個人利用は野放しでOK?ソーシャルメディアポリシーのあるべき姿 ブックマークが追加されました
(本ブログは、2020年に公開した連載記事「勘違いセキュリティ」を再掲載したものです)
誰もが手軽に情報発信を行えるソーシャルメディアは、個人・企業関係なく平等で手軽なコミュニケーションが行えるプラットフォームである一方、機密情報をソーシャルメディア上に投稿してしまい問題となるケースも多々発生している。ソーシャルメディアの利用に纏わるよくある勘違いとともに、ソーシャルメディアの企業管理について解説する。
Facebook、Twitter、Instagram・・・もはや我々の日常でソーシャルメディアの名前を聞かない日はないと言っても過言ではない。ソーシャルメディアとは、インターネットを用いて誰もが参加でき、相互のコミュニケーションが可能な双方向のメディアである。ソーシャルメディアでの話題はブームを牽引し、企業はソーシャルメディアでのマーケティングを重視しながら製品を開発している。宣伝媒体として法人アカウントを取得し、情報発信を行っている企業も多い。
誰もが手軽に情報発信を行えるソーシャルメディアは、個人・企業関係なく平等で手軽なコミュニケーションが行えるプラットフォームである一方、機密情報をソーシャルメディア上に投稿してしまい問題となるケースも多々発生している。デジタルセキュリティソリューションを手がけるジェムアルト社の調査結果※によると、2018年上半期に世界中で発生した33億件の情報漏えいの内、56%以上がソーシャルメディアからの情報漏えいであるとされている。もはや情報漏えいに関してはソーシャルメディアを抜きにして語られるべきではない。今回はソーシャルメディアの利用に纏わるよくある勘違いの発言とともに、ソーシャルメディアの企業管理について解説していく。
※ Gemalto NV「Data Breaches Compromised 3.3 Billion Records in First Half of 2018」Gemalto, 2018年10月23日公開(最終閲覧日:2020年1月21日), https://www.gemalto.com/press/Pages/Data-Breaches-Compromised-3-3-Billion-Records-in-First-Half-of-2018.aspx
昨今は情報漏えいに対するリスクが広く周知されるようになり、企業所有端末はネットワーク利用のアクセス制限等により、情報の持ち出しが管理されていることが一般的だ。企業所有端末から機密情報が漏れることがない、という前述の発言もそういった管理対策の実施からくる自信の表れだろう。しかし企業所有端末以外から発信されるソーシャルメディアの投稿に関して、本当に企業側が注意を払う必要はないのだろうか。
過去には、従業員が仕事上で知り得た情報を個人のアカウントでソーシャルメディアに投稿し、企業責任を問われた事例が数多く存在する。2011年には、都内ホテルのアルバイト社員がホテルに来店した有名人の情報をTwitterに投稿してしまい、投稿内容に関してホテル側が謝罪文を出す騒動にまで発展した。従業員個人による投稿であったにも関わらず、顧客情報に係る企業側の管理体制が批判され、本事例は大きく話題となった。ソーシャルメディアによる情報漏えいの怖さを感じた企業担当者も多かったはずだ。
個人アカウントからの情報漏えい対策は、企業にとって頭を悩ませられる問題だ。職場に入る前に個人所有端末を一時的に預かるといった方法をとっている企業もあるが、退勤後に情報発信されてしまう可能性は依然として残る。個人による情報発信を管理することは難しいため、常日頃からソーシャルメディアへ機密情報を発信しないよう教育や訓練を行い、雇用/退職時には秘密保持に係る契約を行うことで、情報漏えいに対する従業員の意識改革を行っていく必要がある。
