情報セキュリティ対策は、自動車整備工場のイメージ低下や多額の損害を防ぐために必要不可欠です。個人事業主の整備士も他人事ではありません。情報セキュリティ対策を施していないと、自動車ユーザーの顧客情報流出などのリスクが高くなってしまいます。
特に、電子帳簿保存法により顧客情報を電子データで取り扱うことが増えると予測されるため、情報セキュリティの重要性はより高まっていると言えるでしょう。そのため、自動車整備工場も情報セキュリティ対策を施さないリスクや、実施すべき情報セキュリティ対策を理解しておく必要があります。
この記事では、情報セキュリティ対策を施さないことで起こる4つのリスクや実施すべき5つの対策など、自動車整備工場が理解しておくべき内容を解説します。
情報セキュリティとは
情報セキュリティとは、自動車整備工場や個人事業主の整備士などの事業者が取り扱う顧客情報などの機密データについて「機密性」「完全性」「可用性」を確保して保護することです。
情報セキュリティの一例として、マルウェアやハッキングによりシステムに侵入されてサービスが中断されないように、安全策を講じることが挙げられます。また、災害により情報が失われないようにすることも求められます。
ここでは、情報セキュリティの3つの要素である「機密性」「完全性」「可用性」の確保について詳しく解説しましょう。
なお、自動車整備工場が実施すべき情報セキュリティは後半に記載していますので、ご参照ください。
機密性の確保
機密性の確保とは、認められた者、例えば自動車整備工場の経営者や決められた従業員だけが情報にアクセスできるようにすることです。たとえば、「アクセス権の付与」や「パスワードの利用」などで、情報漏洩や不正アクセスを防ぎます。このような対策によって、機密性を確保できます。
完全性の確保
完全性の確保とは、保有している情報が完全である状態を保持することです。つまり、情報が不正に改ざんされたり、破損したりしていない状態を指します。
完全性を確保するためにはどのような対策があるのでしょうか?代表的な対策は以下の3つです。
- 情報へのアクセス履歴を残すようにする
- 情報の変更履歴を確認できるようにする
- バックアップのルールを決める
上記の対策で改ざん防止や検出を行うことで、情報の完全性を確保できます。
可用性の確保
可用性の確保とは、アクセス権を持つ人、例えば自動車整備工場の経営者や決められた従業員が、必要なときにいつでも情報にアクセスできるように保つことです。つまり、情報を提供するサービス、例えば自動車整備業務支援システムが常に動作している状態であることを指します。
可用性を確保するためには、以下の対策が有効です。
- 電源対策
- システムの二重化
- 定期的なバックアップ
- 災害復旧計画
- クラウド化
上記の対策を行うことで、サービスの停止などの大きなトラブルに発展する事態を防ぎます。
なお、自動車整備業務支援システムを導入していない事業者は、以下の記事を参考にまずは情報を電子化し、完全性、可用性を高めることをおすすめします。
自動車整備工場が情報セキュリティに取り組む必要性
自動車整備工場や個人事業主の整備士も他業種の事業者と同様に、顧客情報などの機密データが外部に漏れないようにする必要があります。特に今後は、車検証の電子化や電子帳簿保存法により、電子データを取り扱うことが増えると考えられます。情報セキュリティ対策を施さないリスクがますます高まるため注意が必要です。
また、盗難防止を目的とした、自動車自体の情報のセキュリティも重要と言えるでしょう。
自動車のアフターマーケットに関する(情報)セキュリティ事例では、古くはイモビライザー(自動車盗難防止システム)の機能を無効化するイモビカッターがあります。新しいものでは車載ネットワークのCANを経由して自動車のシステムに侵入し、自動車を盗難するCANインベーダーという手法などが報告されています。
このような事態を防ぐためにも、情報セキュリティに取り組むことで、自動車ユーザーの安心と安全を確保することが重要です。JAMAが公開しているチェックシートの、自動車整備に関わる項目を参照するとよいでしょう(※1)。
