【敵は身近に潜んでいる?】なぜ紙書類の盗難や紛失による情報流出はなくならないのか

セキュリティインシデントにはさまざまな種類があります。マルウェア感染、不正アクセス、SNS炎上…中でも代表的なひとつといえば、外出先などでの紙書類の盗難や紛失による情報流出やその疑いではないでしょうか。2003年の個人情報保護法施行後、個人情報保護の観点から毎年必ず耳にするニュースです。 本稿では、「なぜ紙書類の盗難や紛失による情報流出はなくならないのか」について率直な考察をしたいと思います。

1.オフィスの移転や改装をしての気づき

突然ですが、弊社は2023年に東京オフィスで移転、大阪オフィスで改装を行ないました。新しいオフィスでの業務は快適です。弊社で働くことにご興味のある方、是非一度オフィス見学にお越しください。

さて、会社でも個人でも、引っ越しのときにはたくさんの不用品が出ます。弊社においても古い什器や不要なPCなどの処分を行ないました。そして紙書類も廃棄事業者様による溶解処分やシュレッダーなどで大量処分し、オフィス内がだいぶスッキリしました。

スッキリしたところで、本稿を執筆するにあたり、オフィスの引っ越しと情報流出の関係を改めて考えてみました。

 

2.なぜ紙書類の盗難や紛失による情報流出はなくならないのか

この疑問に対する回答はそれぞれご意見あると思います。

筆者の答えはシンプルに「そこに紙があるから」です。

紙という目に見えて物理的に存在するものがある以上、構外への持ち出し、その結果としての盗難や紛失の発生をゼロにするのは極めて困難です。ですので、紙書類の盗難や紛失を防ぐ最良の方法は「紙書類を持たない」こととなります。

これは筆者が紙書類を持ち歩きたくないから主張している訳ではなく、リスクマネジメントの考え方に基づくものです。リスクマネジメントの世界ではリスクへの対応方法として、一般に「回避」「移転(共有)」「低減(軽減)」「受容(保有)」というアプローチがあります。

 

リスク対応のアプローチ

 

「低減(軽減)」がセキュリティ対策としては分かりでしょう。これは「リスクの発生確率を抑える、あるいはリスクが発生しても影響を抑える」という考え方です。紙書類の管理を例にすると、盗難に備えて施錠保管する、あるいは盗難や紛失があっても追跡できるように持ち出し先・記載内容などを台帳管理することなどが該当します。

これに対し「回避」は「リスクを発生させる要因そのものを除去する」アプローチです。紙書類の管理でいうと、紙書類で業務を行なうこと自体がリスクなので紙媒体禁止!書類は捨ててしまえ!という発想です。

このようにリスクマネジメントの観点からも、「紙書類を持たない」ことも有用な対策であると考えます。

 

3.2023年になっても紙管理は大きなセキュリティ課題

筆者のこの主張に対して、「昔はともかく2023年となった今はDX化が進んでいる、オンラインストレージを利用している」「エコロジーやSDGsの観点から印刷を避けるルールとなっている」という声もあることは理解しています。それらの施策は確かに有用ですので、是非推進なさってください。

一方、日本の社会全体で見ると、紙書類の盗難や紛失による事故はどの程度問題なのでしょうか。

 

2023年の紙媒体の盗難や紛失の報道事例

 

まず、ここ半年ほどの盗難や紛失の報道事例を一部抜粋してみました。あくまで一部の報道に過ぎませんが、これらを見る限り、2023年現在でも紙書類の盗難や紛失事故はまだまだ発生しています。

次に、「情報セキュリティ10大脅威(IPA)」を見てみましょう。最新の2023年版でも、まさに盗難や紛失の例である「不注意による情報漏えい等の被害」が組織編9位にランクインしています。

2023年から過去10年の10大脅威をみても、今年度版を含め、2014年・2016年・2019年・2020年・2021年・2022年の7回も同様の脅威がランクインしています。この啓蒙資料を見ても、紙書類の盗難や紛失による情報流出は、10年前から変わらない組織の課題といえるのではないでしょうか。

 

4.改めて、なぜ紙書類の盗難や紛失による情報流出はなくならないのか

本稿の結論:紙書類は今すぐ窓から投げ捨てましょう(提案)

とはいえ、あらゆる組織がそのような極論に走れる訳ではないことは筆者も理解しています。法律で定められた保存期間のある文書類もあるでしょう。

それではせめて、少しでも「持たない」「持ち歩かない」ことを考えてみてはいかがでしょうか。オフィスのキャビネットや袖机に、もう使わなくなった提案書や社内文書はないでしょうか?まずはそれらをシュレッダーにかけてみることで、読者の組織も読者個人も盗難や紛失のリスクを「低減」するだけではなく、「回避」できると思います。

製品ありきの対策だけではなく、目先の整理整頓など、個人のセキュリティ意識を高めることから始める情報セキュリティ対策もある。そんな気づきの一助となれば幸いです。

 

終わりに

この記事についてのお問い合わせはこちら ⇒ 問い合わせフォーム
※「お問い合わせ内容」の覧に、記事名もしくは記事URLをご記載ください

採用情報はこちら ⇒ Pactera Recruit
現場コンサルタントとの面談等も対応可能ですので是非お気軽にお問い合わせください!

<執筆者:田畑 拓、セキュリティコンサルティング事業部 パクテラ・コンサルティング・ジャパン株式会社>