ニュースで情報漏洩と聞くと、「またか」と思ってしまうほど、情報漏洩事故が多発しています。近年は毎年のように事故件数が増加している状況です。今のところ自社では被害がないからと安易に考えていると、「いつの間に…」という可能性も否定できません。今回は、情報漏洩が起きる原因や有効な対策について解説します。
目次
( 1 ) 情報漏洩とは?
情報漏洩は問題だと認識はしていても、そもそも漏洩してはいけない情報が何なのか、詳しく理解していなければ防ぎようがありません。
情報漏洩とは、企業・組織が守るべき重要な情報が、何らかの原因によって外部に流出してしまう事態です。その情報とは大きく以下の3つを指します。
●個人情報
氏名・住所・電話番号・メールアドレスなど、生存している個人を特定できる情報のことです。顔写真・指紋・パスポート番号・各種保険証・運転免許証・マイナンバーなど、個人を識別できるものも該当します。
●顧客情報
自社の顧客に関する情報のことです。BtoCの場合は顧客の個人情報のほかにクレジットカード番号、購入履歴などの情報も含みます。BtoBの場合はその法人の担当者の属性はもちろん、取引に関する詳細情報も含みます。
●機密情報
企業が事業を運営するうえで秘匿しておくべき情報のことです。製品やサービスの企画・開発情報から人事や給与に関する内部情報まで、外部に開示することで会社に損害が生じる可能性のある情報を指します。
中には法律によって保護が義務づけられているものもあります。2022年4月に全面施行された「改正個人情報保護法」では、個人情報の取り扱い厳格化、漏洩時の通知の完全義務化など、ルールがより厳しくなりました。報告義務違反などの法令違反に対する罰則・罰金といったペナルティ強化については、いち早く2020年12月に施行されています。
情報は、企業にとって守るべき大事な資産といえます。
また、関連する法律として、サイバーセキュリティに関する施策を総合的かつ効率的に推進するための「サイバーセキュリティ基本法」、不正アクセス行為やそれらにつながる行為などを禁止する「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」なども定められています。
〈こちらもオススメ!〉
改正個人情報保護法のポイントについて詳しく解説しています。
( 2 ) 情報漏洩が企業に与える脅威
情報漏洩が発生すると、企業はさまざまな損害を被ります。具体的には、以下のようなリスクが挙げられます。
- 業務の中断
- 経済的損失
- 信頼とブランド価値の低下
- 競争力の低下
- 法的リスク
情報漏洩が発生すると、事故対応をはじめ取引先や顧客への説明、原因究明などに追われて本来の業務が中断されてしまいます。また、ランサムウェア(※1)などのサイバー攻撃者からの金銭の要求、売上の減少など経済的損失を被る可能性もあります。
情報漏洩によって社会的な信頼を損なうと、ブランド力や市場での競争力を失うことにつながります。さらに、法的な賠償責任、罰金などのリスクが発生する場合もあります。
( 3 ) 情報漏洩の種類と原因
情報漏洩はなぜ起きるのでしょうか。東京商工リサーチの調査結果によると「個人情報漏えい・紛失事故」の主な原因は、以下の3つに分類されます。
| 種類 | 原因 |
|---|---|
| 外部要因 | ランサムウェアや標的型攻撃などのサイバー攻撃や、脆弱性を狙った不正アクセスなど |
| 内部要因 | 従業員などの内部不正による情報の改ざんや破壊・削除、持ち出し、盗難など |
| ヒューマンエラー | メールの誤送信やWebサイトなどへの誤表示、書類や記録媒体の紛失・置き忘れ・誤廃棄など |
参照:東京商工リサーチ_TSRデータインサイト
〜2023年「上場企業の個人情報漏えい・紛失事故」調査〜
( 4 ) 情報漏洩の事例
ここからは実際に企業で起きた情報漏洩事故の事例を3つ紹介します。
事例1:脆弱性を狙ったランサムウェアによる攻撃
2022年10月、ある組織がランサムウェアの攻撃を受けました。その結果、顧客情報が暗号化され、約49万人の個人情報漏洩が懸念される事態が発生しました。VPN(※2)の脆弱性が狙われた事例となります。バックアップも暗号化されていたため、復旧は困難を極め、業務に大きな支障が出ました。
