情報漏洩とは、顧客情報やイベントの企画情報などが外部に漏れることです。企業だけでなく、公的機関などでも発生して問題になっています。 情報漏洩には十分注意しているはずの大手企業でさえ防ぎきれないのは、いったい何が原因なのでしょうか？

内部からの情報漏洩

内部からの情報漏洩が、情報漏洩全体の約8割を占めているといいます。誤操作・管理ミス・紛失や置き忘れの3パターンが主な要因です。 誤操作の例としては、メールが挙げられます。宛先の入力ミスで、個人情報やサービスの内容を関係のないところに送ってしまうケースが考えられるでしょう。 管理ミスは、データの消去がしきれずに漏れてしまった場合や、社員が情報の入ったPCを持ち帰り、そこから情報が漏れてしまう場合などです。紛失や置き忘れによる情報漏洩も多発しています。

外部攻撃による情報漏洩

外部による不正アクセスやマルウェアによる情報漏洩も後を絶ちません。メールやWebサイトにウイルスが仕込まれていることもあり、感染したPCが知らない間に情報を流出してしまった事例もあるのです。 ウイルスは日々進化していて、セキュリティソフトはそれに対応する形の、病気とワクチンの関係に似ています。 セキュリティを万全にしていても、それをかいくぐるウイルスが日々誕生しているのです。そうかといって、何もしなければセキュリティレベルはどんどん低下していくでしょう。

それでは、情報漏洩には実際どのような事例があるのかを、原因別に見ていきましょう。

人為的ミスによる事例

人為ミスの事例は、次のようなものがあります。2014年に、ある電気通信会社でおよそ1300名分の顧客情報漏洩がありました。原因は、顧客情報を取り扱っていた社員がPCを紛失したことによるものだそうです。 会社は被害者に個別に連絡し説明するという事後対応に追われ、企業は情報体制の強化を約束しました。 また、別の事例としては、2013年に生命保険会社が顧客約6万人の情報が紛失したことを公表しています。これは、社内で誤って破棄したことが原因だとしていますが、情報管理の甘さが浮き彫りになった形となりました。

故意による事例

内部の人間によって、人為的に引き起こされる情報漏洩の事例もあります。 2014年に、教育関連企業で、派遣社員がデータベースをコピーして、2000万件以上の個人情報を漏洩させる事例が発生しました。お詫びの品や受講費の減額で、200億円以上かかったとの話もあります。 2017年には、ある機関の職員が個人情報を盗み出した事件もありました。このように、故意に情報を流出させた例もあるのです。

外部攻撃による事例

外部から攻撃を受けた例も見ていきましょう。2011年、ある電機メーカーで、ネットサービスの脆弱性をついた不正アクセスにより、8000万件近くの顧客情報が流出しました。 この事件は、事件発生から情報公開までが遅かったことに批判の声もあがっています。

これまで解説してきたような情報漏洩が起こさないために、企業としてどのような対策をとっていくべきでしょうか？その手段や方針を解説します。

パスワード管理など社内ルールの制定

情報漏洩を発生させないために、まずすべきことは、社内におけるルールの制定です。 独立行政法人情報処理推進機構セキュリティセンター（IPA）が打ち出しているセキュリティ対策の指針があり、それを参考にルール作りをすべきとしています。 許可のない情報の持ち出しや閲覧できる状態でのPC放置の禁止、消去する際の方法も個人に任せるのではなくマニュアルを制定して行いましょう。不要なUSBやHDDの持ち込みも禁止し、端末には必ず鍵をかけるように指導します。 そして、何かあった場合には、すぐに会社に報告させ、対応を迅速化させることもルールに盛り込みましょう。

従業員の意識の向上

セキュリティに関する規則の設置だけでなく、それを守る従業員の意識向上も大切なポイントです。 昨今は、誰でもインターネットに接続できる機器を持っていることもあり、従業員の端末からも会社のデータベースへアクセスするのが容易になっています。 人為ミスのうち、何割かは従業員の意識の低さが原因のようです。会社で使うデバイスで怪しいメールやWebサイトを開かないようにする、情報の完全な破棄を徹底させるだけでも、情報漏洩はかなり防止できます。

情報漏洩の多くは人為ミスによるもので、その多くは、情報管理の甘さや担当者のセキュリティに対する意識の低さから発生するものです。適切な社員教育や規則の策定によって、セキュリティ意識の向上に努めましょう。 外部からの脅威に対しては、セキュリティソフトの導入などをして備えていくことが重要です。