今すぐはじめる情報漏洩対策8選！
経営層・従業員別にわかりやすく解説

情報漏洩は企業に大きな被害をもたらすだけでなく、経営存続にかかわる大きな課題と言えます。多様化・複雑化する脅威から組織を守るために、経営層が行うべき情報漏洩対策について4つ紹介します。

①適切なセキュリティツールを導入して多層防御を行う

従来のセキュリティ対策は、社外と社内のネットワークの境界にファイアウォール（※1）などを導入していましたが、これでは侵入された場合の対策として十分ではありません。昨今は、すべての構成要素を信用できないものとみなすゼロトラストセキュリティ（※2）が求められています。有効なセキュリティツールとして、さまざまなセキュリティ機能が1台に集約されているUTMが注目されています。ファイアウォールに加え、アンチウイルス、IDS/IPS（※3）などが搭載されているため、コスト軽減も期待できます。

2024年のランサムウェア攻撃114件の多くは、多層防御の不備を突いたものです。単一の対策に依存せず、複数のセキュリティレイヤーを組み合わせることが重要です。

②多要素認証を取り入れて認証を強化する

サイバー攻撃者は、不正に入手したパスワードなどの認証情報を悪用して社内のシステムに侵入します。近年では、不正ログインを防止する有効な手段の一つとして、多要素認証の導入が推奨されています。多要素認証とは、認証の3要素とされる「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせる認証方法です。

• 知識情報：

  パスワード、PIN、秘密の質問など

• 所持情報：

  スマートフォン、ICカード、ハードウェアトークンなど

• 生体情報：

  指紋、顔認証、虹彩認証、声紋など

これらを組み合わせることで、万が一パスワードが漏れても認証を突破されるリスクを軽減できます。特に管理者権限や機密システムへのアクセスには必須の対策です。

③情報セキュリティに関するルールを設ける

自社の情報セキュリティ対策を具体的に定め、明文化しておきましょう。特に顧客情報や機密情報などの重要なデータへのアクセス権限の制限は重要です。権限の範囲を広げるほど情報漏洩のリスクが高くなるため、適切に管理しなければなりません。

また、業務で使用するパソコンやタブレットなどの端末を社外に持ち出す場合や、個人の端末を業務で使用する場合のルール策定も必要です。事前申請・承認のフロー、パスワードの設定に加え、データの暗号化など、情報漏洩が起きた場合のことも想定しておきましょう。改正個人情報保護法では、適切な安全管理措置を怠った場合、法人に最高1億円の罰金が科せられることがあります。

④定期的に情報セキュリティ教育を実施する

従業員に対して情報セキュリティに関する教育を行うことも、会社として取り組まなければならない対策です。具体的には、以下のような内容を周知します。

• 最新のサイバー攻撃の手口
• 情報管理に関する法令
• 機密情報の種類と取り扱い方
• 情報漏洩のリスク・他社事例
• 情報端末の管理方法・社内ルール
• 情報漏洩した場合の処分・罰則
• AIツールの安全な利用方法

1回限りの実施では自分ごととして捉えにくいため、定期的に実施することが有効です。繰り返し研修を受けることで、知識と意識の両面でレベル向上を図り、従業員のセキュリティリテラシーを高めることができます。

続いて、従業員が行うべき情報漏洩対策について4つ紹介します。従業員一人ひとりが正しい知識を身に付け、日常的にセキュリティを意識した行動をとることで、情報漏洩によるリスクを軽減することができます。

①OSやソフトウェアを最新の状態に保つ

サイバー攻撃者は、OSやソフトウェアの脆弱性を狙ってきます。脆弱性は「セキュリティホール」とも呼ばれ、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥を指します。

OSやソフトウェアは定期的に修正プログラムを適用しなければなりません。修正プログラムは、脆弱性を修正するためのアップデートのことで、「パッチ」とも呼ばれます。最新の状態を保つことで脆弱性が解消されます。OSやソフトウェアを最新の状態に保つために、以下の点を意識しましょう。

• 自動更新の有効化：

  OS、ウイルス対策ソフト、ブラウザ

• 緊急パッチの適用：

  重要な脆弱性情報が公開された際の迅速な対応

• EOL（サポート終了）製品の更新：

  サポートが終了したソフトウェアの利用停止

「ゼロデイ攻撃」のように修正前に悪用される脅威もあるため、定期的な脆弱性スキャンの実施も重要です。

②怪しいメールや添付ファイル、Webサイトに注意する

多くのサイバー攻撃は、メールや添付ファイル（標的型攻撃）を通して仕掛けられます。そこからマルウェアに感染し、システム内に侵入されると、情報を窃取される恐れがあります。またWebサイトを経由して偽サイトに誘導し、個人情報を盗み出すフィッシング攻撃もよくある手口です。

