BPRコンサルティング
バックオフィス
プリント
フルフィルメント
ネットワーク
コンタクトしかし、認証を持つ企業でも情報漏洩事故は後を絶ちません。
はじめに
2023年にはプライバシーマーク取得企業による個人情報の誤送付が相次ぎ、
2024年にもISO27001認証を持つ大手BPO事業者で、内部不正による情報持ち出しが発覚しました。
厳格な審査をクリアした「認証取得企業」であるにもかかわらず、なぜこうした事故は後を絶たないのでしょうか?
その決定的な差は、ルール整備だけでなく、「現場の運用実態」が伴っているかどうかにあります。同じ認証マークを掲げていても、現場の意識と行動が追いついていなければ、情報は守れません。
本コラムでは、認証資格だけでは見えない「現場の運用実態」とはなにか、そして情報漏洩を防ぐために現場レベルで必要な対策について、具体例を交えて解説します。
01:認証資格だけでは防げない情報漏洩の実態
認証取得企業でも起こる情報漏洩事故
「ISO27001を取得しています」「プライバシーマークを保有しています」── BPO事業者のWebサイトや提案資料には、必ずと言っていいほどこれらの認証マークが掲載されています。
実際、多くの企業がBPO事業者を選定する際、これらの認証資格の有無を重要な判断材料としています。しかし、認証を保有しているからといって、情報漏洩が起きないわけではありません。
近年報道された情報漏洩事故の傾向:
✓ 誤送付・誤送信:宛先の確認ミス、添付ファイルの取り違えなど
✓ 内部不正:退職予定者や委託先スタッフによる意図的な持ち出し
✓ 紛失・盗難:USBメモリやノートPCの紛失、業務資料の置き忘れ
情報漏洩事故が企業に与える影響例:
✓ 法的責任:個人情報保護法違反による罰金、損害賠償請求
✓ 社会的信用の失墜:報道による企業イメージの悪化、顧客離れ
✓ 事後対応コスト:調査費用、通知対応、再発防止策の実装費用
では、なぜ厳しい審査をクリアした企業でも、こうした事故が起きてしまうのでしょうか?
どれだけルールを整備しても、実際に作業するのは「人」であるということ
一見、発生原因がバラバラに見える情報漏洩事故ですが、実はある共通点があります。それは、サイバー攻撃やシステムの不具合といった機械的な要因だけではなく、「現場の担当者のうっかり」や「出来心」といった、人の判断や行動が関与しているからです。
認証制度のおかげで、企業には「あるべき姿(理想的なルール)」が備わっていますが、実際に作業するのは「人」であるということを忘れてはいけません。
こうした要因は誰にでも起こり得るもので、ルールに問題がなくても、業務の忙しさや心理的負荷によって手順の徹底が難しくなる場面があります。
もちろん、従業員教育やマニュアル整備は重要であり、DNPでも継続的な教育がリスク低減の基盤となっています。しかし、どれほど精密なルールや教育体制があっても、「繁忙期の作業負荷」「慣れによる注意の低下」「突発的なミス」などを完全に防ぐことは困難です。
つまり、人が関わる以上、認証制度や教育だけで手順を完璧に維持するには限界があるということです。
ここに、「意識」や「ルール」だけに依存したセキュリティ対策の構造的な課題が存在します。
※DNPが実際に取組む「ネットワークセキュリティ対策」や「従業員教育・マニュアル整備」については、別コラムで詳しく配信予定です。
02:なぜ「意識」や「ルール」だけでは情報漏洩を防げないのか
情報漏洩の約4割は「人的要因」
前章で述べた「意識や教育だけでは完璧に守り切れない」という課題は、近年の情報漏洩の事故データにも表れています。東京商工リサーチの調査によると、2024年の情報漏洩・紛失事故189件のうち、原因別では「ウイルス感染・不正アクセス」が114件(60.3%)と最多でした。一方、人為的な要因も軽視できません。「誤表示・誤送信」が41件(21.6%)、「紛失・誤廃棄」が20件(10.5%)、「不正持ち出し・盗難」が14件(7.4%)と、合計で約4割を占めています。
※東京商工リサーチ 2024年「上場企業の個人情報漏えい・紛失事故」調査結果
「意識」や「教育」だけに依存したセキュリティ対策の限界
「個人情報の取扱いに注意してください」「データの持ち出しは禁止です」といった注意喚起やルールには根本的な弱点があります。それは、現場スタッフの「意識」や「注意力」に依存しているということです。
人間は完璧ではありません。急いでいるとき、疲れているとき、慣れた作業では、どんなに注意深い人でもミスを犯す可能性があります。
03: 解決策‐人の意識に頼らない「物理的対策」
「気をつける」のではなく「できない」環境を作る
では、人の「意識」や「注意力」の限界を補い、事故を確実に防ぐにはどうすれば良いのでしょうか。その一般的な解決策として挙げられるのが、「そもそも不正やミスができない環境」を物理的に作ることです。
