2021年の個人情報漏洩事故は過去最多に!
情報漏洩の原因と対策を最新動向から解説します

ニュースで情報漏洩と聞くと、「またか」と思ってしまうほど、情報漏洩事故が多発しています。2021年は過去最多という調査報告もあります。今のところ自社では被害がないからと呑気に構えていると、「いつの間に…」という可能性も否定できません。今回は情報漏洩の最新動向を見ながら、情報漏洩が起きる原因や有効な対策について解説します。

今回のお悩み
昨今、情報漏洩のニュースをよく聞く。自社にも起こり得ることなので対策が必要だとは思っているが、何をすればよいのだろうか。

私が解説します!
情報漏洩の件数は年々増加しており、昨年は過去最多の件数になりました。情報漏洩の原因はサイバー攻撃などによる外部要因、従業員のメール誤送信などによる内部要因が主な原因です。それぞれの詳細および対策を解説します。

( 1 ) 情報漏洩とは?

情報漏洩は問題だと認識はしていても、そもそも漏洩してはいけない情報が何なのか、詳しく理解していなければ防ぎようがありません。
情報漏洩とは、企業・組織が守らなければならない重要な情報が、何らかの原因によって外部に漏れてしまう事態です。その情報とは以下のようなものを指します。

  • 個人情報

氏名・住所・電話番号・メールアドレスなど、生存している個人を特定できる情報のことです。顔写真・指紋・パスポート番号・各種保険証・運転免許証・マイナンバーなど、個人が識別できるものも該当します。

  • 顧客情報

自社の顧客に関する情報のことです。BtoCの場合は顧客の個人情報のほかにクレジットカード番号、購入履歴などの情報も含みます。BtoBの場合はその法人の担当者の属性はもちろん、取引に関する詳細情報も含みます。

  • 機密情報

企業が事業を運営するうえで秘匿しておくべき情報のことです。製品やサービスの企画・開発情報から人事や給与に関する内部情報まで、外部に開示することで会社に損害が生じる可能性のある情報を指します。

情報漏洩とは?

中には法律によって保護が義務づけられているものもあります。2022年4月に全面施行された「改正個人情報保護法」では、個人情報の取り扱い厳格化、漏洩時の通知の完全義務化など、ルールがより厳しくなりました。報告義務違反などの法令違反に対する罰則・罰金といったペナルティ強化については、いち早く2020年12月に施行されています。
情報は、企業にとって守るべき大事な資産なのです。

リンク:2022年4月施行、中小企業も対象になる改正個人情報保護法のポイントを解説!企業に求められるセキュリティ対策とは? – SAXA-DX Navi | サクサグループ

( 2 ) 情報漏洩事故の最新動向

ルールが厳格化された背景には、情報漏洩事故が年々増加傾向にあることが挙げられます。東京商工リサーチの調査によると、2021年の統計では、2012年に調査をスタートして以来最多という結果になりました。
上場企業とその子会社で個人情報漏洩・紛失事故を公表した数は120社(前年比36.3%増)、事故件数は137件(同33.0%増)で、漏洩した個人情報は574万9,773人分にも及んでいます。
さらに驚くべきは、過去10年間で漏洩・紛失した可能性のある個人情報を累計すれば1億1,979万人に達するということです。これはほぼ日本の人口にも匹敵する数字です。しかも、これらがあくまで公表されたものであることを考えると、統計に含まれない情報漏洩は一体どれだけあるのか想像もつきません。

参照: 東京商工リサーチ「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」

( 3 ) 情報漏洩が起きる原因

先の調査から引き続き見てみると、137件の事故のうち原因は以下のような内訳となっています。

情報漏洩が起きる原因

ここでは、約半分が外部からのサイバー攻撃、そして約3割が内部の人為的なミスによって情報漏洩が起きていることがわかります。サイバー攻撃は年々巧妙化・多様化しており、新たなマルウェアも数多く生み出されています。専任の担当者を置いて最新動向をキャッチアップするといっても限界があるでしょう。また人為的なミスについても、部下の行動に対して上司が常に目を光らせておくわけにはいきません。また、どのようなメールを送っているか逐一監視していては本来の業務に支障をきたしてしまいます。こうして適切な対策がとられないまま、インシデント(※1)が起き続けているのです。

※1 インシデント:事故・事件など好ましくない状況を指す言葉。情報セキュリティ分野では、コンピュータやネットワークを脅かす状況を指す。

( 4 ) 情報漏洩を防止するための対策

情報漏洩などのインシデントが起きないよう、企業として普段から取り組める主な対策は3つあります。

  • 情報セキュリティポリシーの策定
  • 情報セキュリティ教育の実施
  • 情報セキュリティツールの導入

これらは一つだけでは機能せず、三位一体で実施してこそ効果を発揮します。まず守るべき情報資産は何かを明確にし、どのようなことに気をつけて業務を行うか、情報セキュリティポリシーを策定しましょう。そのうえで従業員に対して、機器の取り扱い方やパスワードの強化、いざというときの対処方法など、情報セキュリティ教育を行い、知識と意識の向上を図ります。そして情報セキュリティツールを導入することで万が一に備えるのです。

リンク:中小企業における情報セキュリティポリシーの必要性とは?自社の現状を把握し、危機管理に備えるポイントを解説 – SAXA-DX Navi | サクサグループ

さまざまなネットワークセキュリティの課題に応えるUTM

セキュリティツールと言われても、何を選べばいいかわからないという方には、UTM(統合脅威管理)がおすすめです。サクサの「SS7000Ⅲ」なら、常にセキュアなネットワーク環境を実現することができます。

  • 最新のネットワークウイルスに対応

新しいマルウェアは、1日に100万個も作られていると言われています。SS6000IIはウイルスのデータパターンを自動更新し、安全なネットワーク環境を構築します。

  • 感染後のウイルス拡散も防止

万が一、社外で会社のPCがウイルス感染しても、情報セキュリティゲートウェイ連携によって異常な通信をしているPCを検知。ネットワークから遮断し、社内でのウイルス拡散を防ぎます。

  • メールの誤送信を防止

送信メールを一定時間保留し、キャンセルすることができるため、メールによる情報漏洩を防ぐことができます。

一台で集中管理できるため、専任者を置く必要はありません。外部からの脅威だけでなく、内部の脅威にもしっかり対応できるのがうれしいポイントです。

( 5 ) まとめ

情報漏洩は年々増加の一途をたどっています。その原因の多くは外部からのサイバー攻撃ですが、リスクは内部にも潜んでいます。その両方に備えるなら、従業員への教育とあわせてUTMの導入が有効です。情報漏洩を防ぐことで企業の信用度も高まります。何も起きていない今のうちに、しっかり対策をしておきましょう。サクサでは情報セキュリティ対策ツールのご提案を通して、中堅・中小企業をサポートさせていただきます。ぜひ、お気軽にご相談ください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら