「企業の情報漏えいはどのように起こってしまうものなのか」
上記の疑問をお持ちの方に情報漏えいが起こる原因と対策を解説します。原因は主に以下の3点です。
- 外部攻撃
- 内部不正
- 人的ミス
原因へのそれぞれの対策を実施して、自社の情報漏えいを防ぎましょう。また情報漏えいの事例から、自社の情報漏えいを防ぐ重要性を理解し、早急な対策につなげてください。
企業における情報漏えいとは
情報漏えいとは、企業が抱えており外部に伝えたくない情報が外部流出してしまうことです。情報が漏えいすると、企業が社会的信用を失う、訴訟を起こされるなどのマイナスの影響につながります。
企業が漏えいしたくない情報として以下があります。
- 個人情報
- 機密情報
個人情報の漏えい
個人情報は個人を特定できる情報です。または個人を特定できなくても、他の情報と組み合わせることで個人を特定できる情報も個人情報となります。例えば以下のような情報です。
- 名前
- 住所
- 生年月日
- 電話番号
- メールアドレス
- 銀行口座番号
- マイナンバー
- IDやパスワード
- 所属する企業名や学校名
企業は商品の発送やサービスの提供など、業務上必要であれば個人情報を得ることになります。目的以外に使用しない、と約束している中で個人情報が漏えいしてしまえば、企業の信用がなくなって当然です。
情報漏えいを防いで企業としての責務を果たす必要があります。
機密情報の漏えい
機密情報は外部へ公開する予定がない、企業内の情報です。機密情報の例として以下があります。
- 技術
- 設計書
- 特許技術
- プログラム
- 戦略
- 投資計画
- 営業
- 顧客情報
- 分析結果
上記が流出すると自社の売上にマイナスの影響を与える可能性があります。例えば、技術的な情報が流出すると、商品やサービスに独自性が失われる可能性が高いです。自社が投資をして編み出した技術が、簡単に他社に渡ってしまい、自社の競争力の低下につながります。
また個人情報の漏えいと同様に企業としての信頼を落とすことになります。どちらの情報も漏えいを防げないと、社会的な立場がなくなってしまうと危機感を覚えておきましょう。
情報漏えいが企業にもたらす影響
情報漏えいが起こると企業に以下の影響を及ぼします。
- 社会的信用を失ってしまう
- 損害賠償を支払うことになる
上記はどちらもよい影響ではありません。情報漏えいは百害あって一利なしのため、起こらないように対策が必要です。
社会的信用を失ってしまう
企業で情報漏えいが起こると社会的信用を失う事態につながります。
情報漏えいを起こしたくて起こす企業はありません。場合によっては、企業が外部からの攻撃を受けた被害者のケースもあります。
しかし、攻撃によって情報が漏えいすると世間は「セキュリティ対策が不十分な企業だ」と判断します。被害者であるはずの企業がマイナスのイメージを持たれてしまい、まさに泣きっ面に蜂状態です。
社会的信用を失うと企業にとっては死活問題です。信用を失うことがないよう、情報漏えいを防ぐ対策に力を入れておく必要があります。
損害賠償を支払うことになる
情報漏えいが起こると損害賠償を支払うことになる場合があります。
損害賠償の支払い義務が生じるのは主に個人情報が流出したケースです。個人は企業を信頼して情報を渡します。企業は得た情報を守る義務が生じている状態です。しかし、情報が漏えいすると義務違反となります。
個人情報の漏えいは特定された個人に悪影響が及ぶ可能性が高く、漏えいした個人情報は悪用されてしまうケースや、攻撃対象にされてしまうリスクがあります。
企業が義務を守らずに漏えいした情報で個人に悪影響が及ぶと、損害賠償を請求される事態に発展します。
情報漏えいはなぜ起きる?3つの主な原因とは
東京商工リサーチによると2023年は個人情報漏えい件数が年間最多を更新してしまいました。漏えい情報数も4,090万人分と最多となっています。