なお、独立行政法人情報処理推進機構(IPA)セキュリティセンターも、「自動車の情報・制御システムに対する攻撃の実証例や事例が多数発生しているため、情報セキュリティの取り組みが必要」だと公表しています。「自動車の情報セキュリティ動向に関する調査報告書」では、自動車整備工場が情報セキュリティに取り組む必要性を示唆しています(※2 )。
自動車整備工場が情報セキュリティ対策を取らない4つのリスク
自動車整備工場は、情報セキュリティ対策を取らないことで起きるリスクを把握しておく必要があります。リスクを正しく把握して、情報セキュリティに取り組む理由を理解しておきましょう。
情報セキュリティ対策を取らないことで起きる、4つのリスクについて解説します。
機密情報漏洩のリスク
1つ目のリスクは機密情報の漏洩です。自社の経営情報など機密情報の漏洩によって、情報を他社に不正利用され、社会的な信用を失うリスクがあります。たとえば、自社の経営情報を競合他社に流用されてしまい、優位性を失ってしまうことも考えられるでしょう。このような事態を防ぐためにも、情報セキュリティ対策に取り組むようにしてください。
なお、情報漏洩の主な原因は、マルウェア感染や社員の不正な情報の持ち出し、記録媒体の紛失が挙げられます。特に記録媒体の紛失はどんな企業でも発生する可能性があるため、クラウドを利用するなどのルールを決め、情報を外部へ持ち出さないようにすることが重要です。
個人情報流出のリスク
自社の経営情報が流失するリスクだけでなく、保有する個人情報が流出してしまうリスクもあります。
例えば、マルウェアの感染によって、自動車整備や自動車修理を依頼したお客様の個人情報が漏洩する事例も珍しくありません。仮に個人情報が流失してしまった場合、賠償や訴訟などの大きな問題に発展することも十分に考えられます。
実際、ベネッセコーポレーションの関連会社から顧客の個人情報が漏洩した事件で、東京地方裁判所は1人あたり3,300円、合計で150万円以上の賠償金を、被害を訴えた462人へ支払うよう命じています(※3)。
それだけでなく、「事故の原因究明にかかる費用」「セキュリティ対策費用」や「情報の回復や保護にかかる費用」など、システムの改善にも費用がかかります。
自動車整備工場でも個人情報が流失してしまうと、上記のような事態に陥る可能性があります。情報セキュリティ対策を取っておくようにしましょう。
ホームページ改ざんのリスク
自動車ユーザーの入庫を増やすことや自社整備工場をインターネットで知ってもらうため、自社ホームページを持っている企業は多いでしょう。情報セキュリティ対策をしていないと、この企業の顔とも言えるホームページが改ざんされてしまう事態に陥りかねません。
たとえば、嘘の内容や誹謗中傷を記載されてしまうかもしれません。このような場合、SNSで情報が拡散し、炎上する被害も考えられます。
こうした事態で自社整備工場のイメージが失墜してしまうと、既存自動車ユーザーが離れていくだけでなく、新規自動車ユーザーの獲得が難しくなるでしょう。経営が大きく悪化する可能性が高くなります。
そして、情報セキュリティが甘い会社だと認識されてしまうでしょう。一度ブランドイメージが失墜してしまうと、信用を回復するのは容易ではありません。このように、会社の経営に大きな打撃を与える可能性があることを理解しておきましょう。
整備業務支援システムが停止するリスク
外部からのハッキングやマルウェアにより、整備業務支援システムが停止するリスクがあります。
社内の基幹システムが停止してしまうと、最悪のケースでは業務自体が停止してしまう事態になりかねません。業務が停止してしまうと、顧客の自動車ユーザーが競合他社に移ってしまう可能性もあります。
自社の整備業務支援システムが停止する事態に陥らないためにも、情報セキュリティ対策を怠らないようにしてください。
自動車整備工場が実施すべき5つの情報セキュリティ対策
自動車整備工場も情報セキュリティを備える必要がありますが、どのように取り組めばわからないという方も少なくありません。
ここでは自動車整備工場が実施すべき情報セキュリティ対策を5つ紹介します。
通信回線のセキュリティ対策を行う
Wi-Fiなどの通信回線に関するセキュリティ対策です。通信回線のセキュリティ対策ができていないと、通信を傍受されてしまったり、パソコン内のデータにアクセスしやすくなったりする可能性があるためです。
そのような通信回線環境の場合は、以下のような対策を講じるようにしましょう。
