機密情報/個人情報を漏洩させてしまう事故の原因とセキュリティ対策

1. 情報漏洩が企業経営にもたらすリスク

企業が情報を漏洩してしまった場合、どのようなリスクが生じるのでしょうか？まずは、情報漏洩が企業にもたらすリスクについて見ていきましょう。

損害賠償の恐れがある

企業が消費者の情報を取り扱う場合、個人情報保護法を順守しなければいけません。もし、これを守らずに違反行為や漏洩が発覚した場合、個人情報保護委員会が対象となる団体に調査に入ります。そして、事態の重さに応じて「指導」「勧告」処分を行います。

たとえば情報漏洩が小規模で、事態がそれほど重くない場合は、指導処分として漏洩した事実を一般に公表しません。しかし、重大な問題があると判断された際は、指導処分でも公表となることがあります。

また、故意による法律違反など事実が重いと判断された場合、是正勧告処分を受けます。勧告処分を受けた場合は、世間への公表はもちろんのこと、税制勧告書に記載された改善を期日までに行わなければいけません。もし是正勧告に従わない場合は、事業主などに「6カ月以下の懲役または30万円以下の罰金」が科されます。
（引用元：https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/）

さらに刑事罰のみならず、民事においても損害賠償責任が発生します。損害賠償は被害者1名ずつに支払わなければならず、総額は数千万円以上になることもあります。企業規模によっては、損害賠償がきっかけとなり事業活動の停止にまで追い込まれかねません。

個人情報保護法は、大企業のみならず中小企業から小さなサークルまで、すべての事業者が守らなければいけないものです。小規模な団体が上記のような問題を起こしてしまうと、取り返しのつかない事態に発展することもあるため、機密情報は厳密に取り扱わなければなりません。

社会的信用度の低下

企業による情報漏洩は、損害賠償だけでなくブランドイメージや社会的信用の失墜をも招きます。実際、2014年に通信教育の某大手企業による顧客情報の流出が発覚した際、同社は多額の損害賠償と企業の信用低下によって、事業活動が一時困難に陥りました。

その企業では、顧客情報の管理をグループ企業に委託していました。グループ企業が管理するため、安全性が担保されていると判断していたのです。しかし、管理を任されていたグループ企業は、顧客情報の管理システムをさらに別の業者に委託していました。

この第三の企業は、管理に対するセキュリティが甘く、社員の手により簡単に情報を抜き出されてしまったのです。この社員は約20回にわたり情報を盗み出し、その数は重複されたものも含めると約2億300万件にも上りました。これにより約136億円もの損害賠償が発生し、事件発生の責任から副会長と最高情報責任者が引責辞任する結果となりました。

これだけでもとても大きな損害といえますが、被害はさらに広がります。事件のあった年は大きく顧客が減少し、同年の連結決算では最終損益107億円の赤字となりました。前年比で会員数が26％も減少したためです。さらに2年後の連結決算でも82億円の赤字となり、その責任から会長兼社長までも引責辞任を発表しました。

このように、社会的信用は一度低下してしまうと回復することが難しく、企業経営を続けていく以上、その影響は長く付きまといます。場合によっては企業が倒産してしまう可能性もあるため、企業にとって情報漏洩がいかに致命的なものかがよくわかります。

2. 機密情報漏洩が起きる原因とは

情報漏洩は、企業が意図していない部分で起こることが多々あります。対策を行うためにも、漏洩が起きる原因を知っておかなければいけません。

外部からの攻撃

デジタル技術は日々進化しており、それに伴ってインターネットを使用したサイバー攻撃は増加しています。企業情報などを狙うクラッカーは、ソフトウェアや企業ポリシーの脆弱性を突くために、攻撃の糸口を常に探しているのです。

たとえばコンピューターウイルスは、企業が使用しているPCのセキュリティホールから感染します。更新を忘れたセキュリティソフトや昔のOSなど、古いシステムはセキュリティホールの温床です。こうしたレガシーシステムを使用している企業は、ウイルスに感染する恐れがあるため、なるべく新しいシステムに刷新したほうがよいといえます。

もしコンピューターウイルスに感染した場合は、気づかないうちに企業情報が盗み取られたり、周りのPCに感染が広がったりして、大きな損害が発生します。盗まれた企業情報は悪意のある第三者に使用されたり、場合によっては不正アクセスやなりすましなど、第二の攻撃手段に利用されたりすることもあるのです。

