企業による情報漏洩は、顧客や取引先に多大な迷惑をかけるだけでなく、社会的な信用の低下やブランドイメージの悪化など、さまざまなリスクを招く可能性があります。このような事態を回避するために、企業は適切な対策を講じる必要があります。本記事では、情報漏洩の原因とその対策方法、他社の事例などについて解説します。
企業が晒される情報漏洩リスクの現状
組織や事業の規模を問わず、現在ではあらゆる企業が情報漏洩リスクに晒されています。情報漏洩が発生すると、社会的な信用の低下だけでなく、損害賠償や業績の低下にも直結するため、適切な対策が必要です。
株式会社東京商工リサーチが公表した資料「2022年 上場企業の個人情報漏洩・紛失事故調査」によれば、2022年における情報漏洩事故の件数は165件となり、これは過去最多となっています。また、流出した個人情報は592万7,057人分となっています。
情報漏洩の原因となった媒体別では、「社内システム・サーバー」が最多の76件を記録し、次いで「パソコン」が60件、「書類」が22件、「記録メディア」が6件と続きます。
産業別でもっとも多かったのは製造業です。事故を公表した150社のうち、43社が製造業に属しています。続いて、サービス業が23社、情報・通信業が22社、金融・保険業、小売業が14社、運送業が13社、卸売業が11社と、産業を問わずあらゆる業種において情報漏洩事故が発生している事実が窺えます。
参照元:東京商工リサーチ
情報漏洩は何が原因で起きているのか?
「2022年 上場企業の個人情報漏洩・紛失事故調査」によると、事故の原因として多くを占めたのは「ウイルス感染・不正アクセス」でした。情報漏洩事故165件のうち、91件がウイルスや不正アクセスによるものでした。
次に多かったのは「誤表示・誤送信」の43件、「紛失・誤廃棄」の25件、従業員の不正持ち出しを含む「盗難」が5件と続きます。これまでは、内部要因に端を発する情報漏洩事故が多くを占めていましたが、近年ではウイルス感染・不正アクセスなど外部要因による事故が多く発生しています。そのため、企業は内部だけでなく、外部要因による事故発生を回避する対策に取り組まなくてはなりません。さらに、情報漏洩の原因や内容は、日常的に使用される「ファイル」に関連していることが多いため、企業はファイルの適切な管理にも注意を払うべきであると言えます。
参照元:東京商工リサーチ
関連記事:情報漏洩の原因5つ| リスクや被害事例とともに解説
ウイルス感染や不正アクセスによる情報漏洩
既出の調査結果が示す通り、近年の情報漏洩事故はウイルス感染、および不正アクセスに端を発するケースが増えています。悪意を持って開発されたマルウェアによる被害は増加の一途をたどっており、2023年には大手製薬会社の「エーザイ株式会社」がランサムウェア被害を公表しました。
マルウェアには、ワームやスパイウェア、トロイの木馬、ランサムウェアなどの種類があり、ウイルスも含まれます。種類ごとに、自己繁殖能力の有無や感染力、感染後の挙動などが異なるため注意が必要です。
マルウェアの感染経路は、電子メールが代表的です。マルウェアを仕込んだファイルをメールに添付し、受信者が開くと感染します。また、画像や動画ファイルなどWebコンテンツにマルウェアを仕込み、ターゲットが閲覧すると感染するケースも少なくありません。
マルウェアに感染すると、デバイスに保存されているファイルが消去されたり、システムのプログラムが壊されたりといった被害を受ける可能性があります。また、社内の重要なデータを人質に取られ、金銭的な取引を要求される場合もあります。
機器の紛失や誤った廃棄方法による情報漏洩
顧客情報をはじめとした、機密情報が含まれる機器を廃棄し、情報漏洩につながるケースがあります。たとえば、パソコンに保存してある重要な情報を消去しないまま廃棄し、入手した第三者が情報を取得するケースです。
従業員による機器の置き忘れにも注意しなくてはなりません。重要な情報を記録したSDカードやUSBメモリを、駅のホームやカフェなどに置き忘れ、それが第三者の手に渡り情報が流出するケースなどです。記録メディアだけでなく、モバイル端末の紛失・盗難にも注意が必要です。
現代では、多くの人々がスマートフォンを所有しており、ビジネスにおいて日常的に使用しています。スマートフォンには、顧客や取引先の連絡先など、さまざまな情報が記録されています。紛失は即時に情報漏洩につながると考え、適切な対策に取り組まねばなりません。
