「情報漏洩の定義がわからない」
「情報漏洩に対する有効な対策方法を知りたい」
とお悩みの方へ。
社内の情報が外部に漏洩してしまう「情報漏洩」は、国内でも多くの企業で起こっています。情報漏洩には内部と外部の要因があり、そのどちらをもカバーできる対策が必要です。
この記事では情報漏洩対策に悩む方に向けて、情報漏洩の基本的な定義や原因、事例や対策のポイントをご紹介します。
まずは情報漏洩の定義と、情報漏洩が起きる3つの原因から見ていきましょう。
情報漏洩とは、企業が保有している「機密情報」や「個人情報」といった内部に留めておくべきデータが外部に流出することを指します。売上はもちろん発表前のプロジェクト詳細や研究データなど社外には公開できないデータが蓄積されており、企業はその情報を守らなければなりません。
さらに2003年に成立した個人情報保護法により、名前やマイナンバー、顔が判別できる画像など個人を識別できる情報は「個人情報」とされ、適切に管理する必要があります。
近年ではテレワークの普及やタブレット・会社用スマートフォンといったモバイル機器が増え、企業における情報漏洩のリスクは高まっています。企業は情報漏洩が起きる原因を把握し、適切な対策が必要です。
東京商工リサーチの調べによると、個人情報漏洩や紛失事故の原因上位3位は以下の通りでした。
1位.ウイルス感染・不正アクセス(49.5%)
2位 誤表示・誤送信(31.0%)
3位.紛失・誤廃棄(13.5%)
参照:「上場企業の個人情報漏えい・紛失事故」調査(2020年)
割合を見ると、1位のウイルス感染・不正アクセスが全体の約50%と高い点が特徴です。近年では外部からのサイバー攻撃から情報漏洩につながるケースが増えており、多くの機密情報や個人情報の漏洩につながっています。
昨今では機密情報をデータ化して保管する企業が一般的であり、データの流出は紙媒体による情報漏洩よりも規模が大きく、企業は注意しなければなりません。
2位の誤表示とは、顧客がシステムにログインした際に無関係なユーザーの情報を表示してしまうことです。誤送信は間違った宛先にメールを送信してしまうことで、いずれも従業員によるヒューマンエラーが原因です。
3位の紛失・誤廃棄は、機密情報や個人情報が含まれる書類・または電子媒体を紛失したり誤って廃棄してしまったりすることを指します。重要な情報が含まれたUSBメモリやノートPCを移動中に紛失した、個人情報が含まれる書類を誤って破棄してしまったなど、こちらもヒューマンエラーが主な原因です。
上記のように、情報漏洩が起きる原因は「外部による攻撃」と「内部によるうっかりミス」が大部分を占めていることがわかります。
国内で実際に起きた情報漏洩事件について、4つの事例をご紹介します。
2022年6月、某自治体では全市民の個人情報を保存したUEBメモリを紛失する事件が起こりました。後日USBメモリは無事に発見され、暗号化されたパスワードやデータに解除の痕跡は見られません。しかし漏洩したことは事実であり、市民の批判を招く事態となってしまいました。
紛失したのは、市が一部の業務を委託していた再委託先の社員です。飲食店で飲酒した帰宅中にUSBメモリを入れたカバンの紛失に気づき、警察に遺失物届を提出しました。
参照:https://www.nikkei.com/article/DGXZQOUF2458W0U2A620C2000000/
2022年5月、某大手清酒メーカーで第3者による不正アクセス被害が発生し、最大で約3万件の個人情報が漏洩した可能性があると発表されました。
不正アクセスを受けたサーバーでは通販サイトの商品発送リスト・相談室への申し出報告書を含む約6,000件の顧客情報や、採用に使用した学生名簿、取引先情報、従業員や株主に関するものなど機密性の高い情報を管理していました。
漏洩した疑いがある情報は氏名や住所、電話番号などで、決済関連のクレジットカード情報などは含まれません。
参照:https://www.nikkei.com/article/DGXZQOUF263PO0W2A520C2000000/