標的型攻撃やフィッシング攻撃を防ぐために以下のポイントを確認する必要があります。

• 送信者の確認：

  差出人のメールアドレス、表示名が正しいか確認する

• 緊急性を煽る内容：

  「緊急」「至急」「期限」などの文言で焦ってリンクをクリックしない

• 添付ファイル：

  実行ファイル（.exe、.scr）や不審なファイルは開かない

• URL確認：

  リンク先URLが正しいか、短縮URLの場合、ツールでの確認も検討する

疑わしいメールは開かずに、IT部門に報告することが重要です。一度でも開封してしまうと、マルウェア感染や認証情報の窃取につながる可能性があります。

③パスワードなどログイン情報を適切に管理する

パソコンにログインする際などのパスワードは、推測されにくいものを設定します。12文字以上で、大文字や小文字、数字、記号を組み合わせたものが推奨されています。また同じパスワードを使い回さないこと、サービスごとにパスワードを変えることも重要です。パスワードなどのログイン情報を紙や付せんに書いておく場合は、デスクやパソコンに貼ることはせず、人目に触れないように鍵のかかるキャビネットなどに保管しましょう。また、パスワード管理ツールを導入することで、安全なパスワードの生成・保管が可能となり、情報漏洩リスクを軽減できます。

④社外で重要な情報を閲覧する場合は注意する

政府による働き方改革の推進やテレワークの普及により、パソコンを社外で使用する機会が増えています。自宅や外出先などで、顧客情報や機密情報といった重要なデータにアクセスする際は、第三者に情報を傍受されるリスクがあるため、十分な注意が必要です。

こうしたリスクは、VPN（※4）を活用することで軽減できます。VPNなら、社外からも仮想のネットワークを経由して社内のシステムやサーバに安全にアクセスできます。また、不特定多数が利用する公衆Wi-Fiは使用せず、モニターにはのぞき見対策を施しておくことで安全に利用できます。不特定多数の目に触れる可能性がある場所では機密情報の閲覧は控えましょう。

経営層と従業員、それぞれが取り組むべき対策を紹介してきましたが、これらはどれか一つを行えばいいというものではありません。情報漏洩は企業に甚大な被害を及ぼす危険性があるため、すべてを実現していくことが理想的です。

ここでは、情報漏洩対策時に注意すべき点を3つ紹介します。

社内の実態を把握することからスタート

情報漏洩対策は厳密にするほど、業務の利便性や効率性が従来よりも低下してしまうことが考えられます。また、生産性への影響や従業員の不満につながる可能性もあります。

このような事態を回避するため、事前に従業員の意見を聞き、自社の状況を把握することから始める必要があります。そのうえで、安全性を担保しながら利便性や効率性を損なわないツールやソリューションを導入しましょう。現状の把握では以下の項目を確認しましょう。

• 資産の棚卸し：

  IT機器、ソフトウェア、データの全容把握

• リスク評価：

  業務プロセスごとのリスクとリスクレベルの評価

• 従業員へのアンケート：

  セキュリティ意識と課題の調査

• 脆弱性診断：

  システムの弱点の専門的な評価

これらの項目を参考に、従業員の意見を反映した実用的な対策を策定することが重要です。

外部事業者の検討はじっくり慎重に

ツールやサービスを提供する外部事業者の選定は安易に行わず、慎重に検討しましょう。事業者によっては、セキュリティ対策の範囲が限定される場合もあります。また、クラウドサービス（※5）のように、セキュリティ対策の責任が外部事業者側にある場合、セキュリティ対策が十分ではなくても利用者側では気づけない可能性があります。責任共有モデルを理解し、事業者とユーザーの責任範囲を明確にすることが重要です。

外部事業者の選定に際しては、以下のような点をチェックしてみてください。

• 多層防御ができるツールがあるか
• 多くの優良企業と取引実績があるか
• プライバシーマーク、各種セキュリティ認証などの認証を取得しているか
• 日本語対応、24時間対応などのサポート体制は十分か
• 初期費用、運用費用などのコストが自社と見合っているか
• 事業拡大する場合に対応できる拡張性があるか

