情報漏えい対策の大原則「Need To Knowの原則」
情報漏えいを防止する上で、「Need To Knowの原則」という基本原則があります。これは関係者による機密情報の漏えいから保護するために基本的な考え方です。
「Need To Knowの原則」とは、『必要とする人にのみ情報へのアクセスを許可し、不要な人によるアクセスは禁止するべき』という考え方です。
これは営業秘密や機密情報を扱う業務において、社員や関係者が業務を行う上で情報の利用を必要最低限にとどめることを示し、特に関係者による不注意や不正行為による情報漏えいを防ぐ上での根幹となります。
「Need To Knowの原則」を実現する上でのポイントは、情報の区分けです。例えば、個人情報や製品情報、ノウハウなどの情報の種類、社外秘や極秘などの機密レベルなどの軸で整理をします。
どのような軸で区分けするべきか判断できない場合は、保護するべきかそうでないかの二種類に分類する所から始めると良いでしょう。
また分類が多すぎると、管理が煩雑になり運用が行き詰まる恐れがあります。そのため、情報の区分けを行う際は必要最低限の分類にすることをお勧めします。
それぞれ区分けした情報を漏えいから保護するには、情報を暗号化した上で操作制御を行うDRM/IRM(Digital/Information Rights Managements)が有効です。
DRM/IRMによって情報を暗号化することで、情報が外部に流出したとしても部外者は情報を不正利用することはできません。
そして操作制御によって、「Need To Knowの原則」に従って業務に必要最低限の情報と操作権限を与えることで、関係者による不注意や不正行為による情報漏えいを防止することができます。
情報漏えいのリスクの中でも、関係者の不正行為は特に対策が困難です。DRM/IRMによる「Need To Knowの原則」の実現は、関係者の不正行為による情報漏えいに対して非常に大きな効果を発揮します。
「Need To Knowの原則」を確立した情報漏えいへの対策に関心をお持ちの方は、下記よりぜひ一度お問い合わせください。