顧客データを守れ！小規模事業者のための情報セキュリティ入門

田辺さん、セキュリティって聞くとすごく難しそうなんですけど、まず何から始めればいいですか？

難しく考える必要はありません。5つの基本を押さえるだけで、リスクの80%は防げます。1つ目はパスワードの強化。すべてのサービスで異なるパスワードを使い、8文字以上の英数字記号を含むものにする。パスワード管理アプリを使えば覚える必要もありません。

2つ目は二段階認証の設定。メール、クラウド、SNSアカウントには必ず二段階認証を設定してください。これだけでアカウント乗っ取りのリスクを99%以上防げます。3つ目はソフトウェアの更新。スマホやパソコンのOSアップデート、アプリのアップデートは必ず行う。古いバージョンのまま放置すると、既知の脆弱性を攻撃されるリスクがあります。

パスワードと二段階認証とアップデートですね。それだけならすぐにできそうです。4つ目と5つ目は？

4つ目はデータのバックアップ。顧客データやビジネスに重要なファイルは、定期的にバックアップを取る。ランサムウェアに感染してデータを暗号化されても、バックアップがあれば復旧できます。5つ目は退職者のアカウント削除。スタッフが辞めたら、即座にすべてのシステムへのアクセス権を削除すること。元スタッフのアカウントが残っていて不正アクセスされるケースは非常に多いです。

お客様の個人情報って、具体的にはどう管理すればいいんですか？Excelで管理してる人も多いと思うんですけど。

Excelでの管理は最もリスクが高い方法の一つです。ファイルを誤ってメールに添付してしまう、USBにコピーして紛失する、パスワードをかけずにパソコンに保存しているなど、事故の原因になります。

推奨するのはクラウド型のCRMや顧客管理ツールを使うことです。ToolsBoxのような専用ツールなら、データは暗号化されてサーバーに保存され、アクセス権限も管理できます。誰が・いつ・どのデータにアクセスしたかのログも残るので、万が一の際にも追跡可能です。

Excelだとそういう管理は全くできないですもんね。

その通りです。さらに個人情報保護法の観点からも、適切なセキュリティ措置を講じていないと、漏洩時に法的責任を問われます。個人事業主も例外ではありません。顧客データを扱うなら、最低限の安全管理措置は法律で義務付けられているんです。

セキュリティ事故の原因の約70%は「人的ミス」です。フィッシングメールを開いてしまう、怪しいリンクをクリックする、パスワードを付箋に書いてモニターに貼る。こういった「うっかりミス」を防ぐ教育が最も効果的なセキュリティ対策なんです。

フィッシングメールって最近本物と見分けがつかないくらい巧妙ですよね。私も危なかったことがあります。

だからこそ「怪しいメールのリンクは開かない」「不明な添付ファイルは開かない」「少しでも不審に思ったらIT担当に確認する」の3ルールをスタッフ全員に徹底することが大切です。月に1回、5分だけでもセキュリティの注意喚起をするだけで、事故のリスクは大幅に下がります。