そもそも、パソコンやモバイル端末に、重要な情報が含まれていなければ問題はありません。機器とは完全に切り離されたところで情報を管理すれば、紛失や盗難への対策として有効です。たとえば、いつでも、どこでも、どんなデバイスでもファイルを閲覧できるコンテンツクラウドの利用が対策として考えられます。利便性や業務遂行のために、使っているデバイス全てに同じファイルをダウンロードしておきたいと思うことがありますが、それだとリスクも増加します。おすすめなのは、クラウドに原本を保管し、必要なときに閲覧する方法です。これなら、便利さを損なわずに情報漏洩のリスクを軽減できます。
誤操作による情報漏洩
従業員の操作ミスによる情報漏洩も問題です。たとえば、メールの誤送信が典型的な例です。社内で共有すべき資料が、誤って顧客や取引先に送信されるケースなどが考えられます。
本来、共有すべきではない人を誤って共有フォルダのメンバーに追加してしまう誤操作も、起こり得ます。例えば、組織の上層部しか知り得ない情報が外部に漏洩するといったような事故のきっかけは、このような不注意が原因だったりします。
誤表示による情報漏洩にも注意が必要です。たとえば、自社が提供しているWebサービスに顧客がログインした際、異なる顧客の個人情報が表示される事故が考えられます。もし、クレジットカード番号など重要な情報が誤表示された場合、悪用につながり、自社の信用失墜にも直結します。
情報漏洩の対策
情報漏洩は、自社の社会的な信用失墜に直結するだけでなく、顧客や取引先にも多大な迷惑をかけかねません。そのため、企業には適切な情報セキュリティ対策が求められます。
情報漏洩対策に取り組む際には、今の時代にあわせたアプローチが必要です。コロナ禍に伴うテレワークの増加、働き方改革の推進、副業の許容度の向上、雇用の流動化など、情報漏洩リスクは以前に比べて複雑化しています。企業はこうした状況も考慮し、適切な対策を進めなくてはなりません。
クラウドストレージを使用する
情報漏洩への有効な対策として、クラウドストレージやコンテンツクラウドの導入が挙げられます。クラウドであれば、デバイスと完全に切り離された場所で機密情報を管理でき、安全性を確保できます。PCなどの端末にファイルを保管するのではなく、クラウド上に保管すれば、万一PCなどを紛失してもファイルやそれに伴う情報が漏洩することはありません。
さらに、デバイスのハードディスクがクラッシュしても、クラウドに保管していれば、データの喪失を防ぐことができます。
情報漏洩対策だけでなく、クラウドストレージは業務効率化にも役立ちます。インターネット接続が可能な環境であれば、従業員はどこからでも情報にアクセスできるため、テレワーク環境下でも業務を効率的に遂行できます。
セキュリティに明確なポリシー(方針)を設ける
情報漏洩リスクを軽減するには、情報漏洩対策に関する明確な基本方針を策定する必要があります。具体的に、どのようなリスクに対してどのような方針で対策に取り組むのか、対策の基準や実施手順などを設定しましょう。
セキュリティポリシーを作成する際には、分かりやすさを意識することが大切です。素晴らしい内容のセキュリティポリシーを策定しても、従業員が内容を理解できなければ意味がありません。ITリテラシーが低い従業員でも、問題なく理解できる内容に仕上げましょう。
また、セキュリティポリシーを作成したあとは、PDCAサイクルを回しつつ運用を続けることが大切です。サイバー攻撃の手口は年々巧妙化し、新たな脅威も次々と誕生しています。刻々と移り変わる状況のなかで企業の情報資産を守り、漏洩事故を防ぐには、セキュリティポリシーを運用しつつ評価と分析を繰り返し、その時々の状況に応じた見直し、改善が必要です。
情報の持ち出しに関するルールを決める
社内の情報を自宅へ持ち帰り、業務に使用するケースは一般的ですが、情報の持ち出しに関するルールを定めていないと、漏洩リスクが高まるため注意が必要です。
既に多くの企業で行われていますが、SDカードやUSBメモリなどを用いた情報の持ち出しを禁止する方法が考えられます。これらの記録メディアは便利である反面、置き忘れや紛失などのリスクを高めます。記録メディアの代用として、クラウドストレージを導入することもおすすめです。オフィスと現場など、遠隔で業務を行う必要のある業務ほどUSBメモリといったメディアが使われる傾向があると言われているため、漏洩リスクを減らす有効な対策としてクラウドストレージの導入を検討してみてはいかがでしょうか。
ノートパソコンの持ち出しに関してもルールを定めましょう。業務で使用するノートパソコンには、顧客の個人情報や組織の機密情報が保管されていることも珍しくありません。併せて、従業員用に配布しているスマートフォンやタブレット端末など、モバイル端末の持ち出しルールも定めておくと安心です。