PDCAサイクルを回して継続させる

セキュリティ対策は一度実施すれば終わりというものではなく、継続的に取り組む必要があります。サイバー攻撃の手口はますます多様化・巧妙化しており、同時に自社の状況も月日を経るごとに変化します。これらに対応するためには、最新のセキュリティトレンドを踏まえ、継続的な見直しと強化をしていかなければなりません。情報漏洩対策においても、以下のようにPDCAサイクルを回し、改善していくことが重要です。

• Plan（計画）：

  脅威動向と自社リスクにもとづく対策計画の策定

• Do（実行）：

  計画にもとづくセキュリティ対策の実施

• Check（評価）：

  対策効果の測定、インシデント分析

• Action（改善）：

  評価結果にもとづく対策の見直し・強化

多くの企業でセキュリティ対策がなされているにもかかわらず、情報漏洩は後を絶ちません。2025年に東京商工リサーチが発表した調査結果によると、上場企業の2024年の「個人情報漏洩・紛失事故」は過去最多の189件におよび、2021年から4年連続で過去最多を更新しています。

情報漏洩が起きる3つの要因とは？

このデータからわかる通り、情報漏洩が起きる要因には「外部要因」「ヒューマンエラー」「内部要因」があります。それぞれの要因を詳しく説明します。

外部要因

サイバー攻撃によって起こる情報漏洩は全体の半数以上にのぼります。偽サイトに誘導するフィッシングを典型として、ランサムウェア（※6）、ゼロデイ攻撃（※7）、サプライチェーン攻撃（※8）など、近年ますます手口が複雑化しています。

ヒューマンエラー

2位の「誤表示・誤送信」は、誤った相手に大事なデータを送ってしまうなど、従業員によるうっかりミスです。メールの誤送信を防ぐツールを使用することで、ある程度リスクを軽減することができますが、従業員のセキュリティ意識を向上させることが重要なポイントとなります。

内部要因

3位の「不正な持ち出し・盗難」は、外部だけでなく内部にもリスクがあるということを示しています。故意によるものに限らず、盗難のように外部に端末を持ち出すことで被害にあうことも少なくありません。

AIの情報漏洩リスク

ChatGPTなどの生成AIツールの普及により、新たな情報漏洩リスクへの備えも欠かせません。業務にAIを活用している企業では以下のようなリスクがあることを認識しておく必要があります。

1. 機密情報の入力

生成AIに入力した機密情報が漏洩するリスクが指摘されています。入力された情報が一時的に保存され、他のユーザーがAIを利用した際に、その情報を含む回答が生成される可能性があるため注意が必要です。多くの主要な生成AIサービスでは、規約で学習データへの利用を行わないと明記しています。しかし、万が一に備え、生成AIを使用する際には機密情報を入力しないことが重要です。

2. チャット履歴の流出

2023年にはChatGPTの運営元であるOpenAI社のシステム不具合により、ユーザーのチャット履歴が流出した事例が報告されています。また、アカウントの乗っ取りにより、過去の履歴が閲覧されるリスク、共有アカウントによる履歴の混在などのリスクも存在します。

AIツール使用時の注意点

AIツールを使用する際は、個人情報や顧客情報などの機密情報の入力をしないことが重要です。ツールを選ぶ際は企業向けプランやAPI経由での利用が推奨されています。また、定期的な履歴確認を行い、社員による不適切な利用を防ぐための監査も重要です。

情報漏洩対策で重要なのは、情報漏洩が発生してしまった場合を想定しておくことです。対策によって発生リスクを減らすことはできますが、ゼロになることはありません。万が一に備え、どのように対応するかをあらかじめ定めておくことで、スムーズに対処することができます。

実態を把握し、初期対応を行う

まずは実態を正しく把握しましょう。情報漏洩がどの範囲で起きているのか、情報の種類や件数など、どこまで影響が及んでいるのかを確認したうえで、ネットワークの遮断、システムやサービスの停止を速やかに行います。情報漏洩が発生してから時間が経つほど被害が拡大するため、迅速な対応が重要です。ログファイルや関連システムの証拠保全も確実に行い、関係各所への報告も行うようにしましょう。

被害の拡大や二次被害を防ぐ

初期対応後は、被害の拡大や二次被害を防止するための措置を講じます。情報漏洩の被害を受けた企業や個人に連絡し、状況説明とともにパスワードの変更などを依頼します。被害の拡大を最小限に食い止めるため、迅速な対応が求められます。

情報を公開し、問い合わせ窓口を開設する

関係者への情報公開、Webサイトやプレスリリースでの事実公表、問い合わせ窓口の開設を行います。同時に、なぜこのような事故が起きてしまったのか原因の究明にあたります。調査進捗に関しても定期的な公表が必要です。そのうえで今後は同様の事故が起きないよう具体的な再発防止策を検討します。

