2022年3月29日、「個人チャットツールの業務利用が企業に及ぼす危険性とヒューマンエラーによる情報漏えいを防ぐ方法を解説」というタイトルで、無料のオンラインセミナーを開催しました。
セミナーには、マーケティング部の柳澤とインサイドセールス部の大石が登壇。
2022年4月1日に施行された改正個人情報保護法の概要や、個人チャットツールを業務に利用することの危険性などについて、スライドを用いながら解説しました。
本稿では、今回のセミナーのレポートをお届けします。
【1章】2022年4月施行 改正個人情報保護法の概要
2022年4月1日から、改正個人情報保護法が施行されます(セミナー開催時は未施行)。改正のポイントは、以下の6つです。
- 個人の権利の在り方
- 事業者の守るべき責務の在り方
- 事業者による自主的な取組を促す仕組みの在り方
- データ利活用に関する施策の在り方
- ペナルティの在り方
- 方法の域外適用・越境移転の在り方
上記6つのポイントの中でも、今回のセミナーテーマである「情報漏えい」と関連性が深い、以下2つのテーマについて解説します。
- 事業者の守るべき責務の在り方
- ペナルティの在り方
なお、それ以外の項目の概要について詳しく知りたい方は、「個人情報䛾促進に関する法律等䛾一部を改正する法律(概要)」をご参照ください。また、今回の内容につきましては、「個人情報䛾促進に関する法律等䛾一部を改正する法律(概要)」を出典元として構成しています。
事業者の守るべき責務の在り方
改正前の旧法では、個人情報保護委員会への報告と本人への通知は、法定の義務ではありませんでした。
それが、今回の改正によって、漏えいなどが発生し、個人の権利利益を害する恐れがある場合は、企業は個人情報委員会への通知と本人への通知が義務化される形となりました。
個人情報保護委員会への報告が必要となる事態とは、以下のようなケースを指します。
- 要配慮個人情報の漏えい等
- 知的財産被害のおそれがある漏えい等
- 不正の目的によるおそれがある漏えい等
- 1,000件を超える漏えい等
また、上記の1〜3については、事態の件数に関わりなく、対象として含まれます。
ペナルティの在り方
今回の改正により、委員会による命令違反等した場合には、法定刑の引き上げ、及び罰金刑の最高額が引き上げされます。
例えば、法定刑の引き上げについて、旧法では「6ヶ月以下の懲役又は30万円以下の罰金」とされていましたが、新法では「1年以下の懲役又は100万円以下の罰金」に法定刑が引き上げされています。
また、委員会への虚偽報告等があった場合、旧法では「30万円以下の罰金」だったものが、新法では「50万円以下の罰金」となっています。
罰金刑の引き上げについては、データベース等不正提供罪、委員会による命令違反があった場合に、旧法では「個人の同額の罰金(50万円以下又は30万円以下の罰金)」とされていましたが、新法からは「1億円以下の罰金」と、罰金の額が大きく引き上げされています。
改正法のまとめ
以上のことから、企業は、情報漏えいのリスクに対して、より一層配慮を行うことが不可欠となっています。今回の改正法を踏まえたうえで、しっかりと対策を行っていくことが重要です。
【2章】個人チャットツールの業務利用が企業に及ぼす危険性
続いて、第2章からは、個人チャットツールの業務利用が企業に及ぼす危険性について触れていきます。
このようなことはありませんか?
業務を行う中で、このようなことはありませんでしょうか?
- 社内連絡を個人向けチャットツールでやり取りをしている
- 個人向けチャットツールの中に、仕事で使うお客様の連絡先が入っている
- 仕事とプライベートの連絡において同じツールを使用している
個人向けのチャットツールは、日頃から利用しているので使い方にも慣れており、簡単かつ気軽にコミュニケーションが取れるツールなので、社内連絡ツールとして業務利用している企業も少なからず存在します。
しかし、個人向けチャットツールをビジネスで利用することには、さまざまなセキュリティリスクが潜んでいます。そのため、たとえ便利だとしても、安心安全な企業活動を行ううえでは、利用が適さないと判断されることもあります。
個人向けチャットと法人向けチャットの違い
ここで、チャットコミュニケーションツールについて、個人向けと法人向けの違いを簡単に解説します。
上記の図表の通り、個人向けチャットと法人向けチャットでは、想定利用ユーザーやセキュリティリスクの程度、ログの管理・保管といった機能の有無などが違います。代表的なサービスについても、それぞれで異なることが図表から見てとれます。
