コピー完了

記事TOP

情報漏えい対策のポイント | 原因と事例も徹底解説

最終更新日:
公開日:
近年、急速により重要視されている個人情報の保護。そんな個人情報が漏えいするのをどのように防げばいいのか、また、情報漏えいしてしまった場合何をすればいいのか。今回は組織・企業と個人に分け対応方法を徹底解説します!

そもそも情報漏えいとは

情報漏えいとは、内部のみで管理している情報が、外部に流出してしまうことです。

個人レベルでの情報漏えいも問題ですが、企業活動の中で起きる情報漏えいの場合、企業の機密情報や従業員・顧客の個人情報などが外部に流出する可能性があるため、信用・信頼の失墜や賠償責任など、利益損失を含めた重大な損害が生じます。

インフラの整備や情報化進展に伴い、情報漏えいの原因はインターネットを介したものが増えていますが、紙媒体を含むさまざまな要因があり、いずれも管理側の過失である場合が多いといえます。

2017年度版情報漏洩事例の基本データ

情報漏えい事例の基本データを紹介していきます。

業種

まずは2016年に情報漏洩が起こった企業を、業種に分けて見ていきましょう。金融業・保険業、公務は個人情報保護に対する行政指導が強く働いており、小規模の事故であっても公表していることから、数として多くなっています。教育・学習支援機関は、ウイルス対策やインターネットの専門家がいることが少ないことや、それに伴う意識の低さなどが原因として考えられています。

想定賠償額

次に、実際に情報漏洩が発生した場合にどれぐらいの額の損害賠償を払わなければならないのかを紹介していきます。1億円未満の賠償額が全体の82%を占めていますが、2014年に起こった大手教育機関の情報漏洩事件では、想定約1兆円の損害賠償の支払いがありました。

漏洩媒体・経路

不正アクセスが増加しているため、インターネットでの漏洩が多いと思われがちですが、紙媒体の漏洩が全体の半分近くを占めています。

紙媒体→管理ミスや紛失・置忘れ
インターネット→不正アクセス
電子メール→誤送信
USB等可搬記録媒体とPC本体→紛失・置忘れ

以上が主な原因のようです。

情報漏えいの原因と対策

少し前まで、企業で起こる情報漏えいの原因のほとんどは「管理ミス」「誤操作」「紛失・置忘れ」の3つのヒューマンエラーであると言われてきました。過失や不注意が情報漏えいにつながってしまいます。

ですが、近年不正アクセスによる情報漏えいによるケースが急速に増えています。

管理ミス

管理ミスは、情報管理の規則を守らずに情報が漏洩したケースを示しています。従業員、管理者のミスももちろん考えられますが、規則自体の欠陥の可能性もあります。書類の誤廃棄もこれに含まれます。

【対策】
・情報管理と廃棄の規則の見直し、徹底
・保管期限の設定

誤操作

通信手段(FAX、電子メール)を使う中で、添付ファイルを間違える、宛先を間違えて送信してしまった場合の情報漏洩を指します。

【対策】
・暗号化ソフトなど、誤送信対策のソフト・サービスを使う
・添付ファイルの容量を制限する
・自動送受信と個人情報を含むメールを禁止する

不正アクセス

不正アクセスとは、外部の者がサーバや情報システムの内部へ侵入を行う行為です。インターネットに接続されている機器ならば、世界のどこからでも行われる可能性があります。

【対策】
・ソフトウェアの随時更新
・ファイヤーウォールなど、防止システムを導入する
・ソフトウェアのインストールを制限する

既存ソフトのアップデートならまだしも、新しくソフトをインストールする際には注意が必要です。

紛失・置忘れ

資料やPC、USBなどを外部に持ち出し、紛失・置忘れしてしまうケースも非常に多いです。組織内での規則作りはもちろんですが、個人が意識的に防止する意識を持つ必要があります。

