企業経営において情報管理は非常に重要な課題です。情報漏えいのインシデントは企業の信頼性を低下させるだけでなく、訴訟問題へと発展する可能性もあります。対策としては個人情報漏えいのリスクを認識し、適切な対策を講じることでしょう。そこで、個人情報漏えいの原因と対策について解説します。
個人情報漏えいの原因3つ
情報化が進んだ昨今、企業が市場における優位性を確保するためにIT戦略を導入する企業も増えてきています。そうした企業には情報管理の最適化が求められますが、国内の情報漏えいインシデントは増加傾向にあるのが実情です。2019年6月に「特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)」が発表した「情報セキュリティインシデントに関する調査結果」によると、2017年の情報漏えいインシデント件数386件に対して、2018年に発生した情報漏えいインシデント件数は443件と14.7%増加しています。
また、情報漏えいの原因として最も多かったのが「紛失や置き忘れ」「誤操作」「マルウェア感染や不正アクセス」の3つで、情報漏えい全体の70%を占めています。これらの情報を踏まえて個人情報の漏えいインシデントとして最も多かった3つの原因について詳しく見ていきましょう。
1:紛失や置き忘れ
情報漏えいというと、ハッキングや不正アクセスなどを連想するかもしれません。しかし、実際はPCやモバイルデバイスの紛失や置き忘れといった、ヒューマンエラーによる情報漏えいが多数を占めているのが実情です。生産技術の進歩によってPCやモバイルデバイスの小型化・軽量化が進んだ結果、持ち運びが容易になった一方で、紛失しやすくなったことも一因でしょう。
また、2020年以降は新型コロナウイルスの感染拡大による働き方改革の推進も相まって、テレワークを導入する企業が増加しています。テレワークは新しい時代に則した働き方として注目を集める一方、セキュリティリスクが懸念される勤務形態です。たとえば、カフェやコワーキングスペースで業務を行なった際の置き忘れ、移動時の紛失、社外のPCを利用した際にデバイスを接続したまま忘れてしまうなどのケースが考えられます。このようにデバイスの紛失や置き忘れは、社会情勢に伴って増加傾向にある情報漏えいの原因の1つです。
2:誤操作
ITシステムやメールの誤送信も、ヒューマンエラーによる情報漏えいの原因の1つです。先述したJNSAの調査によると、誤操作による情報漏えいは全体の24.6%を占めており、これは紛失や置き忘れの26.2%に次ぐ割合となっています。
特に多いのがメールの誤操作による情報漏えいで、送信先や送信設定を誤り個人情報や顧客情報を流出させてしまうケースが代表的です。たとえば、社内の顧客リストからターゲットとなる顧客を抽出してリストにしたものをプロジェクトメンバーに共有する際に、名前が似ている人のアドレスに誤って送付するケースがあります。また、添付ファイルの間違いによる情報漏えいもあります。
そのほかにも「BCC」「CC」「TO」の設定ミスによる情報漏えいも少なくありません。複数の取引先にメールを一斉送信する場合、宛先をBCCに指定します。ところが誤ってTOやCCで送信してしまったため、宛先に含まれているすべてのメールアドレスが共有されてしまい、取引のある企業が露見した事例もあります。
3:マルウェア感染や不正アクセス
JNSAの調査によると、マルウェア感染や不正アクセスによる情報漏えいは全体の20.3%を占め、紛失や置き忘れと誤操作に次いで3番目に多い原因となっています。マルウェアとは、デバイス操作の不具合や、情報漏えいを引き起こす悪質なソフトウェアの総称です。不正アクセスとは、アクセス権限を持たない者がコンピューターに不正に侵入し、システムを乗っ取る行為を指します。
マルウェア感染や不正アクセスは、スパムメールや悪質なWebサイトの閲覧などが主な感染経路です。感染してしまうと、個人情報や顧客情報の流出、ネットバンクへの不正侵入、IPアドレスの悪用など、さまざまなリスクに晒されます。