悪影響があるとわかっていても、企業の情報漏えいは起こり続けています。情報漏えいが起こってしまう主な原因として以下の3点があります。
- 外部攻撃
- 内部不正
- 人的ミス
原因①外部攻撃
外部攻撃は自社のシステムに対してハッカーが攻撃を仕掛け、情報を流出させることです。例として以下の攻撃があります。
- サーバーやアプリケーションなど、システムに含まれる脆弱性を突く
- なりすましメールを送る
- 大量のアクセスでサーバーをダウンさせる
企業は外部攻撃をされる前提を持ち、常に攻撃対象として狙われている意識を持つ必要があります。個人情報、機密情報は実体がありませんが、企業の資産です。資産を外部の犯罪者から守るために以下の対策を実施しましょう。
- セキュリティ対策ソフト、システムの導入
- 定期的なシステムのアップデート
- 従業員への教育
企業は攻撃をされる前提で上記の対策をしておくことで、外部攻撃から情報を守ることができます。
原因②内部不正
内部不正は、従業員や内部関係者など自社の情報にアクセスできる人間(内通者)が、外部に情報を漏えいさせることです。内部不正の例として以下があります。
- 内通者が無断で企業の情報を持ち出して、個人的に利用する
- 内通者が情報を求めている部外者に情報を売って利益を得る
内部不正は内通者のモラルにかける行動が原因で起こる情報漏えいです。内部不正を防ぐためには以下の対策を実施しましょう。
- アクセスログや入館ログなど、企業の情報にアクセスする際には記録が残る仕組みを整える
- ファイルへのアクセス権限は必要最低限の範囲で設定する
- 監視カメラや上司による声かけなど、内部不正が起こりにくい体制を作る
企業は従業員を信頼すべきです。しかし、内部不正の可能性にも備えて対策を実施する中で信頼関係を築いていきましょう。
原因③人的ミス
人的ミスは企業の情報にアクセスできる人間が、意図的ではないミスによって情報を漏えいさせてしまうことです。
内部不正は内通者による意図的なものですが、人的ミスは意図的なものではありません。よって対策をしていても人間である以上、ミスをしてしまう可能性があります。例として以下のようなミスがあります。
- メールを誤ったアドレス宛に送信してしまう
- ファイルの設定を外部からアクセス可能な設定にしてしまう
- 機密情報が入ったUSBメモリやハードディスクなどデバイスを紛失してしまう
意図的ではないミスとはいえ、企業が社会的信頼を失う事態になるわけにはいきません。ミスが起こりにくい体制を作れるよう、以下の対策を実施しましょう。
- メールを送る際のダブルチェックをできるシステムを導入する
- 従業員への教育をして、セキュリティへの意識を高めさせる
- デバイス持ち出しやアクセス権の設定など社内ルールを作る
実際に起こった情報漏えい事例【外部攻撃によるもの】
外部攻撃による情報漏えいの事例として以下2例を紹介します。
- ランサムウェア攻撃を受け、約49万人の個人情報が漏えい
- 情報管理システムに不正アクセスがあり、10万件の個人情報が漏えい
ランサムウェア攻撃を受け約49万人の個人情報が漏えい
2022年にA社の社内システムがランサムウェア攻撃を受けて、約49万人分の個人情報が漏えいした可能性がある事件が発生しました。
当事例の原因は社内システムが利用するVPN機器に脆弱性があったことです。攻撃者は脆弱性を突いて不正アクセスを行い、情報収集や攻撃を行っていました。また個人情報はバックアップも含めて暗号化されてしまい、復旧も困難な事態に陥っています。
結果として、クレジットカード決済を中止するなどの事態に発展しました。
情報管理システムに不正アクセスがあり約10万件の個人情報が漏えい
2023年にB社の情報管理システムに不正アクセスがあり、約10万件の個人情報が漏えいした可能性がある事件が発生しました。