情報を放置したり安易に破棄したりしない
情報の放置や安易な廃棄は、情報漏洩につながるため注意が必要です。たとえば、顧客情報が記載された書類をデスクの上に放置する、取引先情報が画面に表示されたノートパソコンをカフェのテーブルに置いたまま席を立つ、といった行為はリスクを高めます。
持ち場を離れるときは、たとえ短時間であっても適切な対策をしておきましょう。デスクから離れるときは、重要な情報が記載された書類を肌身離さず持ち歩くか、鍵付きの引き出しに収納するなどの対策が有効です。各種デバイスについても、机の上へ置きっぱなしにしない、そもそもデバイスに重要な情報を保存しないなどの対策が必要です。
機密情報を扱ったパソコンを廃棄する際には、復元ができないよう処理しましょう。専門業者へ依頼すれば、復元が不可能な状態にして廃棄してもらえます。
メールの誤送信を防止する
メールの誤送信による情報漏洩を防ぐために、メール添付ファイルによる共有を禁止することは有効な手段です。ただし、これにより情報共有の効率が低下する可能性があるため、代替ツールとしてクラウドストレージの導入を検討しましょう。多くのクラウドストレージサービスでは、情報の種類に応じて適切なアクセス権限を設定できますので、情報漏洩リスクを軽減できます。
メールは、日常業務で広く使用されているため、特に取引先や顧客との重要な情報をやり取りをする頻度が多いケースでは、誤送信防止システムの導入を検討する価値があります。この様なシステムには、不適切な文面の自動抽出や管理者への警告などの機能が含まれており、メールを介した情報漏洩対策として有効です。
定期的なセキュリティ教育で、社員の意識を高める
クラウドストレージやメール誤送信防止システムなど、優れたツールやシステムを導入しても、従業員の情報セキュリティ意識が低いと情報漏洩リスクを高めます。事故を回避するには、定期的なセキュリティ教育を実施し、従業員のセキュリティ意識を高める必要があります。
情報漏洩を自分ごととして捉えてもらえるよう、事故による具体的な被害事例などを従業員に伝えるのは有効です。情報漏洩が組織を窮地に立たせ、場合によっては倒産するおそれもあると丁寧に説明すれば、従業員は今まで以上に真剣な気持ちでセキュリティ教育に取り組んでくれるはずです。
企業を対象とした、情報セキュリティ研修を検討することも一つの方法です。企業向けの情報セキュリティ研修を実施している企業は多く、自社の目的や課題などからプランを選んで研修を受けられます。オンラインでの研修も多く、物理的に集まる必要ももはやありません。
テレワークでの個人認証やデバイス制限を厳格化する
従来の、IDとパスワードだけで認証する仕組みでは、サイバー攻撃のターゲットとなるリスクがあります。テレワーク環境やこれからのデジタルワークプレイスでは、複数のクラウドサービスを利用することも多く、IDとパスワードを解析された結果、悪意をもつ第三者が複数のシステム、クラウドサービスへ不正アクセスするリスクも考えられます。このような事態を回避するには、多要素認証の導入がおすすめです。複数の認証方法を組み合わせた多要素認証であれば、本人確認が徹底でき、なりすましなど不正アクセスの回避につながります。
テレワークで使用されるデバイスの管理も適切に行いましょう。その際、モバイルデバイス管理(MDM)の導入が効果的です。MDMは、モバイルデバイスの管理を統一的に行う仕組みで、従業員が業務に使用している端末を紛失しても、画面ロックやデータ消去を遠隔から行えるため、情報の流出を回避できます。
脆弱性への対策を怠らない
デバイスのOSやシステムのプログラム、セキュリティソフトなどに脆弱性があると、サイバー攻撃のターゲットになりかねません。脆弱な部分を狙われないよう、OSやセキュリティソフトなどは常に最新のバージョンにアップデートしましょう。
また、企業の情報漏洩対策には多層防御が有効です。ひとつのセキュリティ対策に依存せず、複数の方法を複合的に組み合わせることで、防御力を強化できます。ファイアウォールだけでなく、データを暗号化などの手法を組み合わせて、多層のセキュリティ防御策を実施することで、さまざまな脅威に対応できます。
企業による情報漏洩対策の事例
多くの企業がこうした情報漏洩の脅威に対して対策を講じています。ここではいくつかの具体的な事例を紹介します。
アフラック株式会社
