澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所 代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「株式上場(IPO)と情報漏洩の対応と対策」
について、詳しくご解説します。
情報漏洩の現状・原因とは
コロナウイルスの感染拡大により、テレワークを導入した企業も増えました。
テレワークでは、従業員が会社の外部(カフェで仕事している場合もあり、必ずしも自宅とは限りません)で活動している為、会社による管理が行き届かなくなり、本人のモラルと情報管理能力に依存するところが大きくなります。当然、情報漏洩の危険性も高まると考えられます。
2018年度のNPO日本ネットワークセキュリティ協会(JNSA)による調査によると、情報漏洩の最も発生しやすい媒体は、紙です。これは、書類の入ったファイルや封筒を置き忘れたり紛失したりするといった個人の管理ミスによるものです。その次に多いのは、USBの置き忘れやメールの誤送信です。
何れにしても、情報漏洩の原因で最も多いのは、情報の紛失や誤操作といったヒューマンエラーという事になります。不正アクセスによる流出が最も多いというイメージもあるかもしれませんが、それよりもヒューマンエラーの方が多いのです。もっとも、不正アクセスの被害は、近年、サイバー犯罪の巧妙化により、年々増えてきていますので、油断なりません。
例えば、自動運転向けソフトウェア等の開発を手掛けるベンチャー企業のZMPは、IDとパスワード管理の不備により、同社DM送信システムに対する不正アクセスを受け、メールアドレスを含んだ顧客情報9124件がインターネット上に流出するという事件が起こりました。電話番号や住所等の情報の流出や被害は確認されなかったものの、これを受け、同社はセキュリティ対策や従業員への教育の為、東証マザーズ上場の延期を発表しました。
情報漏洩防止措置
まず、情報漏洩が起きてしまった場合、どのようなダメージを被る事が考えられるでしょうか。
情報漏洩が発生してしまった場合、顧客等からのクレームや損害賠償請求に対する対応(訴訟を含む)、業務の一時停止、行政指導、企業イメージの悪化、新規取引の減少等のリスクを覚悟しなければならない事になります。上記のZMPのように、上場の延期や断念を迫られるリスクもあります。そうならない為にも、防止措置は重要です。
情報漏洩の主な原因であるヒューマンエラーは、例えば、次のような措置が考えられます。
①会社内部での教育・指導(インターンシップに来た学生やアルバイトを含めた従業員全員に対して)
例えば、他社で大規模な情報漏洩事件が発生した場合に、その事例をミーティングで取り上げて原因や対策を話し合う事や、使用した紙等の資料の廃棄・処分の指導、実際に個人情報が漏れた場合をシミュレーションした訓練など。
②社内の情報管理体制の構築と定期的見直し
例えば、資料の管理について従業員相互間で監視や二重確認をさせる事など。
特に、コロナの流行等、新たな働き方が広がった時には、必ず情報管理体制を見直すことが大事です。テレワークによりカフェが提供している無線LANを使って仕事をする人も増えていると考えられますが、こうした無線LANはセキュリティが不十分な場合が多く、情報漏洩のリスクが高いので、無線LANの使用について規制や条件を設ける等のテレワークに対応した情報管理体制を新たに構築したり、見直したりする事も考えられます。
テレワークに伴う個人情報漏えい事案に関する注意事項 (ppc.go.jp)をご参照ください。
➂物的設備面での充実
例えば、機密資料は確実にシュレッダーにかけて破棄してもらう為にシュレッダーをオフィスの至る所に設置して、シュレッダーにかけることを負担に感じさせないようにする事や、鍵のついた金庫や保管庫を十分に用意して従業員が気軽に使えるようにする事など。
④保険への加入
情報漏洩が起きると、前述のように、対策や謝罪の為の費用や、企業イメージの悪化による収益の減少等、莫大な損失を覚悟する必要があります。その為、サイバーリスクやテレワーク中のリスク等の保険に加入しておくことも、ひとつの手として重要です。
次に、情報漏洩のもう一つ大きな原因である、不正アクセスについては、例えば、次のような措置が考えられます。
- 会社内部での指導・教育
…例えば、不正アクセスの手口等を事例を交えて講義形式でレクチャーし、不正アクセスの被害やその前兆に各従業員が早い段階で気付けるようにしておく事など。
不正アクセスの事例については、独立行政法人情報処理推進機構セキュリティセンターがまとめたPDFを公開しています。コンピュータウイルス・不正アクセスの届出事例をご参照ください。 - 社内の情報管理体制の構築と定期的見直し
…不正アクセスがしにくいように定期的にパスワードを変更する事や、情報へのアクセスを制限する事など。 - 物的設備面での充実
…例えば、最先端のセキュリティソフトを会社の全パソコンに導入する事など。
もっとも、どんなに防止措置を講じても、トラブルは、起きる時は起こります。その後、どれだけ二次被害を防止し、顧客の信用低下を食い止め、二度と同じ原因による情報漏洩を起こさないようにできるかが、その後の会社の運命を大きく左右します。その為にも、トラブルを隠蔽するような閉鎖的な会社にならないよう、日頃から、風通しを良くし、内部告知をしやすくするような、組織作りが欠かせません。その為には、法務部門と他の各部門との連携の強化、コンプライアンス研修等が重要です。また、情報漏洩の端緒となるのは、架空請求等の二次被害に遭った顧客からのクレームや相談等が多いですが、こうした端緒を現場の従業員が単なるクレームや相談として済ませてしまわないよう、従業員への教育・指導は勿論、会社に入った情報が何の解釈も加えられずにそのまま会社内部で共有されるような体制も重要です。クレーム対応について、人ではなくロボットやAIを導入している組織においては、誰も気づかないまま単なるクレーム・相談として処理されてしまう危険性がある為、注意が必要です。
情報漏洩が発生した場合の対応方法
①
個人情報保護委員会や監督官庁や警察や弁護士や専門家に報告・相談し、協力を仰ぎましょう。
個人情報保護委員会への報告等について、漏えい等の対応(個人情報) をご参照ください。
②
大規模な情報漏洩が疑われる場合には、対策本部を立ち上げましょう。
➂
調査(漏洩の有無や程度、漏洩した情報の内容や件数、漏洩の原因、漏洩時期)を行い、確実・正確な情報と噂や可能性にとどまる情報を明確に区別しながら、外部公表を行うか等のその後の措置について、短時間で結論を出しましょう。
④
外部公表を行うと判断した場合(可能な限りは公表する事が二次被害防止の為にも重要です)、公表すれば、問い合わせが殺到する事が考えられる為、専用の窓口を予め作ってから公表しましょう。
公表は、個別の謝罪メールやホームページへの掲載、記者会見等が考えられます。公表内容は、顧客などの利害関係人の不安を少しでも取り除くよう、顧客側でお願いしたい事柄(不正な架空請求への対応など)、情報漏洩に関する確実で正確な情報、等を内容に盛り込むと良いでしょう。
⑤ 引続き情報漏洩の原因分析等の調査・検討を行い、ホームページ等も活用しながら、逐次、状況や対策を正直に説明し、信用の低下を防ぎましょう。
【関連記事】
株式上場(IPO)と情報セキュリティ
個人情報漏えい等が発生した場合の法的責任【プラットフォームと個人情報保護法2】
【その他記事】
解雇と退職勧奨、どちらが良いか?~能力不足の社員への対応~【ひな形付】
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