- フリーWi-Fiなど、セキュリティに脆弱性のある通信回線を使わない
- VPNや閉域網を利用する
- データを暗号化する
上記のような対策を行うことで情報漏洩のリスクを防ぎ、万が一情報が流失しても内容は分からないようにできます。
情報の取り扱いのルールを作る
情報の取り扱いについてルールを作成することも必要です。情報漏洩につながる大きな原因のひとつが「機密情報の持ち出し」だからです。
機密情報を持ち出せないようにするために、情報の社外持ち出しを禁止し、情報にアクセスできるユーザーを設定するなどの対策を行うようにしましょう。
また、自動車整備業務支援システムのデータのバックアップを、3か月に1回は取るというルールを決めることで改ざん防止にもつながります。
ただし、ルールを作成しても実際に従業員がルールを守っていなければ意味がありません。したがって、従業員がルールを守るように意識改革をしたり、抜き打ちのチェックを行ったりするなどの対策も必要です。
パスワードやアクセス権をしっかり設定する
機密情報にアクセスできる人を限定したり、パスワードが推測できないように複雑なものにしたりすることも、重要な情報セキュリティ対策になります。
機密情報にアクセスできる人数を必要最低限にすることで、従業員が不正に情報を持ち出すリスクを軽減できるためです。たとえば、自動車整備業務支援システムは整備に関わる従業員だけにアクセスを限定するなどです。
従業員には、アクセス履歴を残していることを理解してもらいましょう。それによって情報漏洩を予防でき、かつ完全性を高めることも可能です。ちなみに、パスワードを複雑なものにすることで、パスワードを推測されることを防げます。
この他、情報へのアクセスを限定するために認証システムを導入する方法もあります。
ファイアウォールを導入する
ファイアウォールとは、外部からのハッキングや不正アクセスからコンピューターを守るためのシステムです。ファイアウォールを導入することで、悪意のあるユーザーの攻撃から機密情報を守ります。
ファイアウォールを導入していない場合は、外部からの攻撃に対して非常に脆弱です。すぐに導入することをおすすめします。
バックアップを取る
定期的に情報のバックアップを取ったり、クラウドに保存したりすることも、重要な情報セキュリティ対策の一つです。
バックアップを取っておけば、突然、災害が起こった場合でも、データが失われるのを回避できます。また、ホームページの情報を改ざんされたとしても、バックアップの情報からすぐにもとに戻すことも可能です。このように、重要なデータを消失するリスクを軽減させるためにも、定期的にバックアップを取るようにしてください。
なお、クラウド型の自動車整備業務支援システムを選ぶことで可用性を高めることができます。
まとめ
情報セキュリティ対策は、自動車整備工場や、個人事業主として活動する整備士にとっても重要です。機密情報や個人情報が漏洩してしまうと損害賠償請求など多額の支払いが発生するだけでなく、新規の自動車ユーザーの獲得が難しくなるばかりか既存自動車ユーザー離れなども起きてしまい、業績が大きく悪化する事態になりかねません。
そのような事態を防ぐためにも、情報セキュリティ対策を取らないリスクを理解し、適切な対策を取るようにしてください。
自動車整備工場に特化した事業支援サービスを提供するビズピットでは、情報セキュリティについての相談も受け付けています。初回相談は無料ですので、情報セキュリティで悩んでいる方は、以下からお気軽にご相談ください。
【引用】
※1
自動車産業サイバーセキュリティガイドライン | JAMA – 一般社団法人日本自動車工業会
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html
※2
2010 年度 自動車の情報セキュリティ 動向に関する調査報告書
https://warp.da.ndl.go.jp/info:ndljp/pid/12446699/www.ipa.go.jp/security/fy22/reports/emb_car/index.html
※3
ベネッセ情報流出、1人3300円賠償命令 東京地裁判決: 日本経済新聞
https://www.nikkei.com/article/DGXMZO39457050X21C18A2CC1000/