新型コロナにより、テレワークが普及した。それは、感染症対策の観点だけでなく、個人のライフスタイルに合わせた働き方を実現するという観点からも良い影響だといえそうだ。
テレワークを実現するための環境整備として、機密情報・データの社外への持ち出しについて部分的に解禁したり、私用デバイスの業務利用(いわゆるBYOD)を解禁する企業も増えた。ウェブ会議システムやクラウド上でのデータ共有サービスなども当たり前に利用されるようになっている。
一方で、データや統計を分析して新たな価値を生み出すビジネスが多く生まれ、データの持つ有用性が増すにつれ、情報のコントロールに対する社会の意識も高まっている。データ保護規制の強化は世界的な潮流だ。日本もその例に漏れず、2022年4月からは、これまで以上に個人の権利利益を保護する内容の改正個人情報保護法が施行される。
このように、ウィズ/アフターコロナの世界では、機密情報・データを社内・社外でやり取りする機会が飛躍的に増えたことに伴って、情報漏洩の可能性が高まるとともに、情報・データに対する社会の権利意識も強くなっている。その結果、企業にとっての情報漏洩事案リスクはかつてないほどに大きなものとなっている。
漏洩した際、どうする?
情報漏洩事案が発生した場合、事案の重大性やニュースバリューを大きく左右するのは、①漏洩した情報の性質、②漏洩の態様、③情報セキュリティ体制の整備状況といった要素だ。順を追って説明する(図1)。
①漏洩した情報がセンシティブなもの、例えば個人情報保護法で「要配慮個人情報」として保護されているような人種、思想信条、病歴、犯罪・犯罪被害歴に関する情報等が漏洩したような場合には、その情報の性質からして、企業としては、直ちに記者会見を検討すべきだろう。また、財産的被害につながる情報、例えば、金融機関口座情報、クレジットカード情報、パスワード等の情報が漏洩した場合には、二次被害を防ぐという観点からも、多少の情報の正確性を犠牲にしても、速やかな情報開示が求められる。
