パソコンを使っている時に、うっかり操作をミスしてしまうことってありますよね。そのようなうっかりしたエラーのことを「ヒューマンエラー」といいます。中には重要な情報を誤って外部に送信してしまったり、バックアップが取れてないデータを削除したりしたことがある方もいるかもしれません。このように機械の故障やプログラムのエラーではなく、あくまでも人間の行為で発生するエラーがヒューマンエラーなのです。
ちょっとした油断で発生したヒューマンエラーのために、企業や個人が多大な損失を招くことも考えられます。今回はそのようなヒューマンエラーにはどのようなものがあり、どうすれば対策ができるのかを紹介します。
情報漏洩の原因におけるヒューマンエラーの割合
JNSAセキュリティ被害調査ワーキンググループは「2017年 情報セキュリティインシデントに関する調査報告書」を発表しました。これは2017年にインターネット上に公開された、個人情報漏洩インシデントデータを対象にして、原因や漏洩の対象となった人数、損害賠償額などをまとめた資料です。
調査によると、ヒューマンエラーによる情報漏洩の割合は、
- 誤操作:97件(25.1%)
- 紛失・置き忘れ:84件(21.8%)
- 管理ミス:50件(13.0%)
などが上位を占めています。
情報漏洩はサーバーに対するクラッキングや、不正アクセスなどがニュースとして話題になりますが、実際にはヒューマンエラーのような人的な問題に起因するケースの方が多い事がこのデータからわかります。
参考2017年 情報セキュリティインシデントに関する調査報告書
ヒューマンエラーの内容
ヒューマンエラーといっても、様々なタイプがあります。ここでは日常的に発生する可能性があるヒューマンエラーの原因を5つ紹介します。
紛失
個人情報が含まれたパソコンやUSBメモリを紛失してしまうことがあります。特にUSBメモリのような小さなデバイスは、一度紛失してしまうと、見つけ出すことは難しく、簡単にデータを取得される恐れがあります。
パソコンやUSBメモリの紛失により個人情報の流出が考えられるというニュースは、毎日のように報道されています。紛失による情報漏洩を防ぐ手段として、持ち運びするデバイスの中に個人情報などの重要なデータが必要かどうか検討し、持ち出しに関するルールを定める必要があります。
置き忘れ
置き忘れも情報漏洩の原因となります。電車の網棚にパソコンの入ったカバンを置いたまま忘れそうになったことはありませんか? 紛失と同様ですが、重要な情報に対する持ち出しのルールを徹底し、持ち運びの際は必要最小限のデータに留めておくといった対策が有効です。
盗難
盗難による個人情報の漏洩の可能性も無視できません。重要情報が含まれたパソコンやUSBメモリが入ったカバンの盗難により、個人情報が流出するケースも考えられます。
こちらは飲酒して酔っている状態で居眠りをして重要な書類の入ったカバンを置き引きされた事例です。このようにセキュリティに対する意識の低さや不注意により、個人情報が含まれたデバイスを盗難されてしまう事例も実際に発生しています。
誤操作
個人情報などの重要な情報を誤って削除したり、外部に流出させたりするケースです。電子メールなどで誤った送信先に対して重要情報を送信してしまうなどのうっかりミスも含まれます。
デジタルなデータだけでなく、個人情報が印刷された紙媒体を他の資料と一緒にシュレッダーもかけずに廃棄するといったケースもあり、そこから情報漏洩が発生することもあります。
特にゴミ箱の中をあさり、重要情報を不正に入手することは「スキャベンジング」と呼ばれます。これは実際にゴミ箱をあさるケースだけでなく、廃棄されたハードディスクの中から重要な情報を抜き出す行為も含まれます。
誤操作には他にも、バックアップが不完全なデータを削除したり、サーバーに必要な権限のかけ忘れにより、第三者に情報が盗み見されたり、故意に削除されたりすることなども含まれます。
情報持ち出しルールの形骸化
会社によっては個人情報の流出対策として、重要なデータの持ち出しルールを規定しているところもあるかもしれません。しかし、ルールがルールとして機能していないケースも考えられます。
「少しだけなら大丈夫」と勝手に考えた社員が、ルールを無視して個人情報などを不正に持ち出すことが、日常的に行われていることで、規定したルールが形骸化していることもあります。そしてそれは、結果的にセキュリティトラブルにつながることが考えられます。
ヒューマンエラーへの対策は
ヒューマンエラーが発生する要因は主に以下の3つにまとめることができます。
- 守るべきルールを知らなかった
- ルールを守るつもりだったが、実践できなかった
- はじめからルールを守るつもりがなかった
ヒューマンエラーは人的な操作により発生するエラーであり、完全に防ぐことは難しいかもしれません。しかし、セキュリティに関するルールをしっかりと構築し、確実に守るようにすれば、ヒューマンエラーによる情報漏洩を減らすことはできます。
ヒューマンエラーによる情報漏洩を防ぐためのルール作りには以下のようなものがあります。
ルールを周知する
重要情報に関するルールを策定しても、現場の担当者がルールを知らなかったら効果がありません。ヒューマンエラー防止のためには、まず情報の取り扱いについてルールを周知させるための教育が必要です。
情報漏洩が発生しそうな場面で、どのような行動をとるべきか、そして行ってはいけない行動を明確にして、関係者にルールを周知させましょう。そして決められたルールが形骸化しないように、定期的にルールが守られているかチェックすることが重要です。
ルールを守りやすい環境を整備する
ルールを決めたら、ルールを守りやすい環境を整備することが必要です。特にルールを守ろうとする意志があっても、ルール通りに業務を行うことができないケースがあり、環境に問題がある可能性があります。
やるべき仕事が多すぎて、仕事を自宅に持ち帰ったり、業務の効率化を優先するために、重要な情報の入ったパソコンやUSBメモリを社外に持ち出したりする社員が出てくるかもしれません。
このようなケースではルール通りに業務を進められる環境かどうかチェックし、決められたルールを守りやすい環境を整備するか、ルールそのものを見直すことが求められます。
なぜ、ルールが必要なのかを教える
ルールを作り、ルールが守られる環境を整えたら、社員一人一人がルールを守る必要性がある事を教える必要があります。特に新入社員にはルールを守る必要性の理解が乏しかったり、ルールを守らないことでどのような問題が起こったりするのか、よくわかっていないケースが考えられます。
社員には業務で発生したヒューマンエラーは個人だけの問題ではなく、会社全体の存続に関わる重大な問題に発生する可能性があることを理解してもらい、ルールを守ることの重要性を強く教える必要があります。
ルールを守ることの重要性を伝えるためには、そのルールの決め方も重要です。
企業に係る人全員にセキュリティ意識を高めたもらうためには、セキュリティポリシーの策定方法についてもしっかりと理解を深めましょう。
まとめ
ヒューマンエラーは個人の意識の低さにより発生するものだと考えがちかもしれません。しかし、しっかりとしたセキュリティに関するルール作りを徹底することで、被害を最小限に食い止めることはできます。
さらに、誤送信防止システムの導入や、適切なアクセス権限を設定するなどのツールの導入することで、仮にヒューマンエラーが発生しても、情報漏洩を防ぐことが可能になります。
この記事で紹介したように、ヒューマンエラーは情報漏洩の主要な原因となっています。特定の一つの対策をしたから大丈夫と考えるのではなく、業務を進めるうえで発生する様々なミスやトラブルを見越して、多角的な対策を実施することが、ヒューマンエラー対策として重要になってくるでしょう。