適切な機関に報告する

情報漏洩が起きた場合、個人情報保護委員会に報告する必要があります。改正個人情報保護法では、個人情報の取り扱いが厳格化され、情報漏洩時の通知が義務化されました。報告義務違反などの法令違反に対しては、罰則・罰金などのペナルティが強化されています。

また、場合によっては所管の省庁、警察、IPA（独立行政法人 情報処理推進機構）への報告が必要になります。

Q1. 従業員が誤って顧客情報を含むファイルを誤送信してしまった場合、どう対応すべきですか？

A1. 即座に以下の対応を行ってください。

1. 1. 送信先に連絡し、ファイルの削除を依頼します
2. 2. 可能であればメール送信を取り消します
3. 3. 影響を受ける顧客への謝罪と説明を行います
4. 4. 個人情報保護委員会へ報告します（個人の権利利益を害するおそれが大きい場合）
5. 5. 再発防止策を検討し、実施します

Q2. ランサムウェアに感染した場合、身代金を支払うべきですか？

A2. 原則、身代金は支払うべきではありません。

支払っても復旧の保証はなく、一度支払ってしまうと再攻撃の標的になる可能性が高まります。また、犯罪組織への資金提供となってしまいます。警察や専門機関へ相談してください。

Q3. 退職した従業員が機密情報を持ち出した疑いがある場合の対応は？

A3. 法務部門や弁護士と連携し、被害届の提出などの法的措置も含めた対応が必要です。

まずアクセスログや持ち出しの証拠を集め、該当従業員のアカウントを無効化します。そのうえで法務部門・顧問弁護士へ相談し、必要に応じて警察への被害届を提出します。

Q4. クラウドサービス事業者側で情報漏洩が発生した場合の対応は？

A4. 責任共有モデルにもとづく対応が求められます。

事業者から情報漏洩の正確なデータの提供を求め、自社データの影響範囲の確認を行います。その後、顧客・関係者への状況説明、各関係機関への報告を行います。損害賠償の請求や代替サービスの検討も必要に応じて進める必要があります。

Q5. USBメモリやモバイル端末にデータを保存して持ち出しても大丈夫ですか？

A5. 業務で利用するデバイスに私用でデータを保存することは原則禁止です。USBメモリや個人のモバイル端末は紛失・盗難のリスクが高く、情報漏洩につながりかねません。どうしても外部デバイスを利用する場合は、暗号化と復号の管理を徹底し、利用後は速やかに破棄または返却するルールを設けましょう。

Q6. 不正アクセスや不正ログインが発覚した場合の初動対応は？

A6. 不正アクセスや不正ログインは重大なセキュリティインシデントです。

1. 1. 直ちに該当アカウントの停止やアクセス制御を実施する
2. 2. インシデントの範囲を確認し、被害状況を把握する
3. 3. 挙動ログを調査し、内部不正の可能性も含めて原因を分析する
4. 4. サイバーセキュリティ専門部門や外部の専門機関に報告する

初動対応を誤ると被害が拡大するため、あらかじめインシデント対応手順を明確にしておくことが重要です。

Q7. 情報漏洩は「不注意」によるものも多いと聞きますが、どんな対策が必要ですか？

A7. 実際の調査では、外部攻撃だけでなく従業員の不注意による情報漏洩も多数報告されています。たとえば誤送信やデバイスの置き忘れなどです。これを防ぐためには、アクセス制御などのシステム的対策に加え、従業員一人ひとりの意識やリテラシーの向上が不可欠です。定期的な教育や訓練を行い、情報の取り扱いに対する理解と責任感を高めましょう。

ここまで情報漏洩対策について、経営層と従業員がそれぞれ気をつけるポイントや、情報漏洩が起きてしまった際の対処法などを詳しく解説してきました。情報漏洩のリスク軽減のためには、原因を知り、対策していくことが重要です。情報漏洩は「起こらないことを前提とする」ではなく「起こったときの対応」が重要です。平時からの準備と継続的な対策により、企業のセキュリティリスクを抑えることができます。

セキュリティ対策においては、まず自社の現状を確認し、何が必要かを把握することから始めましょう。SAXA-DX Naviでは、自社の情報漏洩対策の現状や今後取り組むべき方向性がわかる情報漏洩対策チェックリストをはじめ、さまざまなお役立ち資料をご提供しています。ぜひ自社のセキュリティ対策にお役立てください。