情報漏洩の原因と企業が取り組むべき対策は?実際に起きた事例も紹介
「情報漏洩はなぜ起こるのか」「企業としてどのような対策を取れば良いのか」などと感じている方もいるのではないでしょうか。
情報漏洩は、外部要因だけでなく内部要因で発生しているものも多くあります。未然に防止するには、自社に適した対策を打つことが重要です。
この記事では、情報漏洩の3つの原因や実際に起きた事例、企業が取り組むべき対策を解説します。実際に情報漏洩したらどうなるのかについても紹介しているため、ぜひ参考にしてください。
■情報漏洩の原因
情報漏洩の原因は、大きく以下の3つに分けられます。十分な対策をするうえでも、まず原因を把握することが大切です。
◇外部攻撃
ハッキングや不正アクセス、マルウェア感染のような外部攻撃(サイバー攻撃)は、情報漏洩事故のなかで最も多いといわれています。
総務省が公表している「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、令和5年の不正アクセス行為の認知件数は6,312件で、前年と比べて4,112件増加しています。
なお、不正アクセス後に行なわれたもので一番多いのは「インターネットバンキングでの不正送金等」でした。
また、近年はランサムウェア攻撃が何重にもわたって脅迫を行なうよう進化しているほか、テレワークのセキュリティの弱点を狙った攻撃も増えています。
◇人為的ミス
従業員の人為的なミス(ヒューマンエラー)も、情報漏洩の原因の一つです。例として、以下のようなものが挙げられます。
●メールの宛先を間違えて個人情報を流出させた
●メールアドレスを入力する箇所を間違えた(BccとCcなど)
●公開すべきでない情報をアップロードしてしまった
●機密情報が記録された媒体を紛失した
●削除すべきデータを消さずにそのままパソコンを廃棄した
●機密情報が記載された書類をシュレッダーにかけずにそのまま廃棄した
◇内部不正
内部不正とは、企業の関係者によって行なわれる不正行為(情報漏洩、持ち出しなど)を指します。この内部不正は、所属企業への不満や自身が得られる利益などから、故意に行なわれる傾向があります。
独立行政法人 情報処理推進機構(IPA)が公表している「情報セキュリティ10大脅威 2024」でも、組織向け脅威の第3位に「内部不正による情報漏えい等の被害」がランクインしていました。
内部不正の具体的な例としては「顧客情報を外部の人間に売却する」「社内の重要情報を盗んで転職先に伝える」などが挙げられます。
■実際に起こった情報漏洩に関する事例
◇不正アクセスによる個人情報流出
平成27年、外部からの不正アクセスにより約125万件の個人情報が流出した事件が発生しました。
不審なメールが日本年金機構に届き、そのメールの添付ファイルを開封した職員の端末がウイルスに感染。その後、ほかの端末にも感染が広がって合計31台の端末が感染し、個人情報流出に至ったようです。
流出した約125万件の個人情報のうち、約116.7万件には基礎年金番号・氏名・生年月日が、約5.2万件には基礎年金番号・氏名・生年月日・住所 が含まれていました。
出典:不正アクセスによる情報流出事案に関する調査結果報告|日本年金機構
◇個人情報を含んだUSBメモリの紛失
令和4年6月、兵庫県尼崎市の全市民約46万人の個人情報を含んだUSBメモリが紛失した事件が発生しました。紛失したのは、新型コロナウイルス臨時特別給付金業務を請け負った企業の、再々委託先の社員です。
該当社員はデータの移行作業のため、誰にも知らせることなくUSBメモリに個人情報をコピーしました。そして移行作業完了後に飲食店へ入って泥酔し、USBメモリを入れていたカバンごと紛失。
帰宅後に1人で探したものの見つからず、責任者へ紛失の旨を連絡したという流れです。
最終的にカバンは発見されたものの、個人情報流出の危機にありました。
出典:尼崎市 USB メモリ―紛失事案に関する調査報告書|尼崎市公式ホームページ
◇顧客情報の持ち出しによる不正な取引
証券会社の顧客情報を無断で持ち出し、不正な取引を行なっていた事件もありました。
社員Aは、派遣先での業務中に約3.8万人分の顧客情報を自分のパソコンにコピーし、その情報を使用して株式の売買を行なっていました。証券会社の顧客になりすまして取引をしていたのです。