【対策】
・デバイスやデータを外部に持ち出すときは厳しいルールを設ける
・PCやデータにロックをかける
・持ち出すデータを暗号化する

情報持ち出し

情報持ち出しとは、内部の者が意図的に個人情報やデータを外部へ持ち出したり、公開したりするケースのことをいいます。

悪意を持つ者が企業内に存在するため、機密情報・個人情報にアクセスしやすく、情報を持ち出す手法もさまざまになるため、件数自体は少ないといえますが、企業に与えるダメージは非常に大きなものがあるといえるでしょう。

【対策】
・アクセス権限を限定する
・記録デバイスの持ち出しを管理する
・職場環境や社員の処遇を見直す

情報漏洩防止のためにやっておくべきこと

ここまで主な要因と対策を見てきましたが、やっておくべきことをまとめておきます。

組織・企業がやるべきこと

情報漏洩防止の取り組みを行う

まずは組織や企業が主体となって情報漏洩防止の取り組みを行いましょう。管理に関して明確な規則を設け、徹底させることが重要です。従業員への教育なども定期的に行うべきでしょう。

脆弱性対策の実施

Webサイトやソフトウェアのセキュリティは、必ずしも万全であるとは言えません。信頼性の高いソフトを選んでインストールすることはもちろん、会社側は、社員のソフトを管理、制限する必要があります。

守秘義務に関する誓約書等の作成

社会人としてモラルやルールを理解していることは当然のことですが、そうでない人がいるのも残念ながら事実です。守秘義務に関しては口頭の説明だけではなく、必ず文章を作成し、署名をさせるようにしましょう。

データの一元管理とアクセス制限

企業の機密情報が入ったPCなどは、外出先での置き忘れ・紛失によって簡単に情報漏えいの原因になってしまいます。

そこで、データを一元管理する一方で、PCなどをデータレス端末化することにより、このような問題を防ぐことができます。

また、より現実的な方法として、関係者個別にデータへのアクセスを制限することは必須といえるでしょう。

ネットワーク監視とシステムの進化

サイバー攻撃などの外部要因に対しては、企業内ネットワークをファイアウォールで守ることを前提に、システムのぜい弱性のチェック、不正アクセスへの24時間監視、定期的なセキュリティチェックを徹底し、日々新たな手法を駆使するハッカーに対抗するように、システムを進化させていく必要があります。

ぜい弱性診断ツールをお探しの方は、ぜひ以下の記事を参考にしてください。

物理セキュリティの徹底と人為的ミスを補うシステム

ICカード・指紋認証などの導入、監視カメラの設置、私物PC持込み禁止、社内PC持出し禁止など、物理的なセキュリティを徹底させるほか、メール誤送信などの人為的ミスを補うためのシステム開発・導入が望まれます。

同時に、関係者がなぜ情報管理を徹底しなければならないか、個々の意識を共有させる必要があるでしょう。

情報漏洩発生時の対応手順を明確化

情報漏洩が起こってしまった後の対応を明確にしておく必要があります。

情報漏洩が起こってしまった場合、対応が遅くなればなるほど、漏洩に伴う被害は拡大していきます。
「情報漏洩発生時対応マニュアル」を作成し、社員に徹底しましょう。

個人がやるべきこと

メールやFAXの宛先を毎回確認する

単純なことですが、メールやFAXの宛先は毎回確認しましょう。前述の通り、誤操作による情報漏洩は全体の16%にも及び、そのほとんどが送る宛先を間違えたパターンです。

公共の場(SNS)で機密情報を発信しない

こちらも単純なことではありますが、公共の場やSNS上で機密情報や個人情報を発信するのはやめましょう。特に近年はSNS上で何気なく発信したことが情報漏洩につながったケースがあります。飲食店や電車内での会話や、携帯電話での通話の中で情報漏洩が起こったケースも少なくありません。同業者や悪意のある他者が近くにいないとも限らないので、気をつけましょう。

