顧客情報へのアクセス権を持っているのは、誰?

2018年11月7日

お客様から託されたデータにアクセスできるのは誰か、把握していますか?従業員が顧客データを適切に取り扱っていると、胸を張って言えるでしょうか?このごろ、チーム内でデータをやりとりしやすくするためのオンラインツールやクラウドサービスが増えています。しかし、やりとりを簡単にすることで、データの保護が煩雑になる可能性があります。

何が問題となるのか。一言で言うと、全部です。ほとんどのトラブルの発端は、ありがちなミスです。家で仕事をするために、個人で使っているメールアドレスに会社のデータを送った、旅行中にアクセスできるようにとファイル共有サービスにデータをアップロードした、直接リンクからアクセス可能なオンライン版のドキュメントを使ってチームで作業していた、クラウドサービスの構成に間違いがあった…。先日、Kaspersky Labが行った調査『Growing businesses safely: Cloud adoption vs. security concerns(ビジネスを安全に成長させる:クラウドの採用vs.セキュリティ上の懸念)』では、中小規模企業の58%が、パブリッククラウドをベースとしたさまざまなビジネスアプリケーションを使って顧客データを扱っていることが明らかになりました。

クラウド出現以前からある昔ながらのミスも、忘れるわけにはいきせん。保護されていない私物のモバイルデバイスでデータを処理する、紛失や盗難の可能性のあるリムーバブルメディアにデータを入れて持ち運ぶなどは、今でも顧客データを危険にさらす原因の上位に挙げられます。そのほかにも、顧客情報のハードコピーをその辺のゴミ箱に捨てる、権限のない従業員に顧客情報を扱わせるなど、枚挙にいとまがありません。

このような形で漏洩したデータが利用され、会社に損害が及ぶ可能性があります。競合会社や恨みを持つ従業員、サイバー犯罪者などが悪用して、会社の評判を傷つけるかもしれませんし、データをロックして身代金を請求してくるかもしれません。

顧客データの取り扱いと保管を安全に行うには、対象をクラウドにまで広げて堅牢に保護するだけでなく、内部的な対策も必要です。ヨーロッパで事業を展開しているGDPR管轄下の企業なら、すでにこの概念はおなじみだと思います。それでも、保護すべき情報は「個人情報」に限らないということを肝に銘じておく必要があります。

お客様があなたを信頼して託したデータが悪意ある人間の手に落ちないようにするには、どのようなデータを扱っているか、データに対するアクセス権を持つ従業員は誰か、データはどのように処理され、どのように廃棄されているかを把握している必要があります。まずは以下の対策を進めましょう。

  • 従業員が使用している資産のリストを作成する
  • 組織で使用しているオンラインサービスのリストを作り、そのうちビジネスプロセスに欠かせないものはどれかを分析する
  • 不可欠なサービスとその設定をチェックする
  • クラウドに移動してもよいデータはどれで、社内に置いておかなければならないデータはどれか、明確なガイドラインを設定する
  • どの従業員がどのデータにアクセスできるか、ガイドラインを設定する
  • セキュリティ意識向上のためのトレーニングを実施し、機密情報の安全な取り扱い方法をスタッフに教える
  • 信頼できるセキュリティソリューションを使用する

当社の調査によると、中小規模企業の26%が、データの保護をビジネス最大の課題と考えています。逆の見方をすると、残りの74%はこの問題に十分な注意を払っていないということもできます。

調査結果の詳細については、『Growing businesses safely: Cloud adoption vs. security concerns』(英語版PDF)をご覧ください。