弊社のHPをご覧いただきありがとうございます。

CREATE代表をしております丸茂（まるも）です。

前回にわたり「改正個人情報保護法」をお伝えしていきましたが

今回は”サイバーリスクをゼロにできない要因”と”「自社の備えを知っておく」”についてお話したいと思います。

一番厄介な点はサイバーリスクはゼロにできない点です。

その要因には大きく2点があると考えます

①　脆弱性

①　課題

　　　①　脆弱性について

管理体制や承認プロセスなどの組織的な脆弱性

□セキュリティポリシーの形骸化や知識不足

□申請者と承認者が同じプロセス　など人間の心理的な弱さや意識面の甘さなどの人的な脆弱性

□EMOTETのようなビジネスメール詐欺、セキュリティリテラシーの低さ

　　　②過失や内部不正といった課題

□誤操作　・顧客の氏名、口座番号、送金金額等の個人情報が記載されたデータを、誤って別の取

引先の団体に送信。被害者に対して連絡をして、説明および謝罪を実施した。

□住所、氏名、メールアドレス等の顧客情報が入ったパソコンを従業員が紛失し、その事実

を公表。被害者に対して連絡をして、説明および謝罪を実施した。

□従業員が顧客約10 万人分の情報を不正に持ち出し、名簿業者に売却していたことが発

覚した。被害者に対して連絡をして、説明および謝罪を実施した。

□従業員が機密情報を不正に持ち出し、競合企業へ提供していた。機密情報の提供元で

ある取引先企業から損害賠償を請求された。

これらの「人的な」脆弱性と課題がサイバーリスクをゼロにする最大の障壁です

「法的な対応以外はもっと怖い」

そして法的な対応も怖いですが、企業にとってもっと怖いのはもし事故が発生したら・・・

〇営業上の損失　→顧客離れや取引停止

〇業務上の損失　→被害拡大防止と復旧作業等のため、サーバの停止やネット接続の遮断

〇金銭的な損失　→システム復旧費用、損害賠償請求

といったリスクが考えられます。

本来自分たちが被害者であるところ、自分たちの会社を踏み台に取引先に被害が波及してしまうことにより

「対策が不十分だった」「気づいたがどう対応すればいいかわらかず時間がかかってしまった」「保険にも未加入だった」

こんな言い訳を取引先が聞けば　バッシングを受けお金・取引・信用・人材を失いかねません

「自社の備えを知っておく」

このようにサイバーリスクにかかる「法的な対応」「経営上の対応」を防ぐ予防としては、

以下の3点を改めてチェックする必要があります。

①　業務実態

サーバー上や個人のPC上でのデータ扱いは？管理責任者や管理方法は形骸化していないか

いざ漏洩が発生した際の報告の流れはどうなっているか

②　セキュリティ

OSやソフトウェアアップデート、ウイルス対策やPW強化、攻撃の手口を知る

独立行政法人情報処理推進機構セキュリティセンター

https://www.ipa.go.jp/files/000055516.pdf

また、フィッシングの対策としては

□OS ソフトやセキュリティ製品を 最新の状態 に保つ

□不正アクセス防止のため、パスワードを 複雑なものにし、定期的に変更、二要素認証の利用、また、 サービスごとに変える

□最新の手口や情勢（流行）を知り、 社内共有 する

□大手企業、著名な企業からのメールだからと いって 、無条件に信用してURLをクリックしたり、 安易に個人情報の入力 を絶対にしない

□正規のアプリ や ブックマーク をした正規の URL からログイン して情報を確認する

□心当たりのない取引の有無を把握するため、預金残高、クレジットカード利用履歴などの細目を確認 する

□個人情報を入力させるメールは詐欺の可能性。もし、入力してしまったら、サービス事業者のサポート窓口に連絡 し、 認証情報を変更する

③　保険 ・ サービス

サイバーリスクを保険で補填、24時間365日相談できるコンサルタント窓口を用意しておくなど

そういった場合の保険やコンサルタントを用意しておくことで

◼サイバートラブル発生時の初動を誤ると、信用失墜など二次的な被害を招くことがあります。

◼緊急時に専門事業者との連携体制を構築し、金銭・信用被害を最小限に

◼情報漏えいによる賠償リスクをリスクヘッジすることが可能です。

◼ サイバー攻撃の有無を確認するために外部調査を依頼する費用

◼ サイバー攻撃の原因や被害範囲を特定する費用

◼ 情報漏えい被害者に対する通知費用や見舞費用

◼ 被害者に対する法律上の賠償損害や争訟費用等

自社の情報管理の実態をしり、対策を講じて、保険をかけておく

どのような会社でも被害に遭う可能性があることを念頭において、事前の準備をしておくことがこれからは求められるかもしれません