社員Aは以前から社内の自分に対する評価に不満を持っており、トラブルを発生させること自体が目的だったようです。
出典:他人のIDで不正にオンライン株取引|総務省「国民のためのサイバーセキュリティサイト」
■情報漏洩防止のために従業員が意識すべきこと
情報漏洩を防止するためには、各従業員が以下のような点を意識する必要があります。
●機密情報を含む端末は、安易に社外へ持ち出さない
●社外へ持ち出す際は、機密情報を含む端末から目を離さない
●不審なメールやファイルは開封しない
●私用の端末を業務で使わない
●ID・パスワードは気軽に人へ教えない
ちょっとした気の緩みが、情報漏洩につながる可能性も十分考えられます。
■【外部攻撃】企業が取り組むべき情報漏洩対策
◇セキュリティソフトやIDS・IPSの導入
最初に検討したいのが、セキュリティソフトやIDS・IPSの導入です。
セキュリティソフトには、マルウェア・ウイルスを検知して排除する機能や、悪意のあるWebサイトの閲覧を制限する機能、迷惑メール対策などの機能が搭載されています。顧客情報を守るためにも、セキュリティソフトを導入しておくのがおすすめです。
また、IDS(不正侵入検知システム)は不正アクセスを検知した際に通知するシステム、IPS(不正侵入防御システム)は不正アクセスの検知・通知だけでなく、通信の遮断まで行なうシステムです。
これらを導入すれば、よりセキュリティレベルを向上できます。
◇ID・パスワードの適切な管理
ID・パスワードは適切に管理し、第三者にも教えないことが大切です。パスワードの使いまわしも避けてください。
推測されやすいものだと不正アクセスにつながる可能性があるため、大文字・小文字を混ぜたり文字数を長くしたりなどの工夫をするのが大切です。
なお、過去にパスワードを突破されたことがない場合は、パスワードの変更は必要ないとされています。詳しく知りたい方は、以下の記事も併せてご覧ください。
関連記事:総務省から「パスワードの定期変更は不要」と発表|安全なパスワード管理・設定方法を紹介
◇システムの脆弱性の定期的な確認
システムの脆弱性を放置すると、その欠陥から外部攻撃を受ける可能性があります。そのため脆弱性をチェックできるツールを用いて、問題がないか定期的に確認しましょう。
OS・アプリケーションをアップデートして最新の状態にしておくことも、脆弱性の低減につながります。多くのアップデートでは、脆弱性を解消するプログラムに変更されるためです。
◇多要素認証の導入
多要素認証とは、知識情報(パスワードなど)・所持情報(ICカードなど)・生体情報(指紋など)のうち、2つ以上を組み合わせて認証することです。
IDやパスワードのみの認証では簡単に突破されてしまう可能性があります。一方で「パスワード+SMSを用いたワンタイムパスワード」のような複数の要素で認証すれば、セキュリティを強化でき、情報漏洩対策につながります。
ただし、操作に手間がかかりすぎると業務を円滑に進められないため、使いやすさも考慮して認証方式を選ぶのがポイントです。
◇情報の暗号化・アクセス制限
機密情報を簡単に閲覧できないようにする、データの暗号化やアクセス制限も有効です。
データの暗号化とは、別のデータに変換して第三者に解読されないようにすることです。暗号化専用のツールを使用したり、もともと備わっている暗号化機能を活用したりすると暗号化が可能です。
アクセス制限は、認証を受けたユーザーのみがアクセスできるよう制御するのが一般的です。外部の人間からの不正アクセスだけでなく、内部不正の防止にもつながります。
■【人的ミス・内部不正】企業が取り組むべき情報漏洩対策
続いては、人的ミス・内部不正に対して、企業が取り組むべき情報漏洩対策を説明します。
◇従業員教育によるセキュリティ意識の向上
人為的ミス・内部不正は、従業員のセキュリティ意識の低さや知識不足によって起こるケースがあります。そのため重大な事故を防ぐには、情報漏洩に関する研修を定期的に実施することが重要です。
研修では、情報漏洩防止のために守るべきルールや、情報漏洩が起きた場合の処分などを伝えましょう。どれだけ優秀なツールを導入しても、実際に情報を扱う従業員のセキュリティ意識が低いと意味がありません。
◇誤送信防止や情報の持ち込み・持ち出しに対するルールの策定
誤送信防止や情報の持ち込み・持ち出しに対するルールの策定は、人為的ミスの防止に効果的です。