当事例の原因は、B社のアプリケーションサーバーに脆弱性があったことです。攻撃者は脆弱性を突いて情報管理システムにまで不正アクセスを行い、保存されていた個人情報が漏えいしました。
B社はセキュリティ対策や再発防止策の検討とともに、登録されていた個人情報のユーザーに対し、個人情報を悪用した攻撃への注意喚起を行いました。
実際に起こった情報漏えい事例【内部不正によるもの】
内部不正による情報漏えいの事例として以下2例を紹介します。
- 元派遣社員が顧客情報約900万件を流出
- 業務委託社員が約1,900人の個人情報を付箋に書き出し
元派遣社員が顧客情報約900万件を流出
2023年にC社で約900万人分の顧客情報が漏えいした事件が起こりました。
当事例の原因はC社に勤務していた元派遣社員が、勤務していた時代に顧客情報管理サーバーにアクセスし、顧客情報をファイルに保存していました。顧客の名前や住所などの個人情報がファイルに保存され、自身のパソコンにダウンロードすることで手元に入手しています。元派遣社員は入手した顧客情報を業者に販売し、数千万円の利益を手にしました。
C社は情報管理体制の見直しを余儀なくされています。
業務委託社員が約1,900人の個人情報を付箋に書き出し
2023年にD社に勤務していた業務委託社員が、約1,900人分の個人情報を漏えいさせる事件が起こりました。
当事例の原因は業務委託社員が業務で得た個人情報を付箋に書き出し、社外に持ち出していたことです。また業務委託社員は付箋に情報を書き出す以外にも、録音やデータのコピーも行っていました。幸いなことに漏えい後の被害は確認されていません。
D社はこの事例を受けて、委託業者から個人情報の取り扱いや社内ルールの徹底を求められています。
実際に起こった情報漏えい事例【人的ミスによるもの】
人的ミスによる情報漏えいの事例として以下2例を紹介します。
- メール誤送信により、約12,000人の個人情報が漏えい
- 業務委託社員が約46万人分の個人情報を含むUSBメモリを紛失
メール誤送信により、約12,000人の個人情報が漏えい
2022年E社で約12,000人分の個人情報が漏えいする事件が起こりました。
当事例はE社の従業員が管理業者に送るはずの個人情報を、関係がない業者にメール送信してしまったものです。従業員はメール送信以外のタスクも抱えており、注意不足によって情報漏えいが起こってしまいました。
メールの誤送信を防ぐためには以下の例のように社内ルールを作って対策が必要です。
- メール送信時は他のウィンドウを閉じる
- メール誤送信防止ツールを使ってチェックを行う
- ダブルチェックを欠かさず行う
また過剰なマルチタスクを抱えないよう、業務調整をすることも有効な対策になります。基本事項の徹底で人的ミスを防ぎましょう。
業務委託社員が約46万人分の個人情報を含むUSBメモリを紛失
2022年、F社から業務委託を受けた従業員により約46万人分の個人情報が漏えいする事件が起こりました。
当事例は従業員がUSBメモリにデータを保存し、USBメモリを紛失してしまったことが原因です。従業員はUSBメモリを紛失した当時、外部持ち出しの許可は取っておらず、また泥酔していました。
こうした事例を防ぐには以下の対策が必要です。
- 社内デバイスを外部に持ち出さない
- 社内デバイスを持ち出す場合は飲酒は控える
- デバイスを使わずにデータを管理できる仕組みを整える(クラウドサービスの利用)
情報漏えいを防ぐためには?効果的な対策4選
企業が情報漏えいを防ぐためには以下の対策が効果的です。
- セキュリティソフトを導入しウイルスやマルウェア感染を防ぐ
- 社員の情報リテラシー向上やデータ管理ルールの徹底に努める
- 人的ミスを防ぐ社内ルール作り
- 情報漏えい発生時の対応を決めておく
