インターネットの利用が増加したことで、企業の情報漏えい対策は急務となっています。
では、そもそも情報漏えいが起こってしまう原因には何があるのでしょうか。
【総合受付窓口】
大塚商会 インサイドビジネスセンター
0120-579-215 (平日 9:00~17:30)
情報漏えい対策としてすべきこととは? 情報流出から企業を守るポイント
日常生活とインターネットは、いまやお互いに切り離せない存在となりつつあります。ショッピングや仕事、娯楽などさまざまなものに、インターネットは利用されています。
しかし、インターネットの利用増加に伴い、個人情報が外部に流出してしまう「情報漏えい」の報告件数も増加しています。
この記事では、情報漏えいの原因や対策の重要性、情報漏えいから企業を守る方法などを紹介します。
なぜ情報漏えいは起きてしまうのか
情報漏えいの原因
情報漏えいの原因は、さまざまあります。
一般財団法人日本情報経済社会推進協会(JIPDEC)の2021年度「個人情報の取扱いにおける事故報告集計結果」によると、情報漏えいの原因として多く挙げられているのが「誤送付」「その他漏えい」「紛失」となっています。なお、その他漏えいには、作業ミスのほか不正アクセスや不正ログイン、ウイルス感染が挙げられています。
ここでは、それぞれの原因について詳しく見ていきましょう。
マルウェア感染や不正アクセス
マルウェアとは、パソコンなどのデバイスに不利益をもたらすプログラムやソフトウェアの総称です。さまざまな種類があり、代表的なものに「ウイルス」や「ワーム」「トロイの木馬」などがあります。これらに感染すると、個人情報を抜き取られたり流出させられたりといった被害が及びます。
また、不正アクセスについても対策が必要です。警察庁、総務省及び経済産業省により、「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」が公表された。情報によると、都道府県警察から警察庁への過去5年の報告件数推移を見ると、2018年は1,486件、2019年は2,960件、2020年は2,806件と増え、2021年は1,516件と少し落ち着いたものの、2022年は2,200件と増加しており、依然注意が必要な状況にあります。
誤操作や誤廃棄
個人情報が含まれているメールを誤って外部に送ったり、重要な情報が記載されている書類を誰でも閲覧できる状態で廃棄したりする、などです。
パソコンなどデバイスや書類の紛失、盗難
パソコンやUSB、書類などの記録媒体を紛失することにより、それに含まれた個人情報などの重要な情報を外部へ流出させてしまうことがあります。
情報漏えいの被害事例
情報漏えいの被害状況はどのようになっているのでしょうか。
東京商工リサーチの調査によると、2022年に上場企業とその子会社で「個人情報の漏えい・紛失事故」が公表されたのは150社で、事故件数は165件、漏えいした個人情報は592万7,057人分(となっています。これは、調査を開始した2012年以降、社数と事故件数は2年連続で最多の記録です。
情報漏えい・紛失人数が多かった上位10件のうち、不正アクセスを原因としたものは6件と半数以上でした。
では、実際の被害事例について見ていきましょう。
顧客情報の誤送信
2022年、関連子会社が取得したカード会員約191万人分の個人情報を、グループ内の共同利用外である顧客情報データベースに誤送信する事故が起きました。
不正ログインによる顧客ポイントの不正利用
2022年には、プリンター、ファクスなどを製造販売している企業の子会社が運営するサービスサイトにおいて、第三者が不正にログインしたという報告がありました。これにより、顧客のもつサービスポイントが換金性の高い別のポイントに交換され、取得されました。最大換金金額は、40万4,900円相当とされています。
情報漏えいによる企業の損失と対策の重要性
情報漏えいが起こった場合、まず原因の調査や対応が必要です。
対象デバイスをネットワークから切り離したり、経緯把握のために一部の業務を停止したり、といった対策を講じます。そのため、人的コストがある程度かかってしまいます。
また、一度個人情報を流出させてしまうと、顧客からの企業イメージが著しく低下し社会的信用を失う結果となります。さらに、法的に管理義務がある情報を適切に管理していなかった場合、経営者は法的責任も問われます。
例えば、個人情報やマイナンバーに関する違反では、刑事罰が科されるほか、個人情報保護委員会による立ち入り検査が行われます。
また、民法上の不法行為とみなされると、経営者が個人として損害賠償責任を負わなければなりません。
社員が意識すべき情報漏えい対策の基本7カ条
情報漏えいを防止するためには、社員教育も大切です。独立行政法人情報処理推進機構(IPA)では、社員一人ひとりが意識すべきポイントして以下の七つを提示しています。
許可なく持ち出さない
自宅やオフィス以外の場所で業務を行う際に、許可をとらずに会社のPCや情報を持ち出してはいけません。仮に持ち出しが許可されたとしても、管理を徹底しなければなりません。自分の不注意が原因で情報を紛失したり盗難に遭ったりすると、会社の大損害につながる可能性があります。
対策をしないまま放置しない
重要な情報の記載された書類を放置したり、画面のロックをかけないままパソコンから離れたりなど、未対策の状態で放置するのは危険です。自分だけが気を付けていても、周りが気を付けていないと情報漏えいが起こるかもしれません。周囲が保管を忘れている場合は、声をかけるなどの対応を行いましょう。