個人情報を含む文書はシュレッダーで破棄する

情報漏洩の媒体や経路は半分が紙媒体です。個人情報を含む文書はシュレッダーで必ず破棄しましょう。ゴミ箱にそのまま捨てるのはやめましょう。

セキュリティソフトの導入・更新をする

時代が進めば、コンピューターウイルスやハッキングプログラムも進化します。もちろん、セキュリティソフトも100%安全ではありませんが、リスクを格段に下がることができるのは間違いありません。

機密情報を職場から持ち出さない

資料や文書など紙媒体を家や出張先に持ち出すことや、USBなどの記録媒体を社外に持ち出すことも当然リスクが伴います。信頼できるクラウドサービスに情報を保存しておいた方が安全でしょう。

信頼できないWebサイト上で個人情報を入力しない

SNSなどのサービスの普及で、フィッシングサイトと呼ばれる詐欺サイトによる被害が拡大してきています。信頼性の高い機関やサービスになりすましたメール、広告などによってIDやパスワードを入力させ、情報を抜き取るケースが多いです。

パスワードを定期的に変更する

個人情報を含むデバイスや、ファイル共有サービスのパスワードは定期的に変更しましょう。どれだけ複雑なパスワードを設定しても、時間をかければ解析されてしますのが現状です。定期的なパスワードの変更により、IDとパスワードが突破されるのを防ぐことができます。

情報漏えいするとどうなる?

次に情報漏えいが発生した場合、結果としてどのようなことが起こるかを紹介していきます。

組織・企業編

民事・刑事上の責任

過去の事件からわかるように、情報漏洩が起こったら被害者に対して損害賠償を行わなければなりません。額は規模や企業によって異なりますが、億を超える賠償も少なくありません。(ページ上部【想定賠償額】参照)

企業ブランドの低下

情報漏洩が起こると企業に対する信頼性が低下するだけでなく、社員のモチベーションや待遇が低下する可能性もあります。その結果優秀な人材の流出というケースも想定されます。

個人編

Web上で様々な障害が発生する

どの情報が漏洩したのかにもよりますが、メールアドレスが流出すれば迷惑メールやウイルスなどを含んだ悪意のあるメールが増えますし、使用しているサービスのIDとパスワードが流出すればそのサイトは自由に使われてしまいます。また、IDとパスワードがわかっていればパスワードの変更も容易で、本来の使用者がログインできなくなるケースもあります。

多額の請求をされる

悪質なケースとしてクレジットカードの番号が流出し、勝手にWeb上で物販などを利用されることがあります。もちろん、本人が購入したのではないことが証明できれば取り消しはできますが、普段からクレジットカードを使用していると、本人も気づかないケースもあります。明細を確認し、覚えがないものがないか、確認するようにしましょう。

詐欺に巻き込まれる可能性も

電話番号や住所、名前などの情報が漏洩すると詐欺に遭う可能性が高まります。
最近が公的機関を騙る詐欺が多く、相手が情報を多く持っているとつい信用してしまうことが多いようです。

情報漏えいした時の対処法

組織・企業編

組織・企業において情報漏洩が起こってしまった場合、ある程度のブランド低下は防ぐことができません。ただ、被害を少なく済ませることはできます。
発生してしまった場合、どのように対処すればいいのかを紹介していきます。

被害拡大を防止する

最初にすべきことは被害の拡大を防ぐことです。漏洩した情報が犯罪などに使われないよう、漏洩してしまった情報がどの程度の規模なのか、具体的にどの情報が漏洩したのか、明確化しましょう。また、1度起こってしまった漏洩が、2度と起こらないように再発防止に努めましょう。

情報を一元化する

情報が錯綜すると、関係者が不安になりさらなるブランド低下につながります。対策委員会を設置し、外部に対する情報提供や報告を一元化、正しい情報の管理、把握をします。

情報は開示する

情報開示によって被害が拡大する場合を除き、外部に対して情報を開示することが重要です。透明性を失うとさらなるブランド低下につながります。

社員が一丸となって協力する

情報漏洩が起こると、様々な判断を瞬時に下さなければならず、精神的にも肉体的にも大きな負担がかかります。部署や役職の垣根を超えた協力が必要になります。

個人編

Web上のアカウント情報を確認する

情報漏洩に気づいたら、まずはWeb上のサービスのアカウントを確認し、必要に応じてパスワードを変更しましょう。また、設定などを変更されている可能性もあるので、サービスプロバイダに問い合わせてみるのも良いでしょう。

