近年、相次ぐ企業の個人情報漏洩事故により、ますますセキュリティに対する管理が見直されています。
今回は、実際に起こった企業の個人情報漏洩事故を事例にして紹介し、原因と対策について解説します。
個人情報を取り扱っている以上、どの企業も決して他人事ではないので、情シス担当の方は特に注意して読んでいきましょう。
早速、企業や自治体の個人情報漏洩事故の事例についてご紹介します。
今回は代表的な5つのケースを取り上げていますので、なぜ起こったのか、その背景についても知っておきましょう。
ソースネクスト株式会社は、2023年2月14日に公式サイトへの不正アクセスによって、個人情報12万982件、顧客カード情報11万2,132件が流出したことを発表しています。
原因は、公式サイト内の脆弱性であり、サイバー攻撃によって決済システムが改ざんされたようです。
被害にあった可能性があるのは、2022年11月15日〜2023年1月17日に公式サイトでカード情報を登録及び商品・サービスを購入したユーザーとされています。
現在では、セキュリティの強化と、不正利用やフィッシング行為の注意喚起によって、不正アクセス対策をしているようです。
チューリッヒ保険会社は、2023年1月9日に個人情報漏洩事故があったことを発表しています。
原因は、構築サーバーのセキュリティ対策の不備で、不正アクセスによってデータが盗まれたのが経緯です。
この件で、最大で69万8,767人が対象となり、情報漏洩発見後、監督官庁へ報告とサーバー上にある顧客情報の削除によって対応しています。
兵庫県尼崎市では、2022年6月21日に個人情報が含まれるUSBメモリーを臨時給付金支給事務の関係社員が紛失してしまう事件がありました。
事業所外へ持ち出す際の運搬方法を決めておらず、なおかつ尼崎市の許可を得ていない状態で持ち運んだことが原因のようです。
現状、外部への漏洩は確認されておりません。
対策として、運搬方法を含めて許可を得ていない状態での持ち出しを禁止とし、セキュリティマネジメントの徹底を行うとしています。
2020年3月、海上自衛隊の1等海佐が特定秘密保護法で定められている特定秘密が含まれる情報を、元自衛艦隊司令官のOBに漏らしたという事例もあります。
原因としては、OBから1等海佐への依頼があったとのことで、特定秘密を外部へ漏らした事による処分者は初とされています。
海上自衛隊では、再発防止のためになお一層情報保全に努めるとの見解を発表しています。
snkrdunkでは、2022年6月に公式サイトである「SNKRDUNK」へサイバー攻撃があったことを発表しています。
漏洩した可能性があるのは合計で275万3,400件の個人情報で、クレジットカード番号や本人確認書類に関しては該当しないそうです。
再発防止のためのセキュリティ強化をなお一層徹底するという旨を報告しています。
よく不正アクセスによる個人情報漏洩と聞きますが、具体的にはどのような手法によってデータが盗まれてしまうのでしょうか。
ここでは、個人情報漏洩の原因について解説します。
最も多い情報漏洩のケースが、マルウェアやフィッシングによって不正アクセスを実行されるパターンです。
マルウェアは、ウイルスやワーム、キーロガーのような手法でデバイスのシステム内をハッキングし、有害な動作をさせる悪質なソフトウェアです。
電子メールや架空のサイトを装い、マルウェアが含まれるファイルやソフトをインストールさせることで感染し、情報を搾取されてしまいます。
フィッシングと呼ばれる手法も、近年では増加傾向にあります。
こちらも電子メールや架空のサイトへ誘導するのは、マルウェア感染の手法と似ています。
しかし、フィッシングの場合はユーザー自身が入力した個人情報を偽のサイトで搾取するのが主流です。
最近では、リモートワークが浸透したことで、会社で使用するデバイスのセキュリティマネジメントが個人に委ねられるようになりました。
そのため、マルウェアやフィッシングによる被害が増え、より一層注意をしなくてはならないのが現状です。
尼崎市で起こった事例のように、関係者による人為的なミスによって個人情報漏洩が起こる可能性があります。
・仕事を自宅で行うために個人情報を持ち出してしまった
・情報が記載されたメール・FAXの送付先を間違える
・個人情報が含まれる書類やデータを持ち出して紛失してしまった
上記のような人為的なミスは故意的ではないものの、セキュリティマネジメントが徹底されていないため起こるものです。
海上自衛隊の事例のように、内部の関係者が不正アクセスをする、あるいはデータを持ち出して故意的に個人情報を漏洩させる場合もあります。
中には、清掃業者などに変装し、企業のデバイスに情報を搾取する機器を設置するケースもあるので、一概に内部の者という断定もできません。
また、内部不正は企業としての信用も落としてしまうため、経営に甚大な影響を与える点も注意が必要です。
現代では個人情報漏洩を防ぐために効果的な対策の把握・実施が、個人・企業に求められています。
公的な対策として、今回は4つの方法をご紹介するので、可能な限り全て実施し、顧客情報のセキュリティマネジメントの徹底を行いましょう。
マルウェア感染を防ぐ最も効果的な対策法は、最新のセキュリティソフトを導入することです。
トロイの木馬のように、一見無害なプログラムを装ってサイバー攻撃をするマルウェアでも、最新のセキュリティソフトは検知してくれます。
また、Webサイトやソフトの脆弱性もカバーしてくれるので、企業だけでなく個人で使用するデバイスにもセキュリティソフトの導入は必須です。
マルウェアも日々進化をしているため、古いセキュリティソフトを使って油断していると、気付いたらどこからか感染している、という事態も起こり得るでしょう。
導入しているセキュリティソフトは、常に最新のものか、バージョンも新しいかを確認するのが有効的な対策になります。
社員や関係者に守秘義務に関する書面を取り交わしておくと、内部不正の防止や個人情報の取り扱い・漏洩に関する認識が統一されやすくなります。
もし、守秘義務に違反した場合、どのような罰則があるのかを明記しておくことで、社員や関係者の個人情報を取り扱う意識は高くなるはずです。
これから守秘義務について書面を作成する場合は、経済産業省の「参考資料2 各種契約書等の参考例」を参考にしてみてください。
個人情報流出のリスク管理・教育の徹底も行うべきでしょう。
日々の業務によって、個人情報に対する意識というのは薄れてしまう可能性もあります。
そのため、定期的に個人情報の取り扱いによる研修を行い、常日頃から徹底すべきことを周知させることが必要です。
また、個人で行えるリスク管理についてもリストアップしておき、自宅や外部で作業をする社員それぞれにセキュリティマネジメントをしてもらいましょう。
個人情報漏洩が起きてから対策をしても遅く、場合によってはニュースに取り上げられるほどの炎上を起こしてしまう可能性もあるでしょう。
特にエンドポイントのセキュリティのために、不正検知サービスの導入は積極的に検討すべきです。
個人の意識・行動だけでは対応しきれない部分を、最新のセキュリティサービスを活用して、最大限のリスク管理ができるようにしていきましょう。
本記事では個人情報の漏洩事故に関する事例や原因、対策について解説しました。
個人情報を取り扱う企業の場合、顧客を悪質な業者から守るという責任を常に背負わなければなりません。
ただし、近年ではセキュリティソフトやサービスも充実しており、エンドポイントの安全性を高めることが可能です。
企業としての信頼を失わないためにも、セキュリティマネジメントは徹底して行っていきましょう。