機密情報そのものを公開していなくても、情報の組み合わせで機密情報を連想できてしまう可能性もある。例えば海外出張先での風景写真をソーシャルメディアに投稿したケースを考えてみよう。一見、風景写真自体は機密情報に該当しないため問題はなさそうに思える。しかし、写真の背景や画像データに含まれる位置情報から撮影場所が特定できる場合、投稿者のプロフィール欄に記載された企業名や投稿コメントから、未公開の事業や機密性の高い施設の場所が特定されてしまうかもしれない。この場合、情報漏えいを行う意図や悪意がなかったとしても、結果的に機密情報が発信されてしまったことになる。
近年はソーシャルメディアや企業サイトといった公開情報から機密情報を収集するOSINT(open source intelligence)と呼ばれる手法が注目を集めている。OSINTは、Collection(収集)、Processing(加工)、Exploitation(活用)、Production(発行)といった4つのステップが経て、公開情報源(図1)の情報を分類・加工することによって価値のある情報に昇華させていく諜報活動である。
図1 OSINTの主な情報源
OSINTで収集される情報は、個人情報や企業戦略情報、システムのアカウント情報、ITのアセット情報など多岐に渡るが、ソーシャルメディアを含む「個人で生成されたコンテンツ」からは主に標的型攻撃のターゲット情報を入手可能だ。例えばソーシャルメディアで企業名や所属、職務内容が公開されている場合は、標的型攻撃の格好の的となってしまう。名前と会社ドメインからメールアドレスが推測され、個人の興味がある分野はやり取り型フィッシングメールの足掛かりに活用されてしまうことも考えられる。IPAが公表している情報セキュリティ10大脅威(図2)では、ここ数年標的型攻撃が常に上位にランクインしており、企業にとっても充分な注意が必要だ。不用意な情報公開による企業への攻撃を避けるためには、機密情報は当然のことながら、攻撃のヒントとなりうる情報を発信させないことが重要となる。
図2 情報セキュリティ10大脅威(組織)の移り変わり
それではソーシャルメディアからの情報漏えいをどのように防止したらよいだろうか。その答えはソーシャルメディアポリシーにある。ソーシャルメディアポリシーとは、企業または従業員がソーシャルメディアを利用するにあたり、取り決めた利用ルールである。ソーシャルメディアポリシーを大きく分類すると、企業関係者や従業員に対してソーシャルメディアの利用ルールを定める社内向けのものと、外部や第三者ユーザーに企業側のソーシャルメディア利用方針を説明する外部向けのものがある。それぞれどのような内容をポリシーに記載するとよいかを確認していこう。
1.企業関係者や従業員に向けたポリシー(社内向け)
企業関係者や従業員に向けたポリシーの主な目的は、企業アカウントや従業員個人のソーシャルメディア利用に対してルールを規定し、ソーシャルメディアの利用基準を設けることにある。ポリシー内にはソーシャルメディアポリシーの個人利用における利用ルールや運用の考え方が記載される他、場合によってはルールを守らなかった場合の罰則規定が設けられることもある。ソーシャルメディアポリシーの記載項目の例として、一般社団法人インターネットコンテンツ審査監視機構が公開している「ソーシャルメディア・ポリシ策定の手引き」の目次構成を図3に挙げる。
図3 「ソーシャルメディア・ポリシ策定の手引き」の目次構成
従業員の個人利用は、「ソーシャルメディア・ポリシ策定の手引き」の「全従業員を対象とした手引き」に該当しており、特に情報漏えいに関連するのは「機密情報保護」の項目である。「機密情報保護」に関してはどういった内容の投稿を制限するのかを明確にすることが重要であり、従業員の理解を深めるためにソーシャルメディアからの機密情報流出に関する事例を記載することも有効である。機密に当たる情報は企業や取り扱い製品・サービスの特性によっても異なるが、一例としては、経営情報や事業情報、企業戦略、製品の内部設計や仕様、クライアント情報が挙げられる。
2.外部や第三者ユーザーに向けたポリシー(社外向け)
