個人情報を扱う中小企業が最低限やるべき5つの備え

顧客の個人情報を扱う中小企業が最低限やるべきことは、セキュリティ対策の徹底と万が一に備えた体制の構築です。サイバー攻撃は企業の規模に関係なく無差別に行われており、パソコン1台の調査だけで100万円かかります。

まずはセキュリティ対策から始める

個人情報を扱う中小企業がまず取り組むべきことは、保険に入ることではなくセキュリティ対策そのものを強化することです。保険はあくまで万が一のための備えであり、被害を防ぐための対策が最優先です。

セキュリティ対策は「機械面」と「人の面」の両方から考える必要があります。セキュリティソフトやシステムの設定で防げるものと、従業員の行動で防ぐべきものの2つのアプローチがあります。限られた予算の中で何から取り組むべきかは限られた予算で優先すべきセキュリティ対策4選も参考になります。

備え1　個人情報管理ルールの社内整備

最も基本的な対策は、個人情報の管理ルールを社内で明確に定めることです。

どの部署がどのデータにアクセスできるのか、データの持ち出しや外部への送信についてどのようなルールがあるのか、退職者のアカウント削除はどのタイミングで行うのかなど、具体的なルールを策定して全従業員に周知する必要があります。

ルール策定のポイントは以下の通りです。

• アクセス権限の明確化（誰がどのデータに触れるか）
• データの取り扱い手順の文書化
• 退職者・異動者のアカウント管理
• 外部へのデータ送信に関するルール

備え2　従業員教育の徹底

サイバー攻撃の入口として最も多いのはメール経由の攻撃です。不審なメールのリンクや添付ファイルを従業員が開いてしまうことで、ウイルスに感染するケースが最も多いと専門家は指摘しています。

従業員教育で伝えるべきポイントは以下の通りです。

• 不審なメールの見分け方（差出人アドレスの確認、不自然な日本語のチェック）
• 添付ファイルやリンクを安易に開かない
• パスワードの使い回しをしない
• 異常を発見した場合の報告先と手順
• 社外でのパソコン利用時の注意点

実際にセキュリティ対策をしっかり行っていた企業でもサイバー攻撃の被害に遭った事例があります。IT部門があり、セキュリティソフトも導入していたにもかかわらず、ランサムウェアに感染して事故対応費用だけで1,100万円がかかったケースもあります。ランサムウェア被害で見落としがちなコストについてはランサムウェアの隠れたコストとは？で詳しく取り上げています。

備え3　2段階認証の導入

2段階認証（多要素認証）は、パスワードだけではシステムにログインできないようにする仕組みです。パスワードが漏洩しても、もう1つの認証要素（スマートフォンへの認証コードなど）がなければアクセスできないため、不正アクセスのリスクを大幅に下げることができます。

特にデータベースやクラウドサービスなど、個人情報にアクセスできるシステムには2段階認証の導入を強くおすすめします。

導入が特に重要なシステムは以下の通りです。

• 顧客データベースへのアクセス
• ECサイトの管理画面
• メールアカウント
• クラウドストレージ
• リモートアクセスツール

備え4　VPNの導入

VPN（仮想プライベートネットワーク）は、インターネット上の通信を暗号化する技術です。社外からデータベースにアクセスする場合や、リモートワークでの通信を安全にするために必要です。

VPNを導入することで、仮に通信が傍受されたとしても内容を読み取ることができなくなります。テレワークを導入している企業や、複数の拠点から顧客データにアクセスする必要がある企業にとっては特に重要な対策です。

備え5　情報漏洩時の対応体制の構築

どれだけセキュリティ対策を講じても、サイバー攻撃を完全に防ぐことはできません。万が一、情報漏洩が発生した場合に迅速に対応できる体制を事前に整えておくことが重要です。

対応体制の構築で決めておくべきことは以下の通りです。

• 漏洩発覚時の初動対応手順
• 社内の報告ルート（誰が誰に連絡するか）
• 外部への連絡先（保険会社、弁護士、調査業者）
• 個人情報保護委員会への報告手順
• 被害者への通知方法

この対応体制を自社だけで整えるのはコストがかかります。サイバー保険に加入していれば、保険会社の付帯サービスとして事故発生時の対応サポートを受けることができます。付帯サービスの具体的な内容はサイバー保険のインシデント対応サービスを徹底解説で紹介しています。

どこに何を連絡すればいいのかわからないという中小企業にとって、保険会社の専門チームが初動対応をサポートしてくれることは大きな価値があります。

OSやソフトウェアのアップデートを怠らない

見落とされがちですが、OSやソフトウェアの定期的なアップデートは最も手軽にできるセキュリティ対策のひとつです。サイバー保険の専門家も「一番簡易的なセキュリティ対策」として推奨しています。

OSやソフトウェアのアップデートには、セキュリティの脆弱性を修正するパッチが含まれています。アップデートを怠ると、既知の脆弱性を突いた攻撃を受けるリスクが高まります。

アップデートに関するルールとして以下を整備しておくと安心です。

• OSの自動更新を有効にする
• ブラウザやメールソフトの更新確認を定期的に行う
• 業務用ソフトウェアのサポート期限を把握する
• サポート終了したソフトウェアは速やかに移行する

セキュリティソフトだけでは防ぎきれない攻撃があります。実際にセキュリティ対策をしっかり行っていた企業でもランサムウェアに感染した事例があり、OSの更新も含めた多層的な対策が必要です。

データのバックアップも忘れずに

ランサムウェアに感染するとデータがロックされ、アクセスできなくなります。バックアップを取っておけば、最悪の場合でもデータを復元できるため、被害を最小限に抑えることができます。

バックアップの基本的な考え方は以下の通りです。

• 定期的にバックアップを取得する（最低でも週1回）
• バックアップデータはネットワークから切り離して保管する
• バックアップからの復元手順を事前にテストしておく

ネットワークに接続されたままのバックアップは、ランサムウェアに感染した際に一緒にロックされてしまう可能性があります。オフラインのストレージやクラウドの別アカウントなど、本番環境と分離した場所に保管することが重要です。漏洩時にどれくらいの賠償が発生するかは個人情報漏洩の損害賠償額の実態で具体的な金額を紹介しています。

サイバー保険は年間数万円から加入できる

ここまで紹介した5つの備えに加えて、サイバー保険への加入も検討をおすすめします。サイバー保険は年間数万円から加入でき、セキュリティソフトの導入費用と大差ない金額です。

パソコン1台の調査に100万円かかることを考えれば、年間数万円の保険料でリスクヘッジしておくことは合理的な判断です。

情報漏洩限定の補償であれば保険料はそこまで高くなく、売上が数千万円から1億円程度の中小企業であれば十分に負担できる水準です。

サイバー保険に加入すると、保険金の支払いだけでなく、保険会社の付帯サービスも利用できます。インシデント発生時の初動対応サポートや、フォレンジック調査の専門業者紹介など、中小企業が自社で整えるにはコストがかかる体制を外部に任せることができます。

サイバー攻撃をなめてはいけません。保険の専門家が中小企業の経営者に最も伝えたいメッセージは「サイバー攻撃をなめないこと」だといいます。パソコンを使っている限り、どの企業にもリスクがあります。対策と保険の両面から、顧客データを守るための備えを整えましょう。個人情報保護法の改正で報告義務がどう変わったかは個人情報保護法改正がサイバー保険に与える影響で解説しています。

サイバー保険の補償範囲も合わせて確認しておくと、自社に必要な補償プランがイメージしやすくなります。