OCN セキュリティ対策（個人・中小企業のお客さま）

たびたび世間を騒がせている企業の情報漏えい。営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。今回は、文書ファイルの共有時、クラウドサービス利用時、テレワーク時の3つのシーンで従業員の不注意がきっかけとなる情報漏えいパターンと防止策を紹介します。

みなさんは企業の情報漏えいと聞いたとき、サイバー攻撃による不正アクセスを真っ先に想像するのではないでしょうか。しかし、従業員の不注意や認識不足をきっかけとする情報漏えい事故も少なくありません。もし、パソコンやネット利用時のうっかりした行動で深刻な情報漏えいが生じてしまった場合、どうなるでしょうか。当事者はもちろん、勤務先の信用も失われ、業績などに悪影響が及んでしまうかもしれません。

一口に情報漏えいを引き起こす従業員の過失といってもその内容はさまざまです。今回は見落としがちなケースを「文書ファイルの共有時」「クラウドサービス利用時」「テレワーク時」の3つのシーンにおいて、情報漏えいパターンと防止策を見ていきましょう。

ビジネスシーンではMicrosoft Office（Word、Excel、PowerPoint）などで作成した文書ファイルを取引先や社外の関係者に送る機会がよくあるでしょう。その際は事前に文書の中身だけでなく、プロパティ情報（「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報）や非表示情報（「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など）もチェックしましょう。うっかりそれらの情報を残した文書ファイルを社外に出してしまった場合、情報漏えいにつながる可能性があります。

Microsoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除できます。

また、Microsoft Officeの「名前を付けて保存」機能からPDFを生成するとOfficeファイルのプロパティ情報がそのままPDFファイルに引き継がれます。Officeファイルの不要なプロパティ情報を削除してからPDF化するか、保存の際に表示されるオプションから「印刷対象外の情報を含める」の項目のチェックを外しましょう。

利便性を重視して、個人で利用登録しているクラウドサービスを勤務先に無断で業務利用してはいけません。たとえば、クラウドストレージは取引先と大容量の業務データをやり取りするときなどに役立ちますが、クラウドサービスの利用においては情報漏えいリスクがつきものです。フリーメールサービスも同様です。業務メールを出先や私用のスマホなどで確認するためにフリーメールアドレス宛に無断で転送してはいけません。サービス事業者の人為的なミスやサイバー攻撃などが原因でクラウド上の業務データが流出してしまう事故も起こっています。勤務先の規程に反した行動で情報漏えいが生じてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。

勤務先に許可されているクラウドサービスの利用にあたっても油断は禁物です。機能や仕様だけでなく、利用規約の内容（アップロードされたデータの取り扱いや、機密保持、第三者への業務委託、補償の範囲、禁止事項など）も十分に理解した上でサービスを利用しなければ、意図しない情報漏えいを招いてしまうかもしれません。過去には、あるクラウド翻訳サイトで翻訳にかけた文章が他の利用者にも閲覧できる状態になっていたケースがありました。原因は、翻訳結果をサービス事業者のサーバに保存することを許可する内容のチェックボックスをオンにしたままサービスを利用したことでした。

また、利用規約に「アップロードされたデータをサービス向上のためだけに用いる」という記載があっても、それ以外の目的に使われないという完全な保証はありません。クラウド上にアップロードした情報はユーザのコントロールが及ばなくなることに留意してサービスを利用するかどうかを判断してください。

テレワークという就業場所を問わない働き方が浸透しつつあります。一方、セキュリティが強固なオフィスとは別の場所で就労することになるため、情報漏えいリスクは高まります。

オフィス外では使い慣れた私用のパソコンを使って業務を行いたいと考えるかもしれません。しかし、勤務先の断りなく、私用の端末を業務に用いるのは危険です。通常、勤務先から支給された業務用端末にはマルウェア対策や情報漏えい対策がとられています。一方、私用端末のセキュリティレベルはユーザの知識やモラルによってまちまちです。セキュリティに不備のある私用端末を業務に利用した場合、マルウェア感染やフィッシングサイトでの情報入力などがきっかけで情報漏えいを引き起こしてしまうかもしれません。

また、自宅外でのテレワーク時は、公衆Wi-Fiを利用するケースもあるでしょう。ただ、公衆Wi-Fiスポットの中にはユーザの利便性を優先するためにあえてパスワード認証なしにつなげるようにしているものや、設定不備によって同一ネットワーク上の端末が互いに通信できる状態になっているものも存在します。そんな公衆Wi-Fiスポットを利用してしまった場合、悪意のある第三者に通信内容を盗み見られる可能性があります。どうしても公衆Wi-Fiにつながなくてはならない場合はVPNソフトを利用するなど、勤務先に指定された方法と手順をとってください。

公共の場でのパソコン作業時はのぞき見による情報漏えいも回避しなければなりません。最低限、端末画面にプライバシーフィルター（のぞき見防止フィルム）を装着し、壁を背にするなど、周囲の目線に気を配るなどの対策は必須です。また、パソコン作業中に離席する際は端末の盗難に注意するとともに、ごく短時間であっても必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN（4桁以上の暗証番号）を入力してロックを解除します。自分の名前や生年月日、規則的な数字（1234）など、簡単に推測できるパスワードや暗証番号を設定するのは避けましょう。

テレワーク時はマルウェア感染や情報漏えいなどのトラブルを回避するためにも勤務先が定めるガイドラインやポリシーに従ってください。また、在宅勤務時は家族であっても業務上は部外者であることを意識して業務にあたりましょう。