クレジットカード、銀行口座を確認する

情報漏洩が起こったことをカード会社と銀行に通知しましょう。カード会社や銀行は対応に慣れているはずですから、指示を仰ぎましょう。

知人・親族に連絡

漏洩した情報によっては知人や親族に連絡する必要があります。詐欺に巻き込まれる可能性を少しでも減少させるためです。

情報漏えいの代表的な事例と影響

規模や影響は異なりますが、情報漏えいに関する事故は日々、世界中で発生しています。

2012年には、過去の顧客データを記録したメディアの紛失したことが原因である、三菱UFJフィナンシャルグループの672万人分の顧客取引データの紛失事件。

2013年には外部からの不正アクセスによる、ヤフーの2,200万件のID流出。

そして2014年にはベネッセコーポレーションの3,504万件の個人情報流出事件も起こってます。これは、委託先の社員によるデータの不正取得と転売が原因で、刑事事件にもなりました。

続く2015年の情報漏洩事件の状況は、上半期だけに絞っても31社・全40件発生しています。

以下では、最近の事例として、システムのぜい弱性と人為的なミスが不正アクセスを招いた顧客情報流出と、人為的ミスによる顧客メールアドレス流出の例を紹介します。

事例(1)顧客情報が人為的ミスと不正アクセスで流出

2017年5月13日から7月30日までの間、米信用情報機関であるEquifaxのWebサイトに不正アクセスがあり、アメリカの顧客約1億4550万人分の個人情報が流出しました。

Equifaxが顧客向けに使用したWebサイトではApache Strutsというアプリケーションフレームワークを使用していました。

しかし、セキュリティ機関US-CERTの修正勧告があったにもかかわらず、ぜい弱性が発見されなかったため放置し、情報漏えいに繋がってしまいました。

問題のStrutsは7月30日に完全に停止されましたが、流出した個人情報にはクレジットカード番号も含まれ、影響を受けた人はアメリカで1億4550万人の他、カナダでも8000人といわれており、CEOの引責辞任にまで発展しました。

事例(2)メール誤送信で顧客のメールアドレス流出

2017年10月2日、ブラザー販売がキャンペーン応募者への案内メールを誤送信し、顧客のメールアドレス985件が流出しました。

通常、顧客へのメール一斉送信にはメール配信サービスが利用されますが、担当者が誤って手動で送信手続きを行ったため、メールを受信したユーザー間でメールアドレスを全て閲覧できる状態になっていました。

ブラザー販売では、翌日の10月3日に該当者へメールで謝罪を行い、該当メールの削除を依頼しましたが、改めて電話や書面での連絡を行うなど、影響が出ています。

情報漏洩対策は万全に!

りそな銀行で働く派遣職員の子供が、店舗に訪れた芸能人の個人情報をツイッターで漏洩したとして、りそなホールディングスが謝罪しました。

この際、守るべき個人情報を家族に話した派遣社員は、不法行為に基づく損害賠償責任を負うことになります。

また日本郵政がメールサービスの登録者に、登録者の情報を一覧にしたファイルをメールで誤送信してしまいました。メール関係のトラブルは多く、他にも、一斉送信の宛先をCCに入れてしまってメールアドレスが流出…というトラブルも多く起きています。

このような状態を防ぐために、情報漏えい対策は会社と社員が一丸になって取り組む必要があります。セキュリティソフトを導入するのもいいですが、それ以上に情報漏洩を防ぐ意識を全員が共有しましょう。また、どれだけ万全な対策をしていても、情報漏洩を100%防ぐことは不可能です。漏洩が起こったときの対処法も確立、共有しておきましょう。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

WAF
選び方ガイド
資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間1000万PV
掲載社数3,000
商談発生60,000件以上
WAFの最近更新された記事