情報漏えいが起きると、どれくらいの損害賠償額が発生するかご存じでしょうか?JSNA(日本セキュリティ・ネットワーク協会)が2018年に新聞やインターネットニュースなどで報道された個人情報漏えい事件の情報を収集し、分析した結果を以下に引用します。
2018年 個人情報漏えいインシデント 概要データ【速報】
|
漏えい人数 |
561万3,797人 |
|
インシデント件数 |
443件 |
|
想定損害賠償総額 |
2,684億5,743万円 |
|
一件あたりの漏えい人数 |
1万3,334人 |
|
一件あたり平均想定損害賠償額 |
6億3,767万円 |
|
一人あたり平均想定損害賠償額 |
2万9,768円 |
出典:JNSA,2018年 情報セキュリティインシデントに関する調査報告書【速報版】
情報漏えい事件1件あたりの平均想定損害倍書額は6億3,767万円にのぼります。実際に、情報漏えいをきっかけとして倒産した事例もあります。
時として唐突に発生する情報漏えいは何が原因なのでしょうか。ここでは、情報漏えいの原因と対策、個人情報や機密情報を守るために今できることをご紹介します。
情報漏えいは何が原因で起きているのか?
情報漏えいと聞くと、サイバー攻撃を受けて第三者に個人情報や機密情報を抜き取られる、といったイメージをもつ方が多いかもしれません。確かに、インターネットが普及したことでサイバー攻撃の脅威は増大し、今やすべての企業がそのリスクを抱えています。しかし、情報漏えいの原因として多いのは、実はサイバー攻撃ではなく内部要因によるものです。下の図は、2018年に発生した情報漏えい事件をJNSAが原因別にまとめたものです。
出典:JNSA,2018年 情報セキュリティインシデントに関する調査報告書【速報版】
この調査から分かるように、情報漏えいの原因として最も多いのが「損失・置き忘れ」であり、次いで「誤操作」が多くなっています。「不正アクセス」による漏えいは3番目という結果です。ちなみに「内部犯罪・内部不正行為」を除く内部要因に絞ると全体の66.6%と非常に多く、情報漏えいの原因として警戒すべきなのはサイバー攻撃よりも内部要因ということがお分かりいただけると思います。以下に、原因別に具体的な原因をご紹介します。
損失・置き忘れ
- USBメモリやSDカードなど紛失しやすいメディアにデータを移行して持ち歩き、紛失する
- 飲み会の帰りに酒に酔い、会社に貸与されたノートパソコンが入ったカバンを飲食店や電車内、駅に忘れ、紛失、または盗難被害に遭う
- カフェや移動中にちょっとした作業をするために重要書類をカバンから出し、そのまま置き忘れる
誤操作
- 社内で回覧するはずの個人情報や機密情報含んだ資料を、間違えて取引先に送信してしまう
- 本来BCCに入れるべきメールアドレスをToやCCに入れてしまい、メール受信者全員分のメールアドレスが漏えいする
- 顧客とやり取りをしている際に本来送信すべき資料とは違う資料を選択してしまう
- 共有フォルダに共有すべきではない人を含めてしまう
不正アクセス
- フィッシング詐欺サイトとは気づかずにID・パスワードを入力してしまう
- 不審に思いながらもメールに添付されたファイルを開いたら端末がマルウェアに感染してしまう
管理ミス
- Webサイト等で本来アクセス権限を設定すべきディレクトリを公開状態にしてしまい、誰でも閲覧できるようにしてしまう
- オフィスのキャビネットにしまったはずの重要資料が紛失し、どこにあるかも分からなくなってしまう
情報漏えいの対策方法
情報漏えいを防ぐための対策方法はいろいろとあります。一般的に思い浮かぶイメージとしては、セキュリティ製品を新たに導入する方法ではないでしょうか?しかし、前述のように情報漏えいの原因の大半は内部要因です。そのため、単純にセキュリティ製品を導入するだけでは対処できないケースも多いのが実情です。それでは、具体的かつ有効的な対策方法を確認していきましょう。
対策1. セキュリティに明確なポリシー(方針)を設ける