個人向けチャットの業務利用が危険な理由
個人向けチャットの業務利用が危険な理由について、具体的に解説します。主に、以下の4つの理由から、個人向けチャットのビジネス利用はリスクが高いとされています。
誤送信・情報漏えい | プライベートとビジネスの垣根がなくなり、宛先間違いによる誤送信や情報漏えいのリスクが高い |
不正ログイン | セキュリティ対策には個人差があり、第三者にアカウントが乗っ取られるリスクがある |
トラブル時のログ不在 | アカウント管理が個人に依存しているため、トークログの管理ができず、トラブル発生時にログの抽出が難しい |
アカウントが企業の管理外 | アカウントは個人が管理しているため、企業側で管理が行えず、退職時の情報持ち出しや盗難といったリスクに対応できない |
情報漏えいが企業に及ぼすリスク
情報漏えいが企業に及ぼすリスクは、多岐にわたります。主に、以下6つのようなリスクが考えられます。
- 機密情報漏えい
- 企業イメージの低下
- 損害に対する民事訴訟・損害賠償
- 株価下落
- 社会的信用の低下
- 利益減少
これらのリスクを避けるためにも、企業は情報漏えいに対して適切な対策を講じることが必要です。
ベネッセ個人情報流出事件
情報漏えいの具体的事例について、ベネッセ個人情報流出事件を紹介します。
本件は、2014年に発覚したベネッセコーポレーションの顧客情報流出事件であり、被害に遭った顧客ら計462人が、同社と関連会社に慰謝料など計3,590万円の損害賠償を求めた訴訟の判決が東京地裁でありました。河合芳光裁判長は、関連会社に対して1人あたり3,300円、計約150万円の支払いを命じました。
この事件により、責任部署にいた2人の取締役が引責辞任し、さらに本事件の影響で大規模な顧客離れが起き、同社は経営赤字に転落するなど、経営に対する重大な打撃となりました。
出典:日本経済新聞|ベネッセ情報流出、1人3300円賠償命令 東京地裁判決
ビジネスチャットの予防効果
法人向けのコミュニケーションツールであるビジネスチャットは、こういった情報漏えいに対して高い予防効果を発揮します。
従業員が行ったやり取りのログ確認はもちろん、その存在自体が大きな抑止力となるため、手間なく情報漏えいを予防することができ、誤送信などのインシデントにまつわるリスクを最小化におさえることができます。
【3章】ヒューマンエラーによる情報漏えいを防ぐ仕組みづくり
第3章では、ヒューマンエラーによる情報漏えいを防ぐ仕組みづくりについてお話しします。
情報漏えい・紛失事故の年次推移
まずは、情報漏えいや紛失事故の年次推移について、確認してみましょう。東京商工リサーチによると、2021年に起きた情報漏えい・紛失事故の件数は「137件」でした。
原因別データによると、情報漏えいの原因のうち約30%は、「誤表示・誤送信」によるもので、メールの送信間違いといった人為的ミスが中心となっていることがわかります。
出典:東京商工リサーチ|上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)
ヒューマンエラーの事故例
ヒューマンエラーの事故例を紹介します。先日、日本のセキュリティの権威である2つの組織から、情報漏えい事故が発表されました。
1つ目の事故が、2022年1月14日に発生した、株式会社ラックの件です。官公庁や企業を主たる顧客として、セキュリティソリューションサービスとシステムインテグレーションサービスを提供している同社は、元社員が業務上のファイルをバックアップした自宅PCのハードディスクを、フリーマーケットへ売却したことが原因となり、情報漏えい事故が発生しました。
2つ目の事故が、2022年1月18日に発生した、個人情報保護委員会の件です。日本の行政機関のひとつで、内閣総理大臣の所轄に属する行政委員会である同組織は、パブリックコメントへ提出された意見をサイト上に公開する際に、提出者の個人情報を削除せずに公開してしまったことが原因となり、情報漏えい事故が発生しました。
ヒューマンエラーを防ぐためには
ヒューマンエラーを防ぐためには、以下の3つの対策が有効です。
- 教育
- 訓練
- 動機づけ
これらは、「知らない」「できない」「守る気がない」といった人が引き起こすヒューマンエラーに対して、有効な対策です。この対策を行うことにより、ヒューマンエラーの被害をある程度軽減することができます。
それでもミスをしてしまう場合はどうすればいい?
