情報漏洩とは、何らかの原因で企業や個人が保有している情報が外部に漏れてしまうことです。
社用スマートフォンから情報漏洩してしまうと、企業が損害を被るだけでなく顧客や取引先からの信頼を失いかねません。
そこで本記事では、スマートフォンからの情報漏洩に関する下記の内容をまとめました。
- 会社用のスマートフォンから情報漏洩した際のリスク
- スマートフォン情報漏洩の原因と対策
- スマートフォン情報漏洩の事例
なお、当サイトでは情報漏洩後に起こりうる不正行為への対策について、機能や仕組みを解説した資料を無料で配布しています。ぜひ、チェックしてみてください。
\不正発覚した時に企業としてどう対応しますか?/
目次
会社用スマホから情報漏洩した際の3つのリスク
テレワークの普及とともに、会社用スマートフォンを支給するようになった企業も少なくありません。
本章では、社用スマートフォンから情報漏洩してしまった場合の次の3つのリスクをお伝えします。
- 不正アクセスの被害にあう
- 損害賠償や刑事罰を受ける
- 社会的信用を失う
情報漏洩やウイルス感染のリスクは、PCだけでなくスマートフォンにも存在します。リスクに対する意識を高め、情報漏洩の防止に努めましょう。
\不正発覚した時に企業としてどう対応しますか?/
【リスク1】不正アクセスの被害にあう
機密情報や個人情報が漏洩すると、なりすましや第三者に悪用されるリスクが高まります。
下記の表は、情報を悪用される場合の具体例です。
【情報を悪用される具体例】
- 機密情報が漏洩し、自社のノウハウが競合会社に流れる
- 顧客情報が漏洩し、顧客に迷惑メールやDMが送信される
- ID・パスワードが漏洩し、Webサービスのアカウントが乗っ取られる
- 銀行口座やクレジットカード、氏名、住所などの情報を抜き取られ不正利用される
このように、情報漏洩によって企業が被害を受けるだけでなく、顧客や取引先にも被害が及ぶおそれがあります。
また、近年の不正アクセスの手口は巧妙化しており、数千件規模の被害が報告されています。
下記のデータは、総務省が公表した「 不正アクセスを受けた特定電子計算機のアクセス管理者別の内訳」です。
※引用:総務省
不正アクセスの被害は一般企業が最も多く、悪用者に狙われていることが分かります。企業は、情報管理を徹底するとともに、予期せぬ事態に備えて高度な対策を講じる必要があります。
なお、詳細な対策は「スマホからの情報漏洩には専門的な対策が必要」をご覧ください。
【リスク2】損害賠償や刑事罰を受ける
企業の情報が漏洩すると、慰謝料や損害賠償など金銭的な損害を負うリスクもあります。下記に、具体的な例をまとめました。
【金銭的損害の具体例】
- 被害者への慰謝料や損害賠償の支払い
- 原因を調査するための費用や謝罪広告の料金などの支払い
上記のような損害賠償の支払い業務は通常業務を圧迫し、賠償金の支払いによって経営が悪化するおそれがあります。
さらに、国から個人情報の扱いに問題があると指摘されたにもかかわらず、すみやかに対処していなかった場合、刑事罰を受けることもあります。
このように、企業へのダメージは大きく、企業存続の危機にもなりかねないため、情報漏洩を防ぐ最大限の措置が必要です。
なお、個人情報が漏洩した場合の罰則規定については下記の記事をご覧ください。
【リスク3】社会的信用を失う
一度、情報漏洩が起こると、社会的信用を失ってしまいます。
顧客や取引先からは「この企業に情報を預けるのは不安」と思われると、次のようなことが起こります。
【信頼を失った場合に起こる具体例】
- 顧客離れで売上が低下する
- 取引の停止や条件の見直しをされる
- 株価が低下する
情報漏洩は、情報が悪用されるだけでなく、金銭的損害や信頼の低下など、経営の根幹にも大きな影響を及ぼします。
特に、失った信頼を回復するのは容易なことではないため、情報の取り扱いについては十分な対策が必要です。
\不正発覚した時に企業としてどう対応しますか?/
なお、下記の記事では、企業が情報漏洩を起こした後の安全性についてまとめています。
また、情報漏洩を起こしたことを世間に広く知られると、炎上につながる可能性があります。