セキュリティソフトを導入しウイルスやマルウェア感染を防ぐ
外部攻撃による情報漏えいを防ぐために、セキュリティソフトを導入し、マルウェアの対策をしましょう。例として以下のセキュリティソフトやサービスがあります。
- ファイアウォール:ネットワークへの不正アクセスを遮断する(許可された通信のみを通す)
- アンチウイルス:ファイルやシステムのスキャンを行い、ウイルスの検出、除去を行う
- WAF:Webアプリケーションへの攻撃を防ぐ
また、上記以外にもOSやソフトウェアのセキュリティパッチ適用を実施しましょう。パッチを適用することで、新たに発見された脆弱性を防げます。
外部の攻撃手法は年々巧妙化しています。よってセキュリティソフトやサービスを導入して、防御も最新化しておくことで、リスクの低減が可能です。
社員の情報リテラシー向上やデータ管理ルールの徹底に努める
内部不正や人的ミスを防ぐために、社員の情報リテラシー向上や、データ管理ルールの徹底に努めましょう。具体的には以下の取り組みで、社員の情報リテラシー向上が可能です。
- セキュリティ教育の実施:情報漏えいにつながらない行動指針を身につけてもらう
- 社内キャンペーンの実施:「セキュリティ強化月間」のようにセキュリティ向上の意識を社内で醸成する
- データ管理ルールの作成:個人情報や機密情報を管理する際のルールを作成する
- 監査の実施:定期的に内部、外部の監査を実施し、社内のルール運用が正しく行われているか評価をしてもらう
内部不正や人的ミスは従業員本人や従業員同士の意識で防げる可能性が高い情報漏えいの原因です。意識を高めるために、教育や第三者目線での監視で対策をしましょう。
人的ミスを防ぐ社内ルール作り
人的ミスを防ぐための社内ルール作りも大切です。人的ミスは意図的な情報漏えいでなくとも対策が必要になります。対策の1つが人的ミスが起こらない、または起こりにくい社内ルールを作ることです。例として以下のルールがあります。
- メール送信時のダブルチェックの実施
- メール以外でのファイル送信方法を導入
- 外部デバイスの持ち出し禁止
- 外部デバイスを利用しない運用
- 必要最低限のみのアクセス許可
人的ミスを防ぐ社内ルールを作ると、業務の実施に支障が出る可能性もあります。業務への影響とセキュリティ強化のバランスを取りながら、社内ルールを整えていきましょう。
情報漏えい発生時の対応を決めておく
万が一、情報漏えいが発生してしまった時の対応を事前に決めておきましょう。情報漏えいが起こった後でも、被害を最小限に食い止められるよう対応を決めておくべきです。例えば、以下のような対応を決めておきましょう。
- 緊急連絡先:情報漏えいが起きてしまった、または起こった可能性がある場合に誰に連絡するか
- コミュニケーション方法:ウイルス感染した場合はメールや社内チャットが使えない可能性があるため、どのように連絡手段を用意するか
- 復旧計画:どういった復旧手順を実施するか(数パターン想定できるとよい)
これらの対応を決めておくことで、被害を最小限にできます。迅速な対応は被害の最小化だけでなく、企業の信頼失墜にも歯止めをかけることになり得るため、事前に決めておきましょう。
まとめ
情報漏えいは企業が持つ個人情報や機密情報が外部に公開されてしまう問題です。情報漏えいが起こると、企業は社会的信頼を失う事態につながります。
情報漏えいには以下の原因があります。
- 外部攻撃
- 内部不正
- 人的ミス
特に外部攻撃は年々巧妙化しており、被害を防ぐためにはセキュリティ対策のサービスを導入すべきです。弊社ではさまざまなセキュリティソリューションを提供しており、外部攻撃への対策ができます。
弊社ではセキュリティの無料診断や無料コンサルティングも承っています。自社のセキュリティに不安を感じる担当者様は下記リンクからご連絡ください。
