企業にとって情報漏洩は深刻な経営リスクです。個人情報や企業の機密情報の漏洩により、経済的損失や信頼性の低下など、重大な被害をもたらす可能性があります。
本記事では、個人情報漏洩の主な原因ワースト3の被害・影響について確認したうえで、効果的な情報漏洩対策について、詳しく説明します。
企業の情報セキュリティ強化に向けて重要なポイントを押さえ、未然に情報漏洩を防ぐための具体的な手段を構築しましょう。
東京商工リサーチの調査によると、2022年に上場企業が公表した個人情報漏洩・紛失事故の165件のうち、もっとも多かった原因は「ウイルス感染・不正アクセス」、次が 「誤表示・誤送信」、そして「紛失・誤廃棄」でした。
参考:東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~」
https://www.tsr-net.co.jp/data/detail/1197322\_1527.html
ワースト1となった「ウイルス感染・不正アクセス」が原因の事故は、全165件のうち、91件(55.1%)と半数以上にも上ります。
具体的な内容として、たとえば以下のような事象が考えられます。
ウイルス感染
・マルウェアやウイルスに感染したファイルが社内のコンピュータシステムに侵入し、機密情報や個人情報を盗み取られた。
・フィッシング攻撃により、従業員が偽のウェブサイトにアクセスしてしまい、個人情報やログイン情報を入力してしまった。
・ファイル共有サーバーやクラウドストレージにウイルス感染したファイルが保存され、他の従業員に感染を広げてしまった。
不正アクセス
・不正なハッカーがセキュリティの脆弱性を突いて社内ネットワークに侵入し、重要なデータや機密情報を窃取した。
・本来、権限を持たない者が重要なデータへのアクセス権を取得し、情報漏洩や改ざんを行った。
・従業員がアクセス権限を悪用して、入手した情報を外部に流出させた。
ワースト2の「誤表示・誤送信」(43件、26%)は、人為的なシステム設定ミスやメール送信間違いによって発生しています。
具体的には、以下のようなケースが考えられます。
誤表示
・システム環境の誤設定により、本来外部に公開すべきでない情報が表示されてしまった。
・社外の取引先に対して送信するドキュメントに、更新前の情報が残ってしまっていた。
・ウェブサイトやプレゼンテーション資料に誤った情報が含まれていた。
誤送信
・従業員が機密情報を含むメールを、誤って外部の取引先や顧客に送信してしまった。
・社外の取引先や顧客に送信すべきでない情報が、誤って外部に送信された。
・大量のメールを一斉送信する際に、送信先を誤って設定し、無関係な人々に情報が送られた。
ワースト3となった「紛失・誤廃棄」(25件、15.1%)は、機密情報や個人情報を含む重要な文書やデータが適切に管理されず、紛失したり、誤って廃棄されたりすることによって発生する事象を指します。
具体的には、以下のようなケースです。
紛失
・USBメモリやSDカードなどに機密情報を保存していたが、紛失してしまった。
・重要な文書やファイルが保管場所不明となり、見つからない。
・従業員が持ち出した機密情報が、行方不明になった。
誤廃棄
・機密情報を含むファイルの廃棄が不十分だった。
・廃棄予定のハードディスクや記憶媒体に機密情報が残ったままで処分された。
・廃棄する際に必要な情報の選別が不十分であり、重要なデータが誤って廃棄された。
これらの原因によって、企業は多くの被害を受けることが考えられます。
たとえば、個人情報が流出し、顧客や取引先からの信頼を失うリスクが増大するでしょうし、取引の停止・中止も免れないでしょう。情報漏洩による信頼失墜は企業のブランドイメージに重大な打撃を与え、市場での競争力を低下させる可能性があります。
また、情報漏洩による経済的損失は、訴訟費用や事業の中断による損失、顧客離れによる売上減少など、企業の業績に大きな影響を及ぼすことになります。さらに、個人情報保護法などの法令に違反した場合、企業は法的な責任を問われることもあります。
企業はこれらのリスクを最小限に抑えるため、常日頃から情報漏洩対策を強化しておく必要があるでしょう。
適切な情報漏洩対策を行うために、なぜそのような情報漏洩事故が発生してしまったのか、要因を正しく認識する必要があります。