2022年7月、大手ネットワークシステム企業はウイルス感染により過去の送受信メール情報が漏洩したと発表がありました。
被害を受けたのは、自治体向けの電子申請サービスにおけるヘルプデスク業務で使用する8台のうちの1台です。ウイルス感染によって、同社のヘルプデスクを装った不審メールの発信が確認されており、複数の団体からの申告により発覚しました。
攻撃に使われたウイルスは「Emotet(エモテット)」と呼ばれるもので、マルウェアの1つです。主にメールを経路として攻撃を仕掛け、事例のようにウイルスを送り付けたPCから不正なメールをばらまいて被害を拡散させます。
参照:https://scan.netsecurity.ne.jp/article/2022/07/06/47847.html
2022年3月、大手製菓企業では不正アクセスによる個人情報漏洩の可能性があると発表がありました。複数のサーバーで障害が発生し、調査したところ第3者による不正アクセスの痕跡を見つけたことで発覚に至っています。
サーバーへの不正侵入と顧客への商品発送に関する情報データのロックが確認されており、個人情報も含まれています。事件発生の翌日には対策本部を立ち上げ、外部専門機関の協力のもと被害状況や原因の調査、復旧の検討などを行いました。
国内の事例でも情報漏洩の主な原因は、従業員のうっかりミスやウイルス感染、不正アクセスが大部分を占めます。企業はこの状況を踏まえ、内部と外部の両方から情報漏洩対策を検討する必要があります。
参照:https://www.morinaga.co.jp/company/newsrelease/detail.php?no=2178
企業の信頼を脅かす情報漏洩対策には、以下の対策が有効です。
それぞれについて、順番に解説します。
情報漏洩対策として、すでにウイルス対策ツールや各セキュリティツールが多数提供されています。セキュリティソフトはネットワークを防御する効果があり、特に外部攻撃による情報漏洩対策に有効的です。
昨今ではテレワークの普及も進んでいるため、認証方式の強化やデバイス制限、専用回線の増設を行う企業も増えています。
またメールソフトでは、誤送信防止機能が搭載されたツールがおすすめです。社内からの誤送信はどの企業でも起こりやすく、情報漏洩のリスクを高めています。企業はヒューマンエラーを防止するツールも検討して、社内・社外の両方から情報漏洩対策を講じることが重要です。
多くの機密情報を扱う社内では、情報をどのように扱うべきか、ガイドラインとして社内のルールを決めることがポイントです。IPA(情報処理推進機構)では「情報セキュリティ5か条」として、以下を掲げています。
参照:IPA資料
上記IPAの内容を考慮すると、社内では以下のようなガイドラインの取り決めが必要です。
ヒューマンエラーによる内部からの情報漏洩やメールによる外部攻撃を防ぐために、従業員への定期的なセキュリティ教育も欠かせません。情報漏洩対策は一部の者が対策すればいいというものではなく、機密情報を取り扱う社員全体で取り組む必要があります。
セキュリティ教育では、機密情報を取り扱う際のルールや不審なメールを受信したときの対応フロー、昨今の情報漏洩事例やサイバー攻撃の傾向などを共有します。
情報漏洩対策の効果を高めるためには、「多層防御」がポイントです。セキュリティ対策を何重にも施し隙のない防御態勢を構築することで、万が一情報漏洩が起きても被害を抑えることができ、情報漏洩対策の効果を高めてくれます。
例えば社員がうっかりシステムのIDやパスワードを漏洩させてしまっても、情報が暗号化されていれば、万が一不正アクセスされても情報がすべて閲覧されることはありません。
セキュリティソフトや情報の暗号化ツール、安心安全な社内のガイドラインなど多層的な情報漏洩対策を行い、会社の情報や信用を守りましょう。
情報漏洩対策の定義や事例、対策方法についてご紹介しました。この記事をまとめます。
さまざまな重要データを保管する企業にとって、情報漏洩はいつでも起こりえるリスクがあります。情報漏洩が起きてしまう原因を知り、情報漏洩が起きない・起こさせない体制づくりを行っていきましょう。