しかし、これらの対策を講じてもミスが発生してしまう場合があります。「ルールをすべて理解し、かつ遂行することができて、守る気もある人」でも、ヒューマンエラーが起こる可能性はゼロではないのです。
このような場合については、残念ながら教育などは効果がありません。
対策としては、教育などに加えて、「作業環境を整える」といった対策が有効です。従業員の集中力を奪ったり、見逃しや見間違いを誘発したりするような作業環境は、ヒューマンエラーを減らすうえで望ましいものとはいえません。教育や訓練などの対策に加えて、「作業環境の整備」を行うようにしましょう。
ヒューマンエラーを防ぐ最も有効な方法
ヒューマンエラーを防ぐために最も効果的な対策は、エラーを誘発するツールの使用そのものをやめることです。
「機会最小」という考え方に基づいた方法で、「そもそもヒューマンエラーのリスクがある業務自体をなくすことができれば、エラーもなくなる」という考え方になります。例えば、今回のセミナーテーマにおいては、個人向けチャットの利用をやめるということが、機会最小に基づく最も有効なヒューマンエラー対策といえます。
個人向けチャットからビジネスチャットへ切り替え
これまで解説してきたように、個人向けチャットを業務利用することには、高いセキュリティリスクが伴います。誤送信による情報漏えいや、不正ログインといったリスクと隣り合わせの状況です。
安心安全な企業経営を行うためには、このような状況から脱却することが必要であり、そのためには、セキュリティの高い法人向けビジネスチャットに切り替えることが有効です。
事実、上記図表の通り、セキュリティに厳しい大企業ほど、ビジネスチャットの導入率は高い傾向にあります。
今回の法改正を契機として、ヒューマンエラーに対して教育や訓練といった対策を講じるとともに、個人向けチャットを業務利用している場合には、ビジネスチャットに切り替えることで情報漏えいの機会最小を実現し、リスクヘッジに取り組まれてみてはいかがでしょうか。
【4章】ビジネスチャット「WowTalk」
ここからは、弊社が開発・提供しているビジネスチャットツール「WowTalk(ワウトーク)」について、紹介します。
主な特徴としては、本セミナーのテーマでもある「セキュリティが強固」である点と、シンプルな設計で非常に使いやすいことの2点が挙げられます。セキュリティに関して、詳しい機能は後述させていただきますが、銀行や市役所といった役場でも活用いただいている実績があります。
また、ダイバーシティについてもミッションの一環として掲げており、色覚バリアフリーや専門担当者による導入後の手厚いサポートといったサービスの提供を通じて、誰もが使いやすいビジネスチャットを目指しています。
ここからは、WowTalkがセキュリティで選ばれる際のポイントを3つに分けて紹介します。
セキュリティポイント①インフラにAWSを採用
1つ目が、国内データセンターにAmazon Web Service(以降、「AWS」)のサーバーを利用している点です。AWSは、ナスダックやNASAをはじめとする大企業や官公庁などでも採用されている、国際的に見ても信頼性が高いサービスです。WowTalkは、このAWSをサーバーのデータセンターとして利用することで、高いセキュリティ水準を維持しています。
セキュリティポイント②ユーザーごとのアクセス制限
2つ目が、ユーザーごとのアクセス制限を設定できることです。パーティション機能と呼ばれるWowTalkの独自機能で、ビジネスモデル特許を取得しています。管理者は、メンバーの性質に応じて、アクセス権限やグループ分けを細かく設定することが可能です。ユーザーごとに適切なアクセス権限を設定することで、機密情報の漏えいや情報の不正利用などへの対策を実現します。
パーティション機能の活用について、2つの事例を簡単にご紹介します。
1つ目の事例について、現場(店舗)と本社の連携といった活用シーンです。店長は、本社のエリアマネージャーに対して、WowTalk上から営業報告や売上報告を行うことができ、店舗スタッフと業務連絡などを行うこともできます。パーティション機能を使うことで、例えば、情報漏えい防止の観点から、エリアマネージャーと店舗スタッフのやり取りを制限することが可能です。
2つ目の事例について、建設現場などでよく見られる活用シーンです。現場と本社でコミュニケーションが行えることはもちろんですが、現場で力を貸してくれている複数の関連会社とのやり取りも、WowTalk上から行えます。
そして、パーティション機能を活用することで、関連会社同士のコミュニケーションを制限することが可能です。管理者が、プロジェクト内における各担当者の連絡可能な範囲を設定できることで、連絡系統の混乱や情報漏えいによるトラブルの発生リスクを最小限におさえることができます。
セキュリティポイント③ユーザーごとの機能カスタマイズ
3つ目のポイントは、ユーザーごとの機能カスタマイズができる点です。上記図表のように、さまざまな機能をユーザーごとにカスタマイズすることができます。
例えば、「部長職以上は、勝手にグループを作成できないようにする」だったり、「アルバイトの方は、ファイルのダウンロードについて制限を設ける」だったりといったような設定が、管理画面上からボタン一つで可能です。先ほど紹介したパーティション機能と合わせてご活用いただくことで、より強固なセキュリティ環境の構築を実現していただくことができます。
その他にもセキュリティを保つための機能を豊富に搭載
先ほどの3点が主なポイントなのですが、その他にも、WowTalkはセキュリティを保つための機能や特徴を幅広く備えています。具体的には、ISO27001(ISMS)認証を取得していたり、SSLによる通信の暗号化やユーザーのログ監視機能を備えていたりなどです。高いセキュリティ環境を実現できているため、安心してツールをご利用いただくことができます。
また、これらのセキュリティに関する機能以外にも、WowTalkはビジネスチャットなので、社内コミュニケーションや業務効率化に役立つ機能を数多く搭載しています。トークや共有(掲示板)といった基本機能の他に、タスク管理や日報、安否確認の機能なども備えています。
個人情報保護法の改正にあたり、コミュニケーションや業務連絡の環境のセキュリティについて課題や懸念を感じられている方は、ぜひこの機会にWowTalkのご利用を検討ください。法人向けの強固なセキュリティによって、安心安全なコミュニケーション環境の構築を実現します。