炎上・風評被害対策についての資料は以下のボタンからダウンロードして参考にしてください。
スマホ情報漏洩の事例
引用:尼崎市
本章では、スマートフォンから情報が漏洩した事例を紹介します。
尼崎市は、2022年12月13日に市の職員が、公用スマートフォンを紛失したと発表しました。
紛失の経緯は、兵庫県尼崎市の職員が、職場の上司や同僚と飲食後、帰宅途中に財布・携帯・公用スマートフォンを紛失してしまったということです。
| スマートフォン内に保存されていたもの |
|
|---|---|
| 対応 |
|
| 再発防止 |
|
紛失した公用スマートフォンにはセキュリティロックがされており、パスワードを入力しなければ閲覧できない状態でしたが、登録していた市民に説明と謝罪がおこなわれました。
さらにこの職員は、事実を隠そうとして紛失した日を偽って上司に報告していたため、尼崎市は記者会見で異なる情報を報告してしまいました。尼崎市は、事実を偽って市政全体への信用を著しく損なったとして、職員を減給処分にしています。
紛失した事実を隠そうとすると自体はさらに悪化するため、もしスマートフォンを失くしてしまった場合は、すぐに報告しましょう。
また、セキュリティロックをかけておらず、情報漏洩のおそれがある場合は上司やセキュリティ担当者へ報告し、指示を仰ぐことが大切です。
\不正発覚した時に企業としてどう対応しますか?/
なお、個人情報漏洩事件や被害について事例を知りたい方は、次の記事をご覧ください。
スマホから情報漏洩する5つの原因と対策
ここからは、スマートフォンから情報漏洩が起こる原因と対策について紹介します。
主な原因と対策は、次の表にまとめました。
| NO. | 原因 | 対策の例 |
|---|---|---|
| 1 | スマートフォンの置き忘れや紛失による盗難・覗き見などによるもの |
|
| 2 | メールの誤送信によるもの |
|
| 3 | シャドーITや不正アプリによるもの |
|
| 4 | 内部不正によるもの |
|
| 5 | サイバー攻撃によるもの |
|
情報漏洩を回避するためにも、原因と対策を知っておきましょう。
【原因1】スマホの置き忘れや紛失による盗難・覗き見などによるもの
スマートフォンは、外部に持ち出すことも多いため、置き忘れや紛失によって盗難されるおそれがあります。盗難された場合、スマートフォン内の情報が不正に閲覧され、情報を盗まれてしまいかねません。
また、公共交通機関などで会社のデータを閲覧すると、第三者に覗き見られるリスクもあります。
【対策】
- 公共の場所やカフェなど、社外で企業データを閲覧しない
- 情報やセキュリティの取り扱いについて社内教育をおこなう
- 万が一、紛失や盗難にあった場合に、遠隔操作でロックをかけたりデータを削除できたりする仕組み作りをしておく
外部でインターネットを利用して情報を閲覧する場合、フリーWi-Fiを利用する際は警戒が必要です。
フリーWi-Fiの中には、通常のデータ通信と比べるとセキュリティ面が弱いこともあり、通信内容を見られたり改ざんされたりするおそれがあります。
フリーWi-Fiの危険性について詳しく知りたい方は、次の記事をご覧ください。
【原因2】メールの誤送信によるもの
メールは、メッセージやデータの授受が簡単にできるため便利な機能ですが、送り先を間違えてしまうと情報漏洩につながる危険性があります。
【対策】
- 送る前に念入りにチェックする
- 送り先は間違えていないか
- CC・BCC設定は適切か
- 添付ファイルにはパスワード設定されているかなどを確認する
- メールサービスの誤送信を防止する機能を利用する
特に、スマートフォンのメールは画面が小さいため、誤ってタップしてしまいメールを送信してしまうことがあります。
そのため、送信前に内容を確認し、ミスをしないようにすることが大切です。
また、一部のメールサービスでは、誤送信の防止機能があるものもあり、メールの送信保留や取り消しができます。誤送信への対策を手厚くしたい場合は、このようなメールサービスの導入がおすすめです。
【原因3】シャドーITや不正アプリによるもの