「ウイルス感染・不正アクセス」は、セキュリティの脆弱性や従業員のセキュリティ意識不足によって発生すると考えられます。
システムやアプリケーションには、常にセキュリティ上の脆弱性があることを想定しておく必要があります。悪意のある第三者はこの脆弱性を真っ先に見つけ出し、システムに侵入して情報を盗み出します。
また、社内システムやデータへのアクセス権の設定が不適切であったり、従業員が自身の権限を悪用したりすることで、不正アクセスが行われる可能性もあるでしょう。悪意のあるハッカーや組織が外部から情報システムに対して攻撃を行い、不正アクセスを試みることもあります。
加えて、従業員のセキュリティに対する意識が不十分だと、フィッシングメール内のリンクを不用意にクリックしたり、不正なメールに返信したりするなど、情報漏洩のリスクはさらに高くなります。
「誤表示・誤送信」が発生する主な要因は、人為的なミスや不十分なシステム設定に起因することがほとんどでしょう。
たとえば、従業員が機密情報を含む文書やメールを作成・編集する際に、不注意や何らかのミスで正しくない情報を含めてしまうことがあります。メールの送信先を誤って設定したり、間違ったファイルを添付したりすることで、本来送付すべきでない宛先に送信してしまうこともあるでしょう。
また、情報セキュリティに対する意識が低い従業員や新入社員が、情報の取り扱いに関して適切な知識や経験を持たないことが原因となる場合もあります。
「紛失・誤廃棄」は、保管しておくべき書類の管理不備や不適切な廃棄処理などによって発生します。
機密情報や個人情報を含む重要な文書やデータが、適切な場所に保存されていなかったり、十分なアクセス制御が行われていなかったりすることが原因です。文書やデータを廃棄する際に、本来取り決めた手順や処理が守られていなかったことで、発生することもあるでしょう。
また、機密情報を含むデータがUSBメモリなどの外部記憶媒体に保存されている場合、これらのデバイスが紛失することで、情報漏洩のリスクが高くなります。
少しでも情報漏洩リスクを減らすため、企業は考えうる対策を組み合わせて実施する必要があります。
セキュリティシステムの導入と強化は、情報漏洩対策の基本であり重要なポイントです。企業は信頼性の高いセキュリティソフトウェアを導入し、定期的な更新と監視を行うことで、悪意のあるアクセスやウイルスの侵入を防ぎます。
また、不正なアクセスを検知するためのログ監視や侵入防止システムも導入することで、早期に異常を発見し対応することが可能となります。
強力なパスワード管理の徹底も重要な情報漏洩対策の一つです。
従業員には、複雑なパスワードを設定するよう啓発しましょう。推測されづらい長い文字列を使用したり、英数字や記号などをランダムに混ぜたりすることで、安全なパスワードを設定するようにします。単調な文字列や辞書に載っているような英単語は、できるだけ使わないようにすべきです。
また、同じパスワードを複数のアカウントで使用しないようにすることで、1つのアカウントの侵害が他のアカウントにも波及するリスクを軽減します。必要に応じて、多要素認証を導入するなど、セキュリティを一層強化する対策も取りいれるべきです。
情報の取り扱いについて適切なセキュリティポリシーを策定することは、情報漏洩対策につなげる第一歩となります。
従業員のセキュリティ意識を高めるために定期的なトレーニングや教育を実施し、セキュリティポリシーへの遵守を徹底させることで、情報漏洩リスクを低減することができるでしょう。
機密情報への適切なアクセス権の設定やファイリングの整備は、情報漏洩リスクを抑えるために重要な措置です。厳密なアクセス権管理に従って、職務に応じて必要最低限のデータアクセス権を付与し、情報の取り扱いを明確にしなければなりません。
また、紙の書類などのアナログ情報であれば、ファイルの整理や分類ルールに従ったファイリングを徹底し、機密情報を適切に保管することで、情報の紛失や誤廃棄を防止します。
情報漏洩につながる原因ワースト3から、情報漏洩対策の重要性を確認してきました。これらの対策を組み合わせて取り組むことで、機密情報や個人情報の保護を実現することができます。
ただ、情報漏洩対策は一度取り決めればいいわけではありません。継続的に見直し、適宜改善を行うことが重要です。情報漏洩対策は組織全体の取り組みとして捉え、従業員の協力を通じて、恒常的に情報セキュリティを強化していくことが求められるでしょう。