また、企業のショッピングサイトなどが不正アクセス被害を受けてお客様情報を搾取されるケースや、Webサイトの改ざんによって顧客がフィッシングサイトに誘導された結果、個人情報を盗み取られる被害もあります。マルウェア感染や不正アクセスは、高度な技術によって侵入されてしまうこともありますが、セキュリティ管理の甘さによって引き起こされるケースも多々あるので注意が必要です。
個人情報漏えいの対策6つ
企業経営において最も重要なものは社会的信用です。情報漏えいインシデントは企業が培ってきた信用の失墜につながります。したがって、情報管理の徹底は最優先事項といえるでしょう。ここでは情報漏えいを防ぐ6つの対策について解説します。
1:セキュリティソフトの導入や更新をする
PCやモバイルデバイスに対するセキュリティソフトの導入は必須です。セキュリティソフトを活用することで、社内ネットワークへの不正接続を検知したり、アップロードされたファイルのログを管理したりといった対策が可能になります。また、セキュリティソフトを最新の状態に保つのはもちろん、OSやアプリケーションの更新も怠らないようにしましょう。
2:明確なセキュリティ・ポリシーを作成する
組織の情報管理において重要となるのが、情報セキュリティポリシーの策定です。情報セキュリティポリシーとは、経営資源である情報を保守・管理するためのルールです。情報セキュリティポリシーとして「基本方針」と「対策基準」の2つを整理し、個別対策などを講じた「実施手順」を定めてマニュアル化する手法が一般的です。情報セキュリティポリシーを策定することで、組織全体の情報管理意識の向上につながるでしょう。
3:情報の持ち出しについてのルールを作成する
情報漏えいは外部からの脅威によって引き起こされるとは限りません。先述した通り、情報漏えいの原因は「マルウェア感染や不正アクセス」よりも「紛失や置き忘れ」のほうが被害件数が多く、ヒューマンエラーによる内部要因が一番のリスクとなっています。したがって、業務データの持ち出しについて明確なルールを策定する必要があるのです。特にテレワークを実施している企業であれば、情報の持ち出しルールの策定は必須といえます。
4:メール誤送信防止システムを導入する
BCCやCCなどの設定ミスを防ぐためにも、メール誤送信防止システムの導入を検討しましょう。メール誤送信防止システムとは、メール送信時の人為ミスによる誤送信を防止できるシステムです。たとえば、宛先チェックの義務化や、権限設定を与えられたユーザーのみがメールに対して返信できるなど、誤送信を防ぐための機能が備えられています。セキュリティ管理を強化すると共に、監視性を高めることで組織全体の情報管理意識の向上に貢献します。
5:クラウドストレージを使用する
情報管理の最適化は企業経営において非常に重要な意味をもちます。DXの推進やテレワークの増加なども相まって、今後ますます情報管理の重要性は高まるでしょう。そこでおすすめしたいのが、法人向けのクラウドストレージ「Box」です。Boxを導入することで、セキュアな環境での情報管理が実現します。社内や取引先との個人情報や秘匿性の高い情報の共有をクラウドストレージによって行えば、個人情報をデバイスに入れて持ち歩く必要もありませんし、メールに添付して情報共有をするといったリスクの高い方法を行う必要もなく、誤送信リスクもなくなります。アクセス権限設定やユーザー認証、ログの監視といったセキュリティやガバナンス機能を活用することで、情報漏えいリスクを最小限に抑えることが容易に可能です。
[SMART_CONTENT]
まとめ
重要ファイルに対するセキュリティ管理は企業の義務です。情報漏えいを防ぐためにも、まずは情報セキュリティポリシーの策定をしましょう。また、社内の情報管理ルールを文書化して共有し教育すれば、社員のセキュリティ意識の向上につながります。
また、情報資産を脅威から守るためには新しい考えのもとでITシステムの活用が欠かせません。特に個人情報を管理するITインフラのセキュリティ管理は、企業にとって最重要課題です。セキュリティ管理に優れたBoxなどのクラウドサービスを導入し、個人情報の漏えいリスクを軽減していきましょう。