シャドーITとは、「企業が使用許可していない」または「従業員が利用していることを企業側が把握できていない」デバイスや外部サービスのことです。
企業側が把握できていないサービスを利用すると、管理が行き届かず、情報が漏洩するおそれがあります。
【対策】
- 社内使用が認められていないアプリやWebサービスをインストールしない
- 個人用と業務用のスマートフォンを使い分ける
スマートフォンは、通話やチャット、カメラ機能などさまざまなアプリが利用できますが、アプリの中には「不正アプリ」(※)が存在します。
※端末内の個人情報を盗んだり、カメラを起動させて盗撮するアプリのこと
誤って「不正アプリ」をインストールしてしまうと、盗聴や情報漏洩の危険性が高まるため、社用スマートフォンにはアプリを安易にインストールしないようにしましょう。
【原因4】内部不正によるもの
内部不正が原因で情報漏洩が起こることもあります。内部不正とは、一般的に企業内部の者が企業の重要情報を外部に持ち出すことを指します。
IPAが発表した「情報セキュリティ10大脅威 2023」において、「内部不正による情報漏洩」は組織部門の4位にランクインしており、内部不正の脅威は無視できません。
※参考:情報処理推進機構(IPA)
【対策】
- 「内部不正防止ガイドライン」を参考に内部不正されないための環境づくりをする
- 重要情報へのアクセス権限を制限する
- 専門的なサービスを導入する(不正アクセス検知サービスなど)
そこで、独立行政法人情報処理推進機構は「組織における内部不正防止ガイドライン」を発表しました。内部不正防止の基本原則として、下記の5つを制定しています。
- 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
- 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
- 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
- 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
- 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
※引用:独立行政法人 情報処理推進機構
より詳しい内部不正への対策は、次の記事で詳しく説明していますので、ぜひご覧ください。
【原因5】サイバー攻撃によるもの
サイバー攻撃が原因で、情報漏洩する場合があります。サイバー攻撃の代表的な種類は次のとおりです。
- マルウェア
- フィッシング
- ランサムウェア
- ボット
- リスト型攻撃
- ブルートフォース攻撃
- ソーシャルエンジニアリング
近年、サイバー攻撃の一つであるフィッシング詐欺が増えており、手口も巧妙化しています。フィッシング詐欺とは、有名な企業などを装ってメールを送り、偽サイトに誘い込んで情報を抜き取る手法のことです。
下記のグラフは、フィッシング対策協議会が発表した「フィッシング報告件数」です。
引用:フィッシング対策協議会
2024年11月は178,593件の被害が報告され、被害は年々増加しています。そのため、フィッシング詐欺の特徴を捉えて対策することが大切です。
対策の一例として、下記のようなものがあげられます。
【対策】
- フィッシング攻撃のパターンを知って予防する
- 送られてきたメールアドレスやサイトのURLが正規のものか確かめる
- 迷惑メールにフィルタリング(迷惑メールに登録する)をかける
増え続けるフィッシング詐欺については、しっかり対策しておかなければなりません。より詳しい対策を次の記事にまとめていますので、ぜひご覧ください。
なお、サイバー攻撃の種類や対策については、下記の記事をご覧ください。
【従業員・企業別】スマホから情報漏洩をさせないための対策
本章では、情報を漏洩させないための対策を従業員と企業別にわけて解説します。
\不正発覚した時に企業としてどう対応しますか?/
前章では、スマートフォンから情報漏洩する原因への対策をお伝えしましたが、企業内で情報漏洩を防ぐためには、普段から次のような対策が必要です。