人の意識や個人の努力に依存せず、仕組みで解決する。これは、製造現場において「操作を間違えようとしても間違えられない構造にする」という安全設計の考え方を、情報セキュリティに応用したものです。
具体的に、「物理的対策」には以下のような考え方があります。
✓ 「注意してください」ではなく、物理的にできない状態を作る。
✓ 「持ち出さないでください」ではなく、物理的に持ち出せない仕組みを作る
✓ 「入らないでください」ではなく、物理的に入れない構造を作る
個人の「意識」ではなく、環境の「構造」を変えることで、悪意の有無や体調に関わらず、セキュリティ事故の発生を物理的に阻止する。これが、情報漏洩を防ぐための最も確実なアプローチです。
04:実践事例‐DNPが導入する物理的対策
私たちも、この「物理的対策」の考え方を基本とし、長年現場での取組みを徹底してきました。ここでは、DNPのBPOセンターで実際に導入されている対策の一部をご紹介します。
物理的対策①:ポケットレスユニホームで外に持ち出せないようにする
DNPのBPOセンターで働くスタッフが着用するユニホームには、ポケットがありません。
「うっかり」「無意識」の持ち出しも情報漏洩事故につながります。ポケットレス作業服は、この「無意識」を構造的に防ぎ、そもそも何も入れることができない、物理的に持ち出せない状態を作ります。役職や雇用形態に関わらず、例外なく全作業者に適用されます。
物理的対策②:透明バッグで持ち込み物を常に可視化する
セキュリティエリアでは、業務内容やセキュリティレベルに応じて持ち込み可能な物品が定められており、飲み物の持ち込みが禁止されている場合もあります。持ち込みが許可された物品については、透明バッグに入れることが義務付けられています。
透明バッグは中身が一目でわかるため、スマートフォンや記録媒体などの禁止物を隠して持ち込むことができません。「持ち込まないでください」という注意喚起ではなく、透明バッグという仕組みによって「持ち込めない/持ち込んだら必ずわかる」状態を作り出しています。
物理的対策③:厳格な入室管理でアクセスを制限・記録する
ICカード認証による入退室管理システムにより、「誰が・いつ・どこに入ったか」が秒単位で記録されます。
セキュリティエリアはレベル1〜5まで多層的に分かれており、業務内容に応じて必要最小限の人だけがアクセスできるよう物理的に制御されています。
✓ 許可されたエリア以外には物理的に入れない
✓ 仮に不正アクセスがあっても記録が残るため追跡可能
さらに、入退室時には監視カメラに向かって両手を広げて振る「手のひら宣誓」を実施します。この動作により、手の中や袖に何も持っていないことが映像として記録されます。「持ち出さないでください」という注意喚起ではなく、入退室のたびに物理的な確認と記録を残す仕組みです。
✓ 入退室時の挙手確認により手・袖に何もないことを映像で記録
この映像記録は、万が一の際に「何も持ち出していない証明」として機能します。疑いをかけるための監視ではなく、スタッフの潔白を証明し、不当な疑いから守るための仕組みとして現場で運用されています。
05:委託先選定における「物理的対策」の確認方法
認証資格はあくまで「最低基準」です。本当に情報を守れる事業者とそうでない事業者を分けるのは、「物理的対策の有無」です。
BPO事業者を選定する際は、以下の三つのポイントを確認することをお勧めします。
まとめ
-
point認証資格だけでは見えない「現場の実態」を確認する本コラムのタイトルで問いかけた「ISO・Pマーク取得企業であれば、安心だと思っていませんか?」という問いに対する答えは、「それだけでは不十分」です。
同じ認証を持つ企業でも、現場の運用実態には大きな差があります。
本当に情報を守れる事業者とそうでない事業者を分ける決定的な差は、「現場レベルでどこまで徹底された運用ができているか」という実態にあります。認証資格の有無だけでなく、実際の運用状況を確認することが重要です。 -
point現場の運用実態を確認する時の視点情報漏洩事故の約4割が人的要因によるものである以上、委託先選定時には「人の意識」や「注意力」だけに頼らない仕組みがあるかを確認することが重要です。
具体的には、「物理的に持ち出せない」「物理的に入れない」「物理的に記録される」という対策が現場レベルで実装されているかを、実際に確認しましょう。
センター見学のご案内
「セキュリティの実態をご自身の目で」DNPの現場見学は随時開催中です。
DNPのBPOソリューションセンターでは、実際のBPO現場を公開する見学会を定期的に実施しています。
本コラムでご紹介した「物理的強制力」が実際にどう機能しているのか、ぜひご自身の目でお確かめください。