アフラック株式会社では、メールでファイルを送信し、受信側に解凍してもらう方式を以前から採用していました。しかし、この方法は非効率であり、なおかつ誤送信による情報漏洩を招くリスクがあります。そこで、同社はコンテンツクラウド「Box」を導入しました。
現在では、Boxの保存先URLを、データ共有したい相手に送信する手法を採用しています。メールに直接ファイルを添付する手法ではないため、転送によるファイル原本の拡散を回避でき、共有リンクを誤送信した場合もリンクの無効化やファイルの消去で対応できるため、情報漏洩リスクを最小限に抑えられます。
詳細はこちら:テレワーク率80%以上、ガバナンス管理とマルウェア対策を同時に実現した、アフラックのデータ利活用基盤構築法
ゴウダ株式会社
老朽化したファイルサーバーを用いていたゴウダ株式会社は、Boxの導入によって業務効率化と情報漏洩対策の両立に成功しました。Box導入の決め手となったのは、端末にデータを残さずに済むことです。業務がオフィスと現場と離れている環境下、現場の職人や外回りの従業員が、万が一スマートフォンを紛失しても、そこにファイルは無く情報漏洩のリスクを最小限にできる点が魅力と感じ導入にいたったとのことです。
また、作業進捗の確認のために現場の写真を送ってもらうシーンが多々あるものの、統一された方法がなく、業務に非効率を招いていました。Box導入後は、適切にアクセス権限を付与することで、社外の協力者もデータを直接登録できるようになり、業務効率化も実現しています。
詳細はこちら:ゴウダ株式会社 事例紹介資料
情報漏洩が発生した場合の対応
情報漏洩発生時には、迅速な対応が不可欠です。対応が遅れると、さらに被害が拡大し、重大な事件を引き起こす可能性が高まります。
実態を確認し、即座に対応する
徹底した対策を施しても、事故のリスクをゼロにするのは不可能です。そのため、事故が発生する可能性が少なからずあることを前提とし、発生時に迅速かつ適切に対応できる体制を整えなくてはなりません。実際に情報漏洩が発生した際には、以下のようなプロセスを経るのが一般的です。
- 事実確認と漏洩内容の特定
- 漏洩の阻止
- 公的機関への対応を要請
- 問い合わせ窓口設置
- 情報の公表と謝罪
- 事後対応
- 原因の究明
- 再発防止策の考案
まずは事実確認を行い、どのような情報がどれほど漏洩したのか特定します。併せて、それ以上被害を広げないよう手を打ち、必要に応じて警察への相談なども行いましょう。マスコミなどへ情報を公開する際には、隠し立てせず正直に話し、誠意をもって謝罪をします。二度と同じことを起こさないよう、原因究明と再発防止策の立案、実行にも取り組みましょう。
更なる情報漏洩を阻止する
被害を最小限に留めるため、適切な対策を行いましょう。たとえば、ネットワークの遮断はさらなる情報漏洩を防ぐのに有効な対策です。また、一時的にサービスを停止し、誰もシステムへアクセスできないようにするのもひとつの手です。
原因究明と情報公開に努める
原因を究明しないと、再び同じ事故が発生しかねません。外部要因なのか内部要因なのか、自社のセキュリティ体制に問題はなかったのかなどをチェックしつつ、原因の特定を進めましょう。
情報公開は、マスコミや自社ホームページ、メルマガ、SNSなどを利用します。公表すべき項目は以下の通りです。
- 漏洩した情報の内容
- 漏洩の規模
- 具体的な対処方法
- 想定されるリスク
- 問い合わせ先
報告義務を果たす
2022年に個人情報保護法が改正されました。これにより、2022年4月1日からは、情報漏洩によって個人の権利利益を害するおそれがある際に、個人情報保護委員会と本人に通知をしなくてはなりません。個人の権利利益を害する、に該当する事態は以下の通りです。
- 要配慮個人情報が含まれる
- 財産的被害が生じるおそれがある
- 不正の目的をもって漏洩が発生した
- 1,000人を超える漏洩の発生
これらに該当する場合、事故発生から概ね3~5日以内に個人情報保護委員会へ報告をしなくてはなりません。
まとめ
情報漏洩を完全に防ぐのは至難の業ですが、発生した場合の企業が受けるダメージは決して小さくないため、適切な備えをしておくことをおすすめします。
当ブログでご紹介した個々のポイント、たとえばデバイスの紛失やメールの誤送信などへの対策を一つずつ行っていくことも必要ですが、機密情報を含むファイルを確実に管理するという根本的な対策も重要です。コンテンツクラウドであれば、重要な情報をセキュアなクラウドで管理でき、かつ場所を問わずアクセスできるため、セキュリティ強化と業務効率化の両立が可能です。