誤送信防止のルールの例としては「機密情報をメールで取り扱う際は上長の承認を得る」「個人情報を含むメールは、一定時間保留して再度確認してから送信する」などが挙げられます。
情報の持ち込みはウイルスに感染するリスクが、情報の持ち出しは大量の個人情報が流出するリスクがあります。そのため、「情報を持ち出す際は暗号機能がある機器を使用する」のような厳格なルールを設ける必要があるでしょう。
◇秘密保持に関する誓約書の締結
秘密保持に関する誓約書を従業員と交わすのも有効です。情報漏洩が会社にどれほどの影響を与えるか、情報漏洩した場合はどのような処分を受けるかなどを把握できるため、従業員に危機感を与えることができます。
誓約書を交わしていれば、仮に情報の流出や不正利用が起こった際も、該当従業員への損害賠償請求が可能です。
誓約書は入社時に交わすことが多いですが、状況によっては昇進時や退職・転職時に作成するケースもあるでしょう。
■情報漏洩したらどうなる?おもなリスク・被害
それでは、実際に情報漏洩してしまった場合はどうなるのでしょうか。おもなリスクや被害を紹介します。
◇損害賠償の発生
個人情報や機密情報が漏洩すると、損害賠償が発生する可能性があります。被害者の人数にもよりますが、情報漏洩事故によって数千万円~数億円にものぼる損害賠償金が発生することも珍しくありません。
他人に知られたくないセンシティブな情報が漏洩した場合や、情報が第三者に悪用された場合は、損害賠償金が高額化する傾向にあります。
◇社会的信用の低下
情報漏洩してしまった場合は、社会的信用が低下します。顧客の契約解除や新規顧客獲得の機会損失といったリスクがあるだけでなく、流出した顧客情報が悪用されれば甚大な被害が出るおそれもあります。
現代はSNSが広く普及しているため、「情報漏洩を起こした企業」として良くないイメージが定着することもあるかもしれません。
失った信用を回復させるには、長い時間と継続的な努力が必要になるでしょう。
■情報漏洩対策なら「GMOトラスト・ログイン」におまかせ
情報漏洩を防ぐには、ID・パスワードを適切に管理したり、セキュリティレベル向上につながるソフトを導入したりする必要がありますが、そこでおすすめなのが「GMOトラスト・ログイン」です。
「GMOトラスト・ログイン」は、IDやパスワードを一元管理できるサービスです。本サービスでは、お客様のログイン情報をGMOトラスト・ログインにて暗号化し、データベースへ保存しています。データの復号に必要な鍵は別の場所で管理しているため、万が一外部攻撃を受けたとしても情報を守れます。
専門機関による脆弱性診断を定期的に実施し、常にセキュリティ強化のアップデートを行なっているのも特長です。
運営元のGMOグローバルサインは、SSL認証局として20年を超える実績があります。独自のノウハウを活かしてお客様のID・パスワードを保護しているため、気になる方はぜひお気軽にお問い合わせください。
■個人情報が流出した場合に必要な対応
十分な対策を行なっていても、個人情報の流出を防げないケースもあるかもしれません。そのような場合には、以下のような流れで真摯に対応しましょう。
1. 速やかに責任者へ報告する
2. 被害の拡大・二次災害防止のための応急処置を行なう
3. 状況整理・原因の特定をする
4. 情報漏洩が発生した旨を個人情報保護委員会、流出した個人、各監督官庁などに通知 する
5. 調査結果や事故の経緯などを公表する
6. 復旧措置を行なう
7. 再発防止策の実施や損害への補償などを行なう
■まとめ
情報漏洩の原因は、外部攻撃・人為的ミス・内部不正の3つに分類されます。情報漏洩事故を起こしてしまうと、多額の損害賠償金が発生するおそれがあり、社会的信用も低下するため、複数の対策を組み合わせてセキュリティを強化していきましょう。
それと同時に、実際に情報を扱う従業員一人ひとりが、情報漏洩のリスクを正しく把握することも大切です。
外部攻撃への対策・自動化による人為的ミスの削減・内部不正の監視といった、それぞれのセキュリティ強化につながるツール・サービスをお探しの場合は、一度「GMOトラスト・ログイン」も検討してみてください。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。
