情報漏えいによって、企業の持つ機密情報や従業員、顧客の個人情報が外部に漏れ、トラブルになる事件が増加しています。情報漏えいは、PCなどの置き忘れやメールの誤送信など、ささいなことが原因で生じます。情報漏えいの内容や被害規模によっては、損害賠償を請求されるケースもあり、企業の経営や信頼性にも関わります。
この記事では、情報漏えいが起きる原因や情報漏えいによって考えられるリスク、今すぐ取り組める対策などを詳しく解説します。企業だけでなく自分の身を守るためにも、セキュリティー対策は常に行う必要があります。具体的な対策を検討中の方の参考になれば幸いです。
情報漏えいとは
情報漏えいとは、企業や組織が守るべき情報が外部に漏れてしまう事態を指します。
主な情報は、次の3種類です。
- 機密情報(企業の営業秘密や新製品の開発情報など)
- 個人情報(氏名や住所、性別、病歴など)
- 顧客情報
これらの情報が外部に漏えいすると、大きな被害をもたらす可能性があるため、適切な管理が必要です。
「情報漏えい」と「情報流出」の違い
「情報漏えい」と「情報流出」は類似した意味合いで使われることがありますが、厳密には異なります。
「情報漏えい」は、外部に知られてはいけない情報が漏れてしまうことを指します。一方で「情報流出」は、情報に限らず、技術や人材などさまざまなものが外部に漏れてしまうことを指します。しかし、実際には使い分けがあいまいであり、同じ意味で使われることが一般的です。
情報漏えいに関する法律
情報漏えいに関する法律は、2005年に「個人情報保護法」が施行され、個人情報の取り扱いにおける重要性が広く知られるようになりました。個人情報保護法は、2022年4月1日に改正され、個人情報の漏えいが発生した場合には、個人情報保護委員会への報告と本人への通知が義務化されました。
報告対象となる事例には、社員の個人情報や決済情報、クレジットカード番号を含むデータなどがあります。漏えいの報告は「速報」と「確報」の二段階で行われ、それぞれの報告内容と期限が規定されています。
確報:情報漏えいの事態を知ってから、30日以内にその時点で把握している内容を報告する。
確報時点ですべての内容を報告できない場合は、内容を把握次第報告します。
また、改正された個人情報保護法では、委員会に対する虚偽報告や命令違反に対する罰則が引き上げられています。虚偽報告者や法人には50万円以下の罰金が科され、命令違反の場合は行為者に1年以下の懲役または100万円以下の罰金、法人には1億円以下の罰金が科されます。
情報漏えいを警戒すべき理由
近年では、テレワーク環境での情報漏えいによる被害にも特に注意が必要です。
テレワークの増加によるサイバー攻撃の増加
テレワークが一般的になる中、VPN機器の脆弱性を狙ったサイバー攻撃が増えています。古いデバイスの使用や、ファームウェアのアップデートを行っていない場合、危険なマルウェアの感染経路になり、情報漏えいが発生する可能性があります。
「RaaS」と呼ばれるランサムウェア攻撃の拡大
ランサムウェアは、感染すると端末に保存されているデータを使用できない状態にし、そのデータを元に戻すための対価を金銭や暗号資産などで要求する不正プログラムです。
近年では、「RaaS(Ransomware as a Service)」と呼ばれるランサムウェア攻撃をする際に用いられる手法やツールをパッケージ化したビジネスモデルが出現しています。このRaaSによって誰でもランサムウェア攻撃ができるのが現状で、情報漏えいが発生する危険性も高まっています。
企業が保護するべき情報
企業が保護するべき情報には、以下のようなカテゴリがあります。これらの情報は企業にとって重要であり、外部に漏えいすると深刻なリスクを伴います。そのため、適切なセキュリティー対策や個人情報保護のための規制を遵守し、情報漏えいを防止する体制を整えることが大切です。
機密情報
機密情報は、企業として外部に知られてはならない重要な情報を指しており、漏えいすると企業に損害をもたらす可能性があります。例として、人事情報、財務状況、新製品の開発情報、製造工程図など外部へ公開するべきではない情報が挙げられます。
