、システム的な対策も行いましょう。

USBの利用を制限する

USBメモリの利用を制限することで管理されていないUSBメモリによる情報の漏えいを防ぐことができます。USBメモリの利用を制限するソフトウェアやUSBポートを物理的に塞ぎ、接続できなくする器具などが販売されておりそれらを利用するのがおすすめです。よく、「社内ルールでUSBメモリを使用禁止にしているから大丈夫」と言う方がいますが、社内ルールでUSBの利用を禁止していてもルールを知らない出入り業者や、悪意のある人が持ち込む可能性があるため、技術的な対策が必要です。

リモートワイプ機能を使う

会社から持ち出したPCを紛失してしまった場合の対処としては、リモートワイプ機能が有効です。リモートワイプ機能とはインターネット回線を経由してPCやスマートフォンなどデータを遠隔で消去する機能です。紛失したPCやスマートフォンなどを万が一悪意のある第三者に拾われた場合でもデータを削除することで情報漏えいを防ぐことができます。市販のリモートワイプ製品を導入する他、IT資産管理ツールにリモートワイプ機能があるものもあります。ただし、完全にデータは消えてしまうため、消えて困るデータは持ち出す前にバックアップを取っておくことも必要です。

ドライブを暗号化する

暗号化とはデータを特定の鍵やアルゴリズムを使って変換し難読化させることです。USBメモリやPCのドライブに保存されているデータを暗号化することで紛失した際に第三者が情報を読み取ることを防ぎます。暗号化する方法としてPCのドライブは「BitLocker」などのOSに標準搭載されているものを利用する、市販の暗号化ソフトウェアを利用するなどが挙げられます。USBメモリについては市販の暗号化ソフトを利用する、暗号化機能付きのUSBメモリを利用することなどが挙げられます。こちらも紛失した場合に備えてデータのバックアップを取得することをおすすめします。

ALSOKがおすすめするセキュリティ対策

当社が提供する「ALSOK IT資産管理」は上記のシステム的な対応はもちろんのこと、オプションとしてPCのログ管理やURLフィルタリング、ふるまい検知などの機能もございます。また、本サービスでは、上記の機能に加えて導入、運用をALSOKがサポートいたします。電話で問合せを24時間365日受け付けており、設定変更をALSOKがお客様に代わって行うことも可能です。

当社が提供する「ALSOK IT資産管理」は上記のシステム的な対応はもちろんのこと、オプションとしてPCのログ管理やURLフィルタリング、ふるまい検知などの機能もございます。また、本サービスでは、上記の機能に加えて導入、運用をALSOKがサポートいたします。電話で問合せを24時間365日受け付けており、設定変更をALSOKがお客様に代わって行うことも可能です。

まとめ