セキュリティというと、外部からの攻撃や不正アクセスをイメージしがちです。
でも実際には、多くのセキュリティ事故は「社員のうっかり」から起きています。
悪意があるわけじゃない。でも、だからこそやっかいなのです。
「外からの攻撃」より「内側のミス」の方が多い
セキュリティ事故と聞くと、どこかの悪意ある集団が会社のシステムに侵入してくる——そんなイメージを持つ方が多いと思います。
もちろんそういった外部からの攻撃も実在しますが、実際に小さな会社で起きているセキュリティ事故の多くは、もっと身近なところから発生しています。
それが、社員による「人的ミス」です。
- 悪意を持って情報を盗もうとしたわけではない
- ただ、うっかりしてしまった
- 忙しくて確認が甘くなってしまった
そういった日常のちょっとしたミスが、重大な情報漏えいにつながることがあるのです。
「うちの社員はそんなことしない」と思われる社長さまもいるかもしれません。
でも、これは性格や意識の問題ではなく、仕組みの問題です。
誰でもミスをする環境に置かれれば、誰でもミスをします。
大切なのは、ミスが起きにくい仕組みをあらかじめ作っておくことです。
小さな会社で実際に起きている”内側”からの事故
具体的にどんなことが起きているのか、よくある事例を見てみましょう。
事例① メールを誤って別の取引先に送ってしまった
宛先を入力する際、似た名前の取引先を選んでしまい、見積書や契約書が全く別の会社に届いてしまった。「送信取消」を試みたが、相手はすでに開封していた。
事例② 個人のUSBメモリを会社のパソコンに挿した
「自宅でも作業したいから」と、個人のUSBメモリにデータを入れて持ち帰った社員がいた。
そのUSBには別の場所でウイルスが混入しており、会社のパソコン全体に感染が広がった。
事例③ 退職前に顧客リストを持ち出した
退職する社員が「自分が担当していたお客様だから」という感覚で、顧客データを個人のメールに転送していた。悪意はなかったかもしれないが、情報漏えいとして問題になった。
事例④ 共有フォルダのアクセス権を「全員OK」にしたままにしていた
「社内で共有しやすいように」と設定した共有フォルダが、外部からもアクセスできる状態になっていた。社員は設定の意味を理解しておらず、ずっとそのままになっていた。
事例⑤ 私用スマホで会社のメールを見ていた
「便利だから」と私用スマホに会社のメールを設定していた社員が退職。
スマホにはメールのデータが残ったままになっており、その後も閲覧できる状態が続いていた。
なぜ「うっかり」が起きるのか
これらの事故は、社員が「悪い人だから」起きたわけではありません。
多くの場合、次のような構造的な問題が背景にあります。
まず、ルールがそもそも存在しない会社が多いです。
「USBはダメ」「個人スマホに会社のデータを入れてはいけない」といったルールが文書化されておらず、社員は何がOKで何がNGなのかを知らないまま働いています。
次に、ルールはあっても周知されていないケースです。
就業規則のどこかに書いてあっても、入社時に一度説明しただけでは定着しません。
日常の業務の中で意識できる状態になっていないと、いつの間にか形骸化してしまいます。
そして、「忙しくて確認できなかった」という状況も多いです。
メールの宛先確認、ファイルの共有設定の見直し——わかってはいるけれど、業務が立て込んでいると後回しになってしまいます。
これらは全て、社員個人の問題というより、仕組みや環境の問題です。
だからこそ、社長さまがリードして仕組みを整えることが重要なのです。
人的ミスが起きやすい3つの場面
特にミスが起きやすい場面を、3つに整理しました。
この3つの場面を意識するだけで、人的ミスのリスクは大きく下げられます
社長さまができること:3つの対策
「では何をすればいいのか」
難しく考える必要はありません。まずは次の3つから始めてみてください。
「社員を信頼しているから大丈夫」は危ない
「うちの社員は信頼できるから、そんな心配はいらない」と思う社長さまもいるかもしれません。
でも、信頼と仕組みは別の話です。
信頼できる社員でも、ルールを知らなければミスをします。
忙しい状況に置かれれば、確認を怠ることがあります。
退職するとき、悪意はなくても「自分が担当していたお客様の情報だから」と持ち出してしまうことがあります。
社員を疑うのではなく、社員がミスをしにくい環境を整えることが、社長さまの役割です。
仕組みが整っていれば、社員も安心して働けますし、万が一のときに会社を守ることにもつながります。
ルールを作ろうと思っているけれど、何を書けばいいかわからない。
退職者のアカウント管理、実はちゃんとできていないかもしれない。
「うちは大丈夫」と思っていたけれど、この記事を読んで少し不安になってきた。
そういう気持ちが出てきたなら、ぜひ一度現状を確認してみてください。
「完璧なセキュリティ体制を作る」必要はありません。
まず「今どういう状態か」を知るところから始めることが大切です。
この記事のまとめ
セキュリティは「一度やれば終わり」ではなく、継続的に意識し続けることが大切です。
一人で全部対応しようとすると難しいですが、一緒に考えてくれるパートナーがいれば、ずいぶん楽になります。
「うちのセキュリティ、大丈夫かな?」を一緒に確認します
IT伴走では、現状のセキュリティ確認からルール作りのサポートまで、社長さまのペースで一緒に進めます。「何から始めればいいかわからない」という段階からご相談いただけます。
お気軽にお問い合わせください。
さらに詳しく知りたい方へ
無料カウンセリングへお気軽に
「これ、誰に聞けばいいんだろう?」そんなITの悩みがあれば、まずはお気軽にご相談ください。
現状の課題整理や、どこから始めるべきかのご相談も可能です。
事前予約制となっております。お電話またはネットにてご予約ください。
社長がひとりにならないIT伴走
小さな会社のITは、社長がひとりで抱え込んでしまうことが少なくありません。
もし「誰かにちょっと相談できたら」と感じることがあれば、お気軽にご相談ください。
アクアデジタルパートナーでは、小さな会社のITを一緒に考える「IT伴走」を行っています。