個人情報
個人情報は個人を特定できる情報のことであり、社員の氏名や住所、性別、健康診断結果などが挙げられます。また、オフィスへの入退室管理システムの記録やログオン情報も個人情報に含まれます。
顧客情報
顧客情報には、顧客リストや仕入れ価格、商談履歴、問い合わせ履歴などが含まれます。漏えいすると顧客に多大な影響を及ぼす可能性があるため、信頼を失うリスクも考慮して厳重に管理する必要があります。
公共性の高い情報
公共性の高い情報とは、発電所や通信設備など、社会的に重要なサービスや安全に関する情報です。漏えいした場合、関係者や個人情報保護委員会に報告し、必要に応じてマスコミなどに情報を開示する必要があります。
情報漏えいの経路
情報漏えいがどのような経路で発生するのかをご紹介します。次に挙げる媒体を扱う際は、情報の取り扱いに注意が必要です。
紙媒体
紙で持ち出せる情報量には限りがあるため、被害の規模は比較的小さいことが考えられるものの、取り扱いには注意が必要です。書類や印刷物、裏紙などの紙媒体は企業規模や業種にかかわらず利用する機会が多いため、紛失や盗難により情報が漏えいする可能性も高くなります。
インターネット
不正アクセス、マルウェアの感染などによって個人情報が盗まれる場合があります。インターネットにおける情報漏えいは近年増加傾向にある経路の一つであり、安全性の高いIDとパスワードの設定や、ファイアウォールをはじめとしたフィルタリングが重要視されています。
記録媒体
USBメモリーやDVD、外付けハードディスクなど大容量デバイスの利用者は増えており、特にUSBメモリーなどは持ち運びが容易なため、紛失や盗難による情報漏えいの原因となる可能性が高いです。
PC本体
PC本体の紛失や置き忘れ、盗難などの管理ミスや、業務外での利用、不正持ち出しが原因で情報漏えいが起こる可能性があります。
PC本体や前述した記録媒体などのデジタルデバイスは、コンパクトで持ち運びに便利で大量の情報を一度に持ち出せるので、1件あたりの被害規模が大きくなる傾向があります。
情報漏えいの原因(社内)
情報漏えいは社外だけでなく、社内でも起こる可能性があるため日頃から対策を行うことが大切です。社内での情報漏えいの原因としてよく挙げられるものをご紹介します。
一般ユーザーが気を付けるべき項目
一般の従業員が業務に取り組むなかで考えられる情報漏えいの原因は、次のとおりです。
データの無断持ち出しや外部への送信・投稿
社内データの無断持ち出しや外部へのメールによる送信・SNSなどへの投稿は情報漏えいのリスクを高め、顧客に被害をもたらす可能性があります。たとえ重要性の低いデータであっても慎重に扱うべきであり、無許可での持ち出しは避けましょう。このような行動は、企業に属する従業員としての不正行為であるため、行わないようご注意ください。
データの誤送信・誤操作
情報漏えいは、誤送信や誤操作が原因で起こる可能性があります。
特に電子メールでは、メールアドレスの入力ミスが起きやすく、キーボードのオートコンプリート機能によって間違った宛先を指定してしまうこともあります。また、TO、CC、BCCの使い方を間違えることによって情報漏えいしてしまうケースもあるため、注意しましょう。例えば、BCCに登録したはずのメールアドレスをCCに追加してしまい、他の受信者のメールアドレスを公開してしまうケースが考えられます。
このようなミスによる情報漏えいを防ぐためには、メールの送信前に宛先を必ず確認することが重要です。また、一斉送信することが多い場合は、専用の同報メールサービスを利用することも検討しましょう。注意深い対応を心掛けることで、情報漏えいのリスクを最小限に抑えられます。
ブログやSNSなどの情報発信
ブログやSNSにおける情報の拡散によって情報漏えいが発生することがあります。