企業のセキュリティ対策を強化し、原因を問わず情報漏えいを防ぐには、まずしっかりとしたセキュリティポリシーを設けるのが先決です。セキュリティポリシーとは、情報漏えい等への対策について明確にした基本方針のことであり、すべてのセキュリティ対策のベースになります。「しっかりしたセキュリティポリシーなんて作ったことが無いから分からない」という企業も少なくないかも知れません。安心してください。JNSAではそんな企業でもセキュリティポリシーが作成できるようにサンプルを提供しています。まずはサンプルを確認し、それに沿いながらセキュリティポリシーを作成して適宜自社ごとの職場環境や事業などを考慮していきましょう。
JNSA情報セキュリティポリシーサンプル改版(1.0版)(https://www.jnsa.org/result/2016/policy/)
対策2. 情報の持ち出しに関するルールを決める
情報の持ち出しは業務上必要になるケースも多く、必ずしも悪とはいい切れません。問題はそれを扱う人であり、慎重さを持って扱うことで、情報漏えい等を減らす努力をする必要があります。また、USBメモリやSDカードといった外部記憶媒体での情報の持ち出しを禁止にすることも一つの方法です。例えば、細かな権限設定が可能なクラウドストレージを導入することで、むやみやたらに外部記憶媒体を持ち出す必要もなくなるでしょう。どうしても持ち出しが必要な場合には、先に作成したセキュリティポリシーに則って情報の持ち出しに関するルールを決めます。そして、情報持ち出し時はメディアを必ず暗号化するなどして対応します。また、個人情報や機密情報が保管されているノートパソコンも情報の持ち出しにあたるので、幅広くルールを決めることが大切です。
対策3. ファイル共有にメール添付を使わない
不適切な添付ファイルをメールで誤送信してしまうケースが非常に多くなっています。そこで、メール添付でのファイル共有を組織的に禁止してしまいましょう。ではどうやってファイルを共有するのか?クラウドストレージを活用します。一部のビジネス向けクラウドストレージでは、誤操作による漏えいをも防ぐガードレール機能といった新進のセキュリティ対策を提供しているサービスもあります。メール添付でのファイル共有をやめてクラウドストレージに移行すれば、それだけで誤送信や誤操作による情報漏えいを大幅に削減できるでしょう。
対策4. メール誤送信防止システムの導入を検討する
メール添付によるファイル共有を禁止したとしても、前述のようにBCCに入れるはずのメールアドレスをToやCCに入れてしまうことはあります。また、メール文内に個人情報や重要情報が含まれているケースもあるため、クラウドサービスとは別の対策も必要です。もちろん規定においてメール文面には重要な個人情報を記述しないことや重要情報はクラウドストレージ経由で共有するなどの施策は有効です。さらにメール誤送信防止システムとセットで対策すると良いでしょう。このようなシステムはAIを搭載し、外部に送信するには不適切と思われるメール文を抽出して送信時の確認や管理者へのアラートを実施します。システム的に情報漏えいを防止する役割もあれば、監視性を強めて社員のセキュリティ意識を高める効果もあります。
[SMART_CONTENT]
対策5. 定期的なセキュリティ教育で社員の意識を高める
最後に、定期的なセキュリティ教育を実施して社員全員のセキュリティ意識を高め、維持させましょう。セキュリティ意識を高めることは、シンプルながら非常に強力な対策となるのです。外部のセキュリティ専門家にコンサルティングや教育を依頼する、または自社独自にセキュリティ教育へ取り組むのもよいでしょう。これを機にコンプライアンス部門を設置して、セキュリティ対策の啓もう活動に取り組む方法もあります。
情報漏えいの原因は実に多く、すべてに対応するのは難しいと思われるかもしれません。しかし、実際に情報漏えいが起きた時の被害は想定以上に大きいため、備えあれば憂いなし、事前の対策が必要です。セキュリティ対策は必ずしもセキュリティ製品の導入だけではありませんが、ここでご紹介した内容や日々新しい方法が出ている各ベンダーの情報も参考にしていただき、適切なセキュリティ対策を実施することが重要です。
