BLOG

中小BtoB企業も他人事ではない! IT(CRM/SFA)導入によるセキュリティ強化の必要性

「健康保険証情報、10万人を超えるデータが流出か」

すでにお正月気分になりつつあった昨年末に飛び込んできたニュースには驚かされました。

Computer hacker stealing data from a laptopいまだ調査中のようですが、現時点では病院や薬局などの医療機関から情報が漏れ、名簿業者にデータが渡ったのではないかと考えられているようです。

また、昨年6月にも日本年金機構が標的型メール攻撃に遭い、少なくとも125万件の年金情報が流出した報道も記憶に新しいと思います。

ただ、この問題は後の調査報告で明らかにされましたが、巧妙な標的型メール攻撃だったとはいえ、個人情報を共有ファイルサーバに置けるようになっていたことや情報セキュリティに対する認識の甘さが、その後の被害拡大につながったのではないかと考えられてます。

他に情報漏えい事件・事故を挙げるとすれば、2014年7月のベネッセコーポレーション社による2,000万件を超える顧客情報の内部漏えいは影響力が大きかったのではないでしょうか。

 

mark_title2 なんと、2013年の個人情報漏えい事件・事故の件数は1,388件!

JNSA調査報告書2013

2013年 インシデントに関する調査報告 ~個人情報漏えい編~
(JNSA セキュリティ被害調査ワーキンググループ)
※リンク切れの際はご容赦下さい。

NPO日本ネットワークセキュリティ協会のセキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故の調査分析によると、2013年1月1日~12月31日の間に新聞やインターネットニュースなどで報道された記事、あるいは組織からリリースされた個人情報漏えい事件・事故の件数は1,388件で、漏えい人数の合計は925万を超えたようです。

(詳細な調査結果を知りたい方は、参照元のサイト画像をクリックして、リンク先を参照ください。)

 

しかしながら、自主的な情報開示が必要ないと考える企業や漏えいに気付いていない企業を想定しますと、これらの数値が氷山の一角である可能性も否定できません。

ちなみに、情報漏えいの原因ですが、最近ニュースでよく見聞きする「不正アクセス」による漏えいは、わずか4.7%であり、TOP3の内訳をみますと、

[1] 誤操作:34.9%
[2] 管理ミス:32.3%
[3] 紛失・置忘れ:14.3%

となっており、これらTOP3だけで80%を超えているのが実状です。

 

mark_title2 情報漏えいの8割超は内部要因によるもの

調査結果からみても、紛失や誤操作などの人為的ミスが情報漏えいの主な原因として占めており、これらの対応・対策が求められます。

一般的に情報資産の規模が大きくなる大企業やEC事業者などの場合、故意や外部攻撃による情報漏えいにおいては被害が甚大化しやすいとも考えられます。

一方で中堅・中小のBtoB企業では、「自社には事件やニュースになるほどの情報はないし、人為的なミスで漏えいも起こりえない」と考えている経営者や担当者も少なくないかもしれません。

しかしながら、経済産業省の調査によれば、顧客情報に限らず営業秘密の情報漏えいが発生したケースでは、その流出ルートの実に50.3%が中途退職者(正社員)による漏えいという報告もあるようです。

従いまして、顧客情報や営業秘密を一切持たない企業は無いでしょうから、中堅・中小のBtoB企業であったとしても、特に内部要因による情報漏えいには注意したいところです。

 

mark_title2 情報漏えいを起こさないための3つのアプローチ

business people group on meeting情報漏えい対策に終わりはなく継続性が重要だと思いますが、情報管理・運用に関するビジネスルールの明確化や従業員に対する教育徹底は欠かせません。また、ワークスタイルや情報技術の変化に合わせたIT活用も求められてます。

  1. ビジネス(業務)ルールの明確化
  2. 全ての従業員に対する教育徹底
  3. ITツールの活用

 

例えば、コンプライアンスや情報管理に関するガイドライン等の策定は必須ですが、それらを順守するために現場の実情に合った運用をサポートするIT導入、さらには利用者のモラルやリテラシーを維持・向上するための研修や説明会などが不可欠です。

一方でセキュリティ強化に寄与するITツールは多岐にわたり、必要に応じて外部の専門家やセキュリティベンダーに相談すべきかと思いますが、先の顧客リストや営業秘密に関する情報管理・活用に貢献するCRM(顧客管理システム)やSFA(営業支援システム)の導入も検討すべき対象といえます。

特に、展示会で集めた名刺情報やWebサイトからの問い合わせ情報などが Excelのようなアプリケーションで管理され、社内共有フォルダなどで自由に閲覧・操作できるような状態であればなおさらです。

外出の多い営業担当者は、出先からお客様に連絡するために、個人所有のスマートフォンにお客様の個人情報を登録しているケースも少なくなく、情報セキュリティ上のリスクヘッジにも配慮したいところです。

メールアドレスなどの個人情報については、スパムメールなど悪用が容易なため、メールマガジンの配信リストは高いセキュリティ機能をもったツールを利用したいところです。

 

mark_title2 CRMやSFAなどのITツールに求められるセキュリティ機能

最後に、筆者も過去にITツールベンダーに何社か所属しておりましたので、これまでの経験をふまえてCRMやSFAなどの業務システムに求められる基本的なセキュリティ機能を参考までに伝えておきたいと思います。

■アクセスログ管理
→利用者のログイン履歴から、どのデータに誰がどんな操作を行ったのか、などの記録を残し管理します。

■接続制限
→接続元のIPアドレスの限定や接続時間などを制限できます。セキュリティ証明書の発行など、ブラウザ単位で接続制限することも可能。

■ログイン認証(2段階認証など)
→2段階認証とは、ID/パスワードの確認に追加して、さらにセキュリティコードによる確認を行うことで、より安全にログインするための仕組み。
※ID/パスワードを一定回数以上間違うとしばらくの間ログインできないロックアウト状態にする機能も有り。

■パスワード管理
→パスワードの強度設定(文字数、数字や英字などの組み合わせ等)をはじめ、以前利用したパスワードの再利用禁止、定期的な変更を求める通知機能など。

■権限設定
→利用者のポジションや役割に応じて、可能な操作や取り扱えるデータを限定できます。例えば、一時的に特定の作業を派遣社員に行ってもらう場合など、対象データの削除やダウンロードを行えないようにする、等の対応も可能。

 

情報技術の進展とともに、上記以外にもセキュリティを強化する機能はまだまだ増えそうですが、それらの技術や機能に甘んじず、ルールの徹底や利用者に対する教育を継続的に行っていく重要性を再認識すべきと考えます。

セキュリティ強化を図るためにITの活用は重要になりつつありますが、それらを使うのはあくまでも私たち人間です。そもそも何故セキュリティを強化しなければならないのか、その取り組みがどう活かされるのか、従業員の理解と協力を得ながら最終的な目的を果たしたいものです。

この記事を書いた人

堀首 裕芳
堀首 裕芳代表取締役/CRMシニアコンサルタント
FA機器を製造・販売する株式会社キーエンスにて、営業の面白さや難しさ、奥深さを知る。
その後、複数のベンダーでSFA(営業支援システム)やCRM(顧客関係強化)領域のコンサルティングや営業管理職を務め、2011年にB2Bマーケティング株式会社を設立。
BtoB企業の顧客獲得や売上アップに貢献すべく、日々奔走中。

関連記事

ページ上部へ戻る