従業員が自身のブログやSNSで企業の機密情報を掲載するケースも増えており、社内の同僚や外部の関係者によって発覚することが多いです。これらの情報漏えいは故意に行われる場合が多く、未然に防ぐために従業員への教育やセキュリティーツールの導入などの対策を行いましょう。また、機密情報を掲示板に書き込んでしまった場合は、管理者に削除を依頼する必要があります。
情報システム部門が気を付けるべき項目
情報システム部の従業員が業務に取り組むなかで考えられる情報漏えいの原因は、次のとおりです。
システム管理の不備や設定ミス
情報漏えいは、システム管理の不備や設定ミスによって引き起こされることがあります。総務省の「クラウドサービス利用・提供における適切な設定ガイドライン」 には、設定ミスによる実際の事例も掲載されています。資料内で公表されている事例の一部をご紹介します。
事例1:
クラウドサービスの提供を行う企業において、提供中のSaaSの機種変更を行ったことが原因で、ユーザーアクセスの設定におけるセキュリティーレベルが下がってしまった。企業はこれに気づかずにサービスを運用し続けた結果、機密情報が大量に漏えいしてしまった。
事例2:
従業員が個人的にクラウドサービスを利用し、業務で利用する機密情報を保存していた。機密情報にもかかわらず、保存していたデータが公開設定であったことが外部からの指摘で明らかになった。
事例3:
業務委託先がサーバーからクラウドサービスへデータ移行を行う際に、ストレージを誤って公開設定にしていた。結果、長期間にわたり機密情報が公開されていた。
これらの事例は、システム管理の不備や設定ミスによって情報漏えいが生じ、公表に至った一部の例となります。実際には公開されていない事案も含めて、さまざまなケースにおける情報漏えいが起きていることが考えられます。
セキュリティー担当者の不足
セキュリティー対策を行うにあたり、十分な人員や予算の不足が問題となる場合があります。
現代社会において、情報は企業の持つ資産の一つとも考えられ、どれだけ経営が苦しい場合でも、情報を守るためには相応の投資をすることも重要です。セキュリティーに詳しい人材の確保や育成に加えて、セキュリティー対策に必要な製品の導入も検討しましょう。
不十分なデータの処理
データ処理が不十分で、消去しきれなかった情報が漏えいしてしまう可能性があります。PCを処分する際は、事前にサーバーのハードディスクや記録媒体を適切に処理することが重要です。ファイルやアプリケーションなどの削除だけではPC内のデータを完全に消去できません。
データを完全に消去するには、次のような方法があります。
- データ消去用のソフトウェアを利用して、ハードディスクやメディアのファイルを白紙のデータで上書きし、二度と復元できないよう完全に消去する
- 信頼性やプライバシーポリシーを考慮したうえで、データ消去の代行サービスを利用する
- 物理的にハードディスクや記録媒体を破壊する
内部不正
従業員の内部不正によって情報漏えいが起きる可能性もあります。「情報セキュリティ10大脅威 2023(IPA 独立行政法人 情報処理推進機構)」によると、内部不正による情報漏えいは組織向け脅威の4位で、2022年よりも順位が上がっています。
内部不正には、社内の設計情報を競合企業に渡す事例や、社内のデータベースから顧客情報を持ち出して転売する事例などがあります。多くの内部不正は、外部からの指摘や問い合わせによって判明する傾向があります。
情報漏えいの原因(社外)
社外での情報漏えいの原因としてよく挙げられるものをご紹介します。場合によっては大きなトラブルにもつながりかねないため、十分な対策を行いましょう。
データの盗難
情報漏えいは、データの盗難や紛失が原因で発生することもあります。例えば、PCやUSBメモリーが入っているかばんを電車内や飲食店に置き忘れてしまうケースや、カフェで仕事をしている際に離席したタイミングで盗まれてしまうケースが考えられます。また、職場や自宅に置いているPCが盗難被害に遭い、情報漏えいが発生する場合もあります。
不正アクセスやサイバー攻撃
近年、情報漏えいの主な原因として不正アクセスやサイバー攻撃が増加しています。