また近年では、スマートフォンが不正アクセスや盗聴のターゲットにされることもあります。たとえば公衆の無線LANなどは、不正アクセスに利用されることもあるので注意しなければいけません。

ヒューマンエラー

企業がセキュリティ対策を万全にしても、情報漏洩が起こる可能性はあります。それが、ヒューマンエラーによる情報漏洩です。「ヒューマンエラー」とは人為的な誤りのことを指しますが、これは従業員のうっかりしたミスによって引き起こされます。

たとえば、社内に送るはずのメールを取引先に送ってしまったり、機密情報の入ったPCを紛失してしまったりなど、要因はさまざまです。特に誤送信は、ヒューマンエラーの中でも一番起こりやすいミスといえます。一度誤ったメールを送ると、相手側に情報が残ってしまうので、送信者側からは対処が難しくなります。そのため、そもそも誤送信が起こらないようなシステムやルール作りが必要です。

また、社員同士の何気ない会話の中にも、情報漏洩のリスクは潜んでいます。本人たちにその気がなくても、悪意を持った第三者がその話を盗み聞いていた場合、犯罪に悪用されることもあるのです。そのため、社員一人ひとりに「大事な情報を扱っている」という認識を持たせることも大切です。

デバイスの紛失や置き忘れ

近年では、軽量化されたPCやスマートフォン、タブレットなど、重要な情報を企業外に持ち出す状況が増えています。実際、テレワークなどにより外出先で業務を行ったことがある方も多いのではないでしょうか。

一方で、デバイスの持ち出しが増えたことにより、デバイスの紛失・盗難・置き忘れも増加しています。作業に使用するデバイスには機密情報が詰まっており、第三者に見られてしまうと情報漏洩につながる可能性があります。

特に会食などのお酒が入る場では、紛失や置き忘れが多くなりがちです。お酒が入ると気が緩んでしまい、帰りの乗り物の中や飲食店で紛失してしまうことがよくあるのです。そうした事情から、業務用デバイスはなるべくお酒の場に持ち込まないほうが無難といえます。

管理ミス

NPO日本ネットワークセキュリティ協会では、情報を漏洩した場合に、その原因を区分けし管理しています。たとえば先述のメールの送信ミスは、「誤送信」に分類されます。

他方で、漏洩の原因が組織の管理不手際にある場合は、「管理ミス」に分類されます。「事務所の移転後に顧客情報を紛失してしまった」「公開すべきでない情報を意図的に第三者に開示してしまった」などのケースがこれに該当します。こうした状況は、情報管理に対して企業がルールを設けていなかったり、作業手順をしっかりと作成していなかったりした際に起こります。そのため、個人情報の取り扱いに関して厳格なルールを設け、適切に管理することが重要です。

また業務委託する場合も、委託先の業務内容を適切に把握しておかなければいけません。先述の事例は、関連企業が第三の企業に業務を委託したことで起こった事故ともいえます。情報を管理する企業は、意図していない企業にまで情報が渡らないように、管理を徹底しなければいけません。

3. 機密情報漏洩を防ぐためにできるセキュリティ対策

情報漏洩はさまざまな要因によって起こるため、しっかりとした対策を立てるには、あらゆる角度からインシデントや攻撃を防がなければいけません。いろいろな対策を講じることで、情報漏洩リスクの軽減が可能となります。

ゼロトラストセキュリティを基本としたセキュリティ施策の立案

従来では、企業外ネットワークからの攻撃を遮断するために、企業内ネットワークとの境界線にセキュリティシステムを構築してきました。これにより外部からの攻撃を遮断し、内部にある情報を守ってきたのです。

このようなセキュリティ向上の手法を「ペリメタセキュリティ」といい、今なお多くの企業が取り入れています。しかし近年では、クラウドサービスの台頭により、機密情報をベンダーが握ることが増えました。またテレワークが増えてきたことにより、セキュリティの境界線が曖昧になってきています。

