現在は、従来の働き方から大きく変わり、リモートワークの普及やスマートフォン・タブレットなどのスマートデバイスを導入する動きが活発になりました。より働きやすくなり、業務の幅も広がったことで、情報漏洩の脅威も従来より増しています。企業活動を続けるためにも情報漏洩の原因やリスク、対策は必ず把握・施工する必要があります。今回は、企業の情報漏洩について、最新の事故件数や発生傾向、具体的な損害と対策方法を解説します。
情報漏洩と個人情報保護法
そもそも情報漏洩とは、機密情報や個人情報などの企業の持つ重要データが外部に漏れてしまうことを意味します。中でも、個人情報に関する重要データは、個人情報保護法によって守られており、個人情報を取り扱う企業は例外なく個人情報保護法の遵守義務を負います。具体的には、氏名・住所・電話番号・マイナンバー(公的番号)・顔・パスポート(旅券)などの個人を識別できるすべての情報が保護され、個人情報保護法に違反したり、是正命令に従わない場合は、一定の罰則が設けられています。
また、2022年4月に個人情報保護法が改正されます。主に、本人の権利保護の強化や企業の責務追加、企業の法令違反に対する罰則の強化など、幅広い変更点があるため、必ずチェックし対策を講じましょう。
情報漏洩・紛失事故の件数と発生原因の傾向
リモートワークの普及やスマートデバイスの導入が進むことで、これまでよりも情報漏洩や紛失事故の件数は増えています。
東京商工リサーチの調査結果によると、2020年の上場企業とその子会社での情報漏洩・紛失事故は88社、事故件数は103件、漏洩した個人情報は約2500万人分に及ぶことが分かりました。
(出典:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査(2020年))
また、事故件数103件のうち最も多かった理由は「ウィルス感染・不正アクセス」が約5割を占めており、次いでメールの送信先の誤りなど「誤表示・誤送信」が約3割、書類や記録メディアの「紛失・誤廃棄」が約1割でした。
ウィルス感染・不正アクセスの場合、サイバー攻撃が巧妙化・高度化していることもあり、1事故あたりの漏洩件数は、紙媒体の事故よりも影響範囲が広いです。今では、強固な情報セキュリティ体制の構築は急を要していると言っても過言ではありません。
(出典:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査(2020年))
情報漏洩が起こる原因
情報漏洩の原因は、ウィルス感染や不正アクセス、誤操作・誤送信以外に多くの原因があります。その一例を社内外別に一覧化してみました。
| 漏洩原因(社内) | 漏洩原因(社外) |
| ウィルス感染・不正アクセス | ウィルス感染・不正アクセス |
| 紛失・置き忘れ | 紛失・置き忘れ |
| 誤操作・誤送信 | 誤操作・誤送信 |
| 内部不正 | 内部不正 |
| 設定ミス | 設定ミス |
| 重要データの不正な持ち出し | 管理ミス |
| セキュリティホール | 盗難 |
| 目的外使用 | |
| セキュリティホール |
リモートワークやスマートデバイスの普及によって、従業員の状況が把握しにくくなり、内部不正や設定ミス、管理ミス、目的外使用など、ヒューマンエラーによる事故が増えています。スマートデバイスや新しいアプリケーションの導入は、リモートワークでの利便性を向上するために必要なことです。情報漏洩に繋がるリスクが増えたことで、利便性だけでなく、従業員の状況やアプリゲーション、デバイスの状態への配慮も忘れないようにしましょう。
情報漏洩による損害
情報漏洩が発生してしまうと約6億円規模の損害賠償が課されます。特にサイバー攻撃の場合、一度の漏洩で数万人の個人情報が流出してしまうため、大きな被害額・損害賠償額になってしまいます。
金額だけでも重大なインシデントですが、それに合わせて企業イメージやブランド力の低下も懸念されます。たった一度でも情報漏洩を引き起こしてしまうと「管理ができていない企業」と認知されてしまい、取引や売上に大きな影響を与え、事業を撤退せざるを得ないこともあります。
情報漏洩の事例
実際に過去に発生した情報漏洩の事例を紹介します。
セブンペイ不正アクセス事件
2019年、セブン&アイホールディングスのキャッシュレスサービス「セブンペイ」の不正アクセスによる被害が大きな社会問題になりました。このサービスは、2段階認証に非対応であり、パスワード変更に必須の入力項目を省略できるなど、システム上の欠陥が目立ちました。情報漏洩が発覚してからの対応も遅れた結果、サービス開始から約3ヶ月でサービス終了することになりました。
クレジットカード情報流出事件
2019年、ヤマダ電機が運営するオンラインサイト「ヤマダウエブコム・ヤマダモール」に不正アクセスされ、アプリケーションの改ざんが行われました。その結果、約3万7千件のクレジットカード情報が流出し、一部のクレジットカードは不正利用されました。情報漏洩の恐れが判明してから公表するまでに1ヶ月以上の間があったことで、対応速度の重要度を再認識する事件になりました。
情報漏洩の対策
現在のセキュリティは、巧妙化・高度化するサイバー攻撃やヒューマンエラーによる情報漏洩のリスクなど、多方面での対策が必須となりました。
情報漏洩の被害から身を守るためには、次のような対策を講じる必要があります。
セキュリティ製品の導入
サイバー攻撃に対しては、ファイアウォールやWAF、IDS・IPSなどのセキュリティ製品の導入がおすすめです。もしも情報漏洩が発生した場合は、素早く検知できるセキュリティ製品も重宝します。
例えば、PigDataなら、SNSやWebサイトに掲載されている情報を収集することで、情報漏洩がないか監視することができます。また、情報漏洩を発見した場合は、担当者に即時にアラートを出して通知します。
情報管理の徹底
データ・紙媒体問わずに情報管理のルールを徹底しましょう。例を挙げると、離席時の画面ロック、重要情報は鍵付きのキャビネットに保管、電車の網棚には荷物を置かないなどがあります。これらの方法は意識するだけでできるため、日頃から注意する癖をつけておきましょう。
システム権限の見直し
アクセス制限は、業務内容や役職に応じて付与されますが、管理者権限や編集権限の扱いには注意しましょう。年に数回しかない作業のために、編集権限が常に付与されたままだったり、退職や異動によって権限が変わった場合などは、その都度権限を見直しましょう。放置したままにすると、棚卸しの際に手間がかかったり、不正利用につながってしまいます。
まとめ
今回は、企業の情報漏洩について、最新の事故件数や発生傾向、具体的な損害と対策方法を解説しました。情報漏洩はいつ発生するか分からないため、セキュリティ体制だけでなく、個々人でもセキュリティの意識を高めることが重要です。