不正アクセスによっては、悪意ある者が社内の情報を盗み出したり、社員のIDやパスワードを不正に利用したりすることがあります。また、社内で利用しているツールのアカウント情報やクレジットカード情報の漏えいにも注意が必要です。被害を受けた場合、損失は1億円以上に及ぶ場合もあります(日本被害保険協会の「中小企業におけるリスク意識・対策実態調査2022 」による)。
フィッシング
フィッシングは、有名企業のWebサイトと酷似した偽のWebサイトを使い、個人情報を抜き取る手法です。偽物であることに気づかず利用してしまうと、入力した情報が外部に流出する恐れがあります。
企業に対してのフィッシング詐欺も増加しつつあり、その目的は身代金であったり、社内の内部情報やサーバーなどの情報の搾取であったりと、どのような企業であってもフィッシング詐欺の対象になりえます。
フィッシング詐欺は、標的型メールによる詐欺サイトへの誘導と悪意のあるコードが埋め込まれた一般のWebサイトを利用した誘導の2種類の方法が主流です。
不正プログラム
ウイルスやスパイウェアなどの不正プログラムによる情報漏えい被害も増えています。
例えば、ウイルス感染したPCが第三者によって不正に操作され、内部のデータが流出するケースがあります。さらには、企業の機密情報が無断でWebサイトに公開され、不特定多数の人がアクセスできる状態にされてしまうケースも見受けられます。
こうした不正プログラムによる情報漏えいは、ウイルス対策ソフトやネットワーク監視などによって発見されることが多いです。
情報漏えいした場合のリスク
情報漏えいした場合、どのようなリスクが発生するのかご紹介します。
社会的信用の低下・業績悪化につながる
情報漏えいは、企業に対する社会的信用や業績にも悪影響を及ぼす恐れがあります。また、情報漏えいによって取引先や顧客との信頼関係が揺らぎ、取引停止や株価の下落につながる可能性もあります。情報漏えいは取引先からの信頼を失うだけでなく、企業全体の業績悪化にもつながりかねません。
競争優位性を失う
機密情報の漏えいは、事業を展開するうえで著しく悪影響をもたらします。例えば、競合他社に営業戦略が露呈し、先手を打たれるケースなどが考えられます。他にも、開発中の製品の仕様を誤って公開してしまった場合には、模倣されるリスクが高まり、競争優位性を失う恐れがあります。
事後対応に多大な体力を使う
情報漏えいが発生した際は、解決に向けて次のような対応をする必要があります。
- 原因の調査
- 再発防止策の策定
- 通常業務への復旧作業
- 顧客や取引先からの問い合わせ対応やおわびの対応
- 監査官庁への報告
- 報道機関への対応
これらの業務は、本来取り組んでいた業務を中断しなければならない場合もあり、事業計画の進行にも影響を及ぼす可能性があります。
法律により罰される
情報漏えいを発生させた場合、個人情報保護法に基づいて国から改善命令が出される可能性があります。また、法人は情報漏えいを報告する際に虚偽の報告をした場合に50万円以下の罰金、命令に従わなかった場合に1億円以下の罰金が科せられます。
また、情報漏えいで顧客や取引先に被害を与えた場合、損害賠償責任を負うこともあります。損害賠償の額は事案によって異なりますが、企業全体で1,000万円以上になるケースも見受けられ、企業において多大な損失につながります。
二次被害につながる
Webサイトの管理者IDやパスワードが漏えいすると、Webサイトの改ざんなど二次被害に遭う恐れもあります。例えば、Webサイトに不正プログラムを埋め込まれ、閲覧者がマルウェアに感染しインターネットバンキングのIDやパスワード、メールアドレスや電話番号といった個人情報を盗まれるケースなどが考えられます。ユーザーの個人情報が悪用されることで、迷惑メールやいたずら電話などが行われた事例も存在します。このような二次被害を防ぐためには、情報漏えいの原因や種類に合わせて、柔軟な対応策を即座に実施することが非常に重要です。
情報漏えいの事例
実際に起こった情報漏えいの事例をご紹介します。情報漏えいは企業規模にかかわらず発生する可能性があるため、十分な対策が必要です。