| 従業員 |
|---|
|
次に企業でおこなう対策です。
| 企業 |
|---|
|
これらの対策を従業員と企業で実施すると、情報漏洩のリスクを最小限に抑えることができます。
なお、企業が取るべき具体的な情報漏洩対策については、下記の記事をご覧ください。
スマホからの情報漏洩には専門的な対策が必要
万が一、スマートフォンから企業や顧客の情報が漏洩してしまうと、社会的な信用を失墜するなど、さまざまな損害を被るおそれがあります。
悪用者は、隙を見つけて情報を盗み取ろうとしてくるため、従業員と企業の双方で対策が必要です。
ただし、近年は巧妙な手口も増えており、情報漏洩のリスクが高まっています。どれだけ注意していても情報漏洩のリスクはあるため、基本的な対策をおこなうだけでなく、専門的な対策やセキュリティ強化をしておくと安心です。
なお、当サイトでは、Webセキュリティ入門として不正を防ぐための手段を1冊の資料にまとめました。漫画形式で理解しやすく、社員教育の際の資料としても利用できるため、ぜひチェックしてみてください。
会社用スマホから情報漏洩してしまった際の対応手順
最後に、社用スマートフォンから情報漏洩してしまった場合の対応手順を紹介します。
【情報漏洩してしまった際の手順】
- 上司、担当者に報告する
- 情報漏洩の被害者状況を確認する
- 初動対応する
- 情報漏洩したことを謝罪・届出・通知する
- 再発防止を実施する
※引用:経済産業省
情報漏洩の疑いがある場合、被害を最小限にするためにも、すみやかに上司や担当者に報告することが重要です。報告後は、どの情報がどのように漏洩したのかなどを把握し、被害の拡大防止など適切な初動対応をとりましょう。
初動対応で重要なのは、状況を正確に把握することです。
- いつ
- 誰が
- 何を
- どのように
を念頭におきながら、確認しましょう。
スムーズに対応できるように日頃からマニュアル作成をしておき、万が一の事態に備えて準備しておくことが大切です。
事態が落ち着いたら、今後同じことを繰り返さないためにも再発防止策の実践を忘れてはいけません。
再発防止策においては、下記のような部分を検討します。
- 物理面
- 技術面
- 管理面
- 教育面
最新のセキュリティソフトの導入や、情報を取り扱う際のルールを再検討するなど、総合的に判断しましょう。
なお、当サイトでは、いざというときに役立つ「不正アクセス被害後の対応手順マニュアル」を無料で配布しています。万が一のときに備えて「手元に置いておきたい」とお考えの方は、下記のバナーからダウンロードしてお役立てください。
\不正発覚した時に企業としてどう対応しますか?/
まとめ:スマホから情報漏洩しないためには事前の対策が重要
本記事では、スマートフォンからの情報漏洩に関するリスクや原因、対策などについてお伝えしました。
情報漏洩が起こると、下記のような被害にあうリスクが高まります。
【情報を悪用される具体例】
- 機密情報が漏洩し、自社のノウハウが競合会社に流れる
- 顧客情報が漏洩し、顧客に迷惑メールやDMが送信される
- ID・パスワードが漏洩し、Webサービスのアカウントが乗っ取られる
- 銀行口座やクレジットカード、氏名、住所などの情報を抜き取られ不正利用される
情報漏洩を防ぐ対策が重要である一方で、不正アクセスの被害が増加していることを踏まえると、情報が漏洩してしまった場合の対応策も必要です。
たとえば、かっこ株式会社の『O-PLUX』は、特許を取得した独自の端末特定技術と特許取得の独自技術により、不正アクセスをリアルタイムに検知できます。
※参考:Cacco Inc.
不正アクセスやログインが疑われる場合に管理者にメールが通知されるため、瞬時に不正を把握し、被害を最小限に抑えることも可能です。
増え続ける不正アクセスから自社の重要な情報を守るためにも、より高度な対策が必要です。
なお、当サイトでは『O-PLUX』の詳しい資料を無料で配布していますので、下記のバナーをクリックのうえ、ご覧ください。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