外部向けのポリシーは、企業のソーシャルメディア利用指針を外部者に理解してもらうことで、未然にトラブルを防止する目的がある。外部向けポリシーの多くは企業のホームページに公開されており、デロイト トーマツ グループでも外部向けのソーシャルメディア公式アカウントポリシーをホームページ上に掲載している。外部向けポリシーには主に企業アカウントにおける情報発信の目的や投稿内容についての説明、アカウントの運用や対応時間が記載される。外部向けポリシーの記載内容は、企業におけるメディア利用の考え方によって大きく異なってくるため、自企業が目指す企業アカウント運用に近しい企業のポリシーを参考にするのも良いだろう。
ソーシャルメディアポリシーを規定すればソーシャルメディアにおける情報漏えい対策は万全なのだろうか。ソーシャルメディアポリシーの規定は、従業員にソーシャルメディアを利用するリスクを認識させ責任感を芽生えされることで、情報漏えいに対し一定程度の抑止力となるが、それでも投稿内容を完全に管理できるわけではない。企業としては情報漏えいが発生した場合に備えて、対応方針を検討しておくことが重要である。
ソーシャルメディアから情報漏えいが発生した際は、事象をいち早く検知し、適切な対応をとることが求められる。ソーシャルメディアは話題の移り変わりが早く、1日を待たずホットトピックが変わっていることも少なくない。素早い話題の移り変わりの中で情報漏えいを検知するためには、ソーシャルメディアをモニタリングする仕組みを構築し、企業特性を踏まえたモニタリングルールを設定することで必要不可欠だ。例えばサービスリリースを控えている企業は、サービスに関連する文言をモニタリングルールに設定することで、開発に携わる従業員の情報漏えいをいち早く検知することが可能となるだろう。企業の事業状況や他社の情報漏えいに係るインシデント事例から得た教訓を基にモニタリングルールを更新し、その時々に適したルールを維持することが重要となる。
本稿では、ソーシャルメディアに纏わる勘違い発言を紹介し、ソーシャルメディアへの企業の関わり方を解説してきた。ソーシャルメディアはスマートフォンの普及と共に我々の日常と切り離せない関係になっている。コミュニケーション手段として気軽に利用でき、企業と個人が対等に発言できるという点では、これまでになかったプラットフォームだと言えるだろう。しかし気軽に自由な発言ができるという利点は、一方で常に機密情報の漏えいリスクを抱えているとも言える。
冒頭での勘違い発言は、企業所有端末からの情報発信は考慮しているが、従業員の個人利用による情報漏えいに関するリスク認識が薄かった。企業としては、従業員の個人利用にもルールを制定した上で、常に情報漏えいの予兆をモニタリングする必要がある。そのため、冒頭の発言を正しく訂正するとするならば以下のようになるだろう。
ソーシャルメディアポリシーで利用ルールを取り決めることにより、従業員個人による投稿に関しても一定の抑止を行うことができる。ただし、情報漏えい対策はソーシャルメディアポリシー規定だけでは不十分だ。常日頃から従業員へ教育・訓練等の啓発活動を行い、雇用/退職時には秘密保持に関する宣誓を行った上で、情報漏えいが発生した場合の検知対策や対応方針を考慮しておく必要がある。企業としてはソーシャルメディアを利用するリスクを正しく理解し、日々移り変わる状況からリスクに繋がる要素を調査した上で、抑止対策や監視ルールを更新していくことが求められる。ソーシャルメディアによって企業と個人がつながるこの新時代、適切なリスク管理を通じて新たなプラットフォームと付き合っていくようにしたい。
加藤 啓介/Keisuke Kato
デロイト トーマツ サイバー合同会社
日系専門商社にて、国内外の社内ネットワークの管理や、情報インフラの運用・保守の工程に従事。その後、システムインテグレータにて金融機関における共通インフラの設計・構築・運用・保守、製造業向けの仮想基盤の構築業務に従事。有限責任監査法人トーマツに入所後はサイバーセキュリティ関連の業務に従事し、脆弱性診断やアセスメント、セキュリティプロセスの策定等、業務領域は多岐に渡る。
※所属などの情報は執筆当時のものです。