業務委託先の従業員の犯行により個人情報が漏えい
某大手企業が運営するサービスの利用者の個人情報が漏えいしました。流出した原因は、業務委託先の元従業員による内部不正です。社内だけでなく、業務委託先の企業でも情報漏えいが発生する可能性があります。
長期間にわたり個人情報が漏えい
某大手企業では、長期間にわたり、利用ユーザーの個人情報が一般公開されていたことが明らかになりました。業務委託先の従業員が、個人情報データを管理するシステムの設定を誤っていたことが原因です。情報漏えいの事態をすぐに発見し素早く対応できるよう、システムのチェック体制を強化することも大切です。
情報漏えいを防ぐために企業が取り組む対策
さまざまなトラブルを引き起こす情報漏えいを防ぐために、企業が取り組むべき対策をご紹介します。
企業情報を持ち出さない
近年のテレワークの普及に伴い、自宅での業務にPCやスマートフォンなどを持ち帰ることが増えた一方で、紛失や外出先で置き忘れるといったリスクが高まりました。
企業側で、「業務で使わない端末やデータを自宅に持ち帰らない」といった規則を設けることでリスクを軽減できる可能性はありますが、社内での内部不正によって情報の漏えいが発生するリスクも考えられます。端末やデータを社内で管理するにあたって、ルールの遵守に加えてセキュリティーツールを用いた端末管理を行うことでセキュリティー向上を図れます。
適切な方法で情報を管理する
企業における機密情報は、適切な方法で管理することが重要です。大切な書類や記録媒体は、キャビネットなど鍵のかかる場所に厳重に保管しましょう。重要な書類は机の上に放置したままにせず、退勤時には必ず机の上を整理する習慣を持つことが大切です。業務中に席を離れる場合は、必ずPCにロックをかけることで他の社員が操作できなくなり、内部不正を防げます。
また、従業員間での伝言メモの取り扱いにも注意が必要です。個人宛ての伝言メモを受け取ったら、他人に見られないように伏せて机に置くか、他の人の視界に入らない場所に保管するよう心掛けましょう。
各従業員の意識と実践によって、情報漏えいのリスクは軽減できます。社員研修などを通じて、情報管理の重要性を周知することが大切です。
私物の機器を業務利用しない
プライベートで利用しているPCやUSBメモリーなどを業務で使用しないように注意しましょう。もし自身のデバイスがウイルス感染していた場合、社内の他のPCやサーバーにも感染が広がってしまう危険性があります。また、許可されていないプログラムを勝手にインストールしないことや、業務上のメールを私用のデバイスで送受信しないように気を付けることも大切です。これらの対策を行うことで、ウイルス感染や不正アクセスによる情報漏えいリスクを最小限に抑えることができます。
個人のIDやパスワードを他者と共有しない
企業は各従業員の業務内容に合わせて個別に社内システムへの権限を与え、セキュリティーを確保しています。例えば、特定の従業員しかアクセスできないフォルダーや機密情報を保管する部屋への入室制限などが挙げられます。
業務を行う上で、従業員間でのIDやパスワードの共有、貸し借りはセキュリティー事故を引き起こすリスクを高めるため、いかなる場合であっても行ってはいけません。
また、自分のPCにIDやパスワードのメモを貼りつけることも避けるといった各社員がセキュリティー意識を持つことが必要です。
業務上の情報は許可なく公言しない
業務で得た情報を、無断で他人に話すことは避けましょう。身近な家族や友人にも情報を漏らさないよう心掛けることが大切です。また、同じ企業の従業員同士でも、外出先で会社の情報について話した場合、周囲で偶然会話を聞いてしまった人が、情報を悪用してしまう可能性もあります。業務中以外でも、業務や企業に関する情報を不用意に漏らさないことが重要です。
情報漏えいが発生した際は速やかに報告する