事例2:メール誤送信により顧客データが流出
2022年4月、エネルギー業界にかかわる会社がメールを誤送信し、およそ1万2000人分の個人情報が流出しました。これは、業務委託先の会社に委託内容とは関係のない顧客データを送信してしまったというものです。再発防止策として、メール送信前に複数名によるチェックが徹底されることになりました。
事例3:元従業員による機密情報の不正持ち出し
2023年9月、総合商社の元従業員が、機密情報を不正に持ち出した容疑で逮捕されました。容疑者は元同僚から認証情報を聞き出し、サーバにアクセス。新製品の提案書などを不正に取得しました。同社では情報管理体制を見直し、情報セキュリティ教育を徹底するとしています。
※2 VPN:Virtual Private Networkの略。インターネットをはじめとするネットワーク上に仮想的な専用ネットワークを構築して行う通信のこと。( 5 ) 情報漏洩への対策方法
情報漏洩を起こさないためには、企業として以下のような取り組みが必要です。
- 情報セキュリティポリシーの策定
- 情報セキュリティ教育の実施
- セキュリティ対策ツールの導入
まず守るべき情報資産は何かを明確にし、どのようなことに気をつけて業務を行うか、情報セキュリティポリシーを策定しましょう。そのうえで従業員に対して、機器の取り扱い方やパスワードの強化、いざというときの対処方法など、情報セキュリティ教育を行い、知識と意識の向上を図ります。
セキュリティ対策ツールの導入も有効です。例えば、対策に人員を割けない、コストがかけられないといった中小企業には、1台に複数のセキュリティ機能を搭載したUTMがおすすめです。外部・内部を問わず、さまざまな脅威から自社の情報資産を守ります。
〈こちらもオススメ!〉
改正個人情報保護法のポイントについて詳しく解説しています。
( 6 ) 情報漏洩したらどうする?対処法を紹介
対策をしていても情報漏洩が起こらないとは限りません。情報漏洩が発生してしまった場合を想定し、対処法をあらかじめ検討しておきましょう。
| 01 | 状況把握と応急処置 | どのような情報が漏洩したのか、範囲や規模などを把握したうえで、サービスやシステムを停止し、ネットワークから切断・隔離を行う |
| 02 | 被害の拡大防止 | 情報漏洩による影響を受ける可能性のある取引先や顧客などに報告する。パスワードの変更などの対応を依頼し、被害の拡大を最小限に食い止める |
| 03 | 情報公開と窓口の開設 | 情報漏洩について、経緯や被害状況の詳細や、その後の対応策などの情報を公開する。問い合わせなどに対応する窓口も開設する |
| 04 | 適切な機関への報告 | 報告が義務化されている個人情報保護委員会をはじめ、場合によっては所管の省庁、警察、IPA(独立行政法人 情報処理推進機構)などに報告する |
| 05 | 再発防止策の実施 | 情報漏洩の原因を特定し、同様の事故が再発しないよう対策を講じる。セキュリティ対策の強化、システムのアップデートや見直し、従業員教育なども実施する |
自社だけで対応しきれない場合には、外部の専門家からサポートを受けることも検討しましょう。現状のセキュリティ対策の評価や適切なツールの提案などによって、より有効な対策が可能です。
( 7 ) まとめ
情報漏洩の件数は年々増加しています。その原因の多くは外部からのサイバー攻撃ですが、従業員による内部不正やうっかりミスなども少なくありません。情報漏洩を防ぐことで企業の信用度も高まります。適切な対策を講じたうえで、万が一の事態が起きてしまった場合にも備えておきましょう。
サクサでは記事で紹介したUTMをはじめ、情報セキュリティの課題を解決するツールや、情報セキュリティ対策のご提案を通して中堅・中小企業のサポートをさせていただきます。ぜひ気軽にご相談ください。
SAXA-DX Naviでは、情報漏洩対策に有効なチェックリストをはじめ、さまざまなお役立ち資料を用意しています。ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。
