次に、システム構成図や社内システムの名称、組織の体制といった情報は、断片的だとしても攻撃者に狙われた際には有益な材料となる。実在する部署名や担当者、システム名称を使えば、取引先や同僚になりすましたメールも作成できるだろう。社内資料などに取引先や提携先の情報が含まれていれば、企業間の信頼問題に発展することもある。
最後に、最も重大な問題は企業としての信頼を損ねることだ。金融や決済のように「信頼そのものが商品」である業種では、実際に流出したデータの大小以上に、「この会社は情報管理ができていない」という印象が打撃になってしまう。
そして一度ネットに出た画像は、完全には消せない。投稿した本人にとっても、長く残る記録になる。実際に、入館証が流出した人物に関しては、顔写真や本名がまとめサイトに掲載されている。サイト運営者が削除の要請に従う可能性は低いかもしれない。
根気強いリテラシー教育が不可欠
では、社員を指導する立場としては、何をすべきか。まずはSNSリテラシーの向上に務めるべきだ。
一連の事案では、Z世代とみられる若手による漏洩も見られた。Z世代はスマホやSNSとともに育ち、大学時代から日常的にBeRealを撮影してきている。アルバイト中に撮っていたのと同じ感覚のまま、社会人になっても職場でシャッターを切ってしまったのだろう。
ストーリーズも1日に何度も投稿しているため、発信そのものが習慣になっている。こうした世代には、社内情報が流出するとどんなリスクがあるのか、常識だからと省かずに、具体的な事例を挙げて指導しておく必要がある。入社時の研修一回で終わらせず、こうした流出事例が起きたときにも触れ続けることが大切だ。
組織としての仕組み化も必要だろう。社内で規則を定め、オフィス内に私物スマホを持ち込ませない、もしくは私物スマホを使える範囲を限定するといった物理的な対策も有効だ。私物スマホを使わせるしかない状況であるなら、職場での撮影を禁じるだけでも効果的だろう。BeRealなどの新たなSNSに関する情報入手も行う必要がある。
同時に、相談しやすい空気も必要だ。「流出させてしまったかもしれない」とすぐ上司に相談できる関係があれば、被害を最小限に収められる可能性がある。事故が起きたときの対応手順も決めておくといい。発見から、報告、事実確認、取引先への連絡、公表の判断までの流れを、事前に用意しておくといいだろう。
どれほど高度なセキュリティ対策を講じても、こうしたヒューマンエラーをゼロにすることはできない。画面の前でシャッターを切るのは人間で、その一瞬の油断を技術で塞ぐことは難しい。
組織にできることは、対策を根気強く続けることで事故を起きにくくし、起きても早く気づける状態を保つことだ。地道な取り組みではあるが、その積み重ねこそが、自社の情報漏洩を防ぐことにつながるだろう。