もしも誤って情報漏えいを発生させてしまったり、情報漏えいが生じているのを発見した場合は、速やかに上司や管理者に報告することが大切です。自分で問題を解決しようとするよりも、まずは報告することが最優先です。上司や管理者に指示を仰ぎ、適切に対処することで被害を最小限に食い止められる可能性があります。
外部からの攻撃に対して予防策を実施する
ウイルス感染やマルウェアからの被害を防ぐためにはセキュリティーソフトの導入が必要です。加えて、OSやソフトのアップデートを定期的に行う必要があります。
取引先や業務委託先への監視・チェックを強化する
取引先が個人情報や機密情報を漏えいした場合、機密保持契約を締結していたとしても、発注元としての監督責任が問われ、責任が及ぶ可能性があります。発注元から取引先、業務委託先に対しては情報漏えい対策の実施を厳しく要求することが重要です。
業務委託先の情報漏えい対策に関するチェックや監視体制の結果によっては、取引の見直しや停止などの措置を取る企業もあります。情報漏えい対策は、企業間における信頼関係の構築に不可欠と言えるでしょう。
情報漏えいが発生した際の対応
情報漏えいが起きてしまった場合、どのように対応すべきかをご紹介します。
発見・報告
情報漏えいの兆候や事実を確認した場合は、まずは上司や管理者に速やかに報告します。外部からの通報により情報漏えいが発覚した場合は相手の連絡先を確認し、事実確認を行う必要があります。また、不正アクセスなど外部からの侵入で情報漏えいしている可能性がある場合は、システム上に残された証拠を残すために不用意なシステムの操作は避けましょう。
状況把握・原因分析
5W1Hを意識し、「いつ情報漏えいが起きたのか」「どこで情報漏えいが起きたのか」「誰が行ったのか」「どのような情報が漏えいしたか」「なぜ情報漏えいが起きたのか」「どのように情報が漏えいしたか」を明らかにします。
調査・予防策の検討
導き出した内容を基に、情報が漏えいした範囲や原因、被害状況を調査します。また、情報漏えいにより想定される二次被害などがないか必ず確認しておきましょう。
情報漏えい発生の通知・警察へ通報
漏えいした情報に個人情報が含まれる場合は、被害者が特定できた段階で早急に本人に通知し、お詫びと個人情報の悪用に対する注意喚起を行いましょう。個人情報を漏えいさせてしまった際は、本人への通知に加え、個人情報保護委員会に事案を報告しなければなりません。
個人情報以外の情報が漏えいした場合も、まずは関係者に通知することが重要です。一般公表が必要だと判断した場合は、被害者や関係者の意向を確認したうえで、企業のWebサイトなどでの公表や記者発表を実施します。
また、次のようなケースでは、警察へ被害届を出すこともご検討ください。
- 従業員の内部犯行によって情報が漏えいしてしまった場合(背任、不正競争防止法違反等被疑事件)
- 外部からの侵入等によって情報が漏えいしてしまった場合(不正アクセス禁止法違反被疑事件)
- 漏えい情報に関して不正な金銭等の要求を受けた場合 (恐喝・脅迫・強要等被疑事件)
出典:IPA 独立行政法人 情報処理推進機構「情報漏えい発生時の対応ポイント集」
再発防止策の考案・復旧作業
情報漏えいの原因が突き止められた後は、再発防止策を実施します。再発防止策は、主に社内の情報管理体制を強化する取り組みが行われます。従業員のアカウントの再発行や登録情報の変更などを行い、通常の業務やサービス運営へ復帰します。
事後対応
社内のセキュリティーに関するルールへの違反や管理上でのミスがあれば、適切な処分を行います。さらに、情報漏えいによって生じた被害に対しての救済処置を行います。各企業の方針に合わせて再発を防ぐための対策を実施し、同様の事故を防ぐ体制を構築しましょう。
まとめ
この記事では、情報漏えいに関する原因や対処法などを詳しくご紹介しました。記事内で述べた情報漏えいの原因やリスクを参考に、業務で扱う情報の重要性を正しく理解し、企業情報の持ち出しや業務で得た情報の公言などを行わないよう日常的に社内でチェックしたり、注意喚起したりするよう心掛けましょう。万が一情報漏えいを起こしてしまった場合も、慌てずに上司や責任者へ報告し、冷静に対応することが大切です。