こうした背景から、近年では「ゼロトラストセキュリティ」という手法が再注目されています。ゼロトラストセキュリティとは、すべてのアクセスに対して例外なくアクセス検証を行うことで、セキュリティを担保する手段です。たとえば、外部からのアクセスに対して「許可された端末であるか」「許可されているユーザーか」「ユーザーに怪しい挙動はないか」など、信用できないアクセスという前提のもとにセキュリティシステムを構築します。

信用のもとに成り立っているシステムでは、どこかに欠陥が生じてしまう可能性が否めません。その点ゼロトラストセキュリティでは、すべてのアクセスを危険因子とみなしてセキュリティの穴を徹底的にふさぐため、テレワークやクラウドへの移行が進む状況では有効に機能します。

内部不正対策

内部不正は、動機・正当化・機会の3つの要因が重なったときに発生しやすいといわれています。たとえば、過度なサービス残業や人間関係の不調和などがあると、従業員に大きなストレスがかかります。これが解消されないと、場合によっては不正を行うための「動機」につながってしまいます。

もっとも、動機があっても行動に移す「機会」がなければ、不正はできません。また「機会」があったとしても、「不正をしてはいけない」「不正がばれてしまうと大変なことになる」という倫理観が働くため、実際に行動に移すケースは稀です。

しかし裏を返せば、会社に対する不満という「動機」、自分が不正を働くのは会社が悪いという「正当化」、いつでも盗み出せる環境という「機会」の3つが揃ってしまうと、情報漏洩は起こり得るということです。これら3つの要因をいかにして減らすかが、内部不正をなくすうえで重要となります。

マルウェア対策

「マルウェア」とは、コンピューターウイルスなどの不正なソフトウェアの総称です。PCに感染することでIDやパスワード、個人情報などの重要な情報を盗み出したり、システムを使用できなくしたりします。

マルウェアの主な感染経路は、メール・Webサイト・USBメモリー・ソフトウェア・アプリなどです。これらの場所から感染が起きないように、さまざまな対策を講じる必要があります。

セキュリティソフトの自社導入に加え、「信頼できないWebサイトやソフトウェアは利用しない」「社外との機密情報のやりとりにはメール添付を使わない」「USBメモリーの使用には注意する」などの対策も有効です。

従業員のセキュリティ意識の向上

ヒューマンエラーは、従業員に悪意がなくても起きてしまう問題です。従業員によるインシデントを避けるためには、セキュリティポリシーの周知や教育が必須となります。しっかりとした目的を設定し、適切なタイミングで教育を行うことが重要です。

教育方法には、「ネットを使用したeラーニング」「外部セミナーの活用」「社内研修」「DVDの配布」といった方法があります。それぞれメリットとデメリットがあるので、各々の企業に合った教育方法を取り入れましょう。

また教育後は、従業員一人ひとりがセキュリティ意識を正しく持っているか、測定することも大切です。「インシデントのデータ集計」「聴き取り」「テスト」などによって、どのくらい効果があったのかを計測しましょう。そして教育実施後、それらのエビデンスを残すことで、後々の教育のために活用できます。

4. 安全性・安定性の高いシステム構成のBizストレージ ファイルシェア

「Bizストレージ ファイルシェア」は、企業の重要なファイルを安全に送受信するためのサービスです。大事な情報の漏洩を防ぐために、「上長承認」「不正アクセスの検知・遮断」「IPアドレスによるログイン制限」「通信の暗号化・ファイルの暗号化保存」「ウイルスチェック」などさまざまな機能を備えています。

たとえばヒューマンエラーによる誤送信を防ぐには、上長承認機能が有効です。ファイルを送信すると一度保留し、企業内の上長などに承認を仰ぐので、2段階の確認ができます。

また外部からの攻撃は、Firewall・Web Application Firewall（WAF）で不正アクセスの検知と遮断を、EDRで振る舞い検知を行ない、防ぎます。IPアドレスによるログイン制限も可能なので、第三者による不正ログインの心配もありません。機密情報を高いセキュリティで送受信できるのです。

企業にとって、機密情報は絶対に漏洩させてはならないものです。一度信用を失った企業が立ち直るのは、容易なことではありません。ぜひ安全性の高いオンラインストレージの導入をご検討ください。
・Bizストレージ ファイルシェアについての資料ダウンロードはこちら「資料ダウンロード」にアクセスください。
・無料トライアルをご希望の方はこちら「無料トライアル申し込みページ」からお申し込みください。