復元できる状態で雑に廃棄しない
廃棄する書類やパソコンなどの処理は念入りに行いましょう。重要な書類は専門の業者に依頼して細かく裁断後に溶解処分するなど、復元できないようにすると安心です。
外部のデバイスやデータを持ち込まない
持ち込んだパソコンやUSBなどの記録媒体にウイルスなどのマルウェアが潜んでいた場合、不正アクセスの原因になる可能性があります。セキュリティ対策ソフトの導入はもちろん、OSなどを常に最新の状態にしておくなど、日ごろの対策を徹底しましょう。
許可なく貸与や譲渡をしない
企業では、業務の担当者を識別するためにIDやパスワードを設定するケースが多くあります。しかし、安易にこれらを教えたり、誰でも分かる場所にメモしたりしてはいけません。
情報を公言しない
病院で勤務している人が患者に関する情報を口外してはいけないように、一般的な社会人のモラルとして業務上知り得た情報は公言しないという「守秘義務」があります。
自己判断せずに報告する
万が一情報漏えいが発覚した場合は自分ひとりで判断せず、まずは落ち着いて上司や管理者に報告しましょう。誰にも伝えずにいると、被害が大きくなった際に対策を講じられなくなる可能性があります。
個人情報保護法の改正で企業に求められること
2022年4月施行の個人情報保護法改正によって、情報漏えい時の報告義務や法令違反に対するペナルティの強化などが追加されました。(2023年4月施行により行政機関等も対象)
例えば、個人情報が流出した際、個人情報保護委員会への2段階報告および本人への通知が義務付けられました。これは、個人情報の保護に関する法律の第二十六条に明記されています。
2段階報告は「速報」と「確報」があり、それぞれ時間的制限が定められています。速報は、報告対象の事態を知ってから速やかに対応するとしており、確報は事態の把握後30日以内(不正目的の恐れがある場合は60日以内)に対応が求められます。
これにより、企業は情報漏えいが発覚したあとの対処やプロセスの整備が重要となりました。
企業がすべき情報漏えい対策とは
では、企業が情報漏えいの脅威から身を守るためには、どんなことをすればよいのでしょうか。ここからは、対策について詳しく見ていきましょう。
情報漏えいを防ぐための対策
情報漏えいを防ぐためには、以下のような対策が有効です。
社員へのセキュリティ教育
前述した7カ条のように、社員一人ひとりが「情報漏えいに対する意識を高める」ことが大切です。また、実際に起こった事案の例などを交えながら機密情報の取り扱いルールなどを明確に決め、定期的に確認を促すことも情報漏えい対策になります。
不正アクセスに備えるための対策
標的型メールによる標的型攻撃やフィッシング、ファイル添付ミスなど、不正アクセスの原因になる物事に対して、セキュリティを強化して「情報にアクセスさせない」ことが大切です。ネットワークのセキュリティを強化したり、業務に不要なアプリをインストールできないように制限をかけたり、といった方法で不正アクセスをさせない環境に整えましょう。
社内のセキュリティルール確立による情報流出防止
重要な情報を含む記録媒体を扱う際のガイドラインやマニュアルなど、許可なく持ち出しができないようなルールを作成することで「内部からの流出を防ぐ」ことも重要になります。持ち出し後も、パスワードによるロックなどを設定して、簡単に情報が流出しないように対策します。
大塚商会の情報漏えい対策サービス
情報漏えい対策には、サービスやツールを利用するのもおすすめです。ここでは、大塚商会が提供する情報漏えい対策サービスをご紹介します。
LANSCOPE エンドポイントマネージャー
情報漏えい対策・マルウェア対策の統合管理ツール
LANSCOPE エンドポイントマネージャーなら情報漏えい対策からウイルス対策まで、まとめて管理ができます。オンプレミス版とクラウド版を用意しているので、自社の環境にあった製品をお選びいただけます。
ISM CloudOne
社員に配布されるクライアントPCの不正アクセス対策から情報漏えい対策、IT資産管理を支援する管理サーバー不要のクラウドサービスです。初期設定が簡単で、設定に合わせたレポートを毎日ダッシュボードに反映します。LAN内PCはもちろん、LAN外への持ち出しPCやスマートデバイスをインターネット回線の利用で一元管理することも可能です。「操作ログ取得オプション」や「外部メディア制御オプション」といったオプションも豊富なため、企業に合った使い方を選べます。
情報漏えいをはじめとするセキュリティ対策のご相談は大塚商会まで
情報漏えいは、マルウェア感染や不正アクセス、誤操作や記録媒体などの紛失といった原因によって発生します。近年さまざまな企業から情報漏えいが報告されていることもあり、企業ではセキュリティ対策が急務となっています。
情報漏えいの脅威から企業を守るためには、情報を「流出させない」仕組み作りが必要です。しかし、セキュリティ対策には検討と整備に多くの時間がかかります。
「何が最適か分からない」「検討する時間がない」などのお悩みをお持ちのご担当者様は、ぜひ大塚商会にご相談ください。お客様の業種、規模、ご要望に合わせて、最適なセキュリティ対策をご提案します。まずはお気軽に、お問い合わせください。
ナビゲーションメニュー