「情報漏洩が起こる仕組みが知りたい!」
「企業が情報漏洩を起こしてしまう原因は何?」
など、企業の情報漏洩について事前に知識をつけておきたい方はいませんか?
企業の情報漏洩とは、簡単に言うと会社内部に留めておくべき情報が、何らかの原因によって外部に漏れてしまうことを言います。
この何らかの原因には、「不正アクセス」「サイバー攻撃」「社員の不注意やミス」が多いとされています。
この記事では、
- 情報漏洩が起こる仕組み
- 企業が情報漏洩を起こしてしまう3つの原因と対策
- 情報漏洩発生時において生じる損害
などを解説していきます。
情報漏洩を起こしてしまうリスクはどの企業も持ち合わせているので、本記事を一読してそのリスクを最小限に抑える努力をしていきましょう。
目次
情報漏洩が起こる仕組み
企業の情報漏洩とは、会社内部に留めておくべき情報が、何らかの原因によって外部に漏れてしまうことを言います。
一般的に多いとされている情報漏洩が起こる仕組みは、以下の図をご覧ください。
攻撃者が不正取得したID・パスワードを使って不正ログインし、機密データや個人情報を抜き取ることで情報漏洩が発生するケースがあります。
このケースはよくあるパターンで、「不正アクセス」や「サイバー攻撃」と言われています。
また、PC・情報媒体の紛失や置忘れ、誤操作や確認漏れなどの社員の不注意やミスにより機密データや個人情報が漏洩してしまうケースもあります。
近年急速に増えているテレワークにより、危機管理能力の低下がこのような社員の不注意やミスを引き起こしています。
不正アクセスやサイバー攻撃には「不正アクセス対策」を行い、社員の不注意やミスを防ぐためには社内でセキュリティ教育を徹底していく必要があるでしょう。
不正アクセス対策については、「2. 企業が情報漏洩を起こしてしまう3つの原因と対策」で詳しく解説しています。
情報漏洩は誰がどのように行っているの?
企業の情報漏洩は主に、
- 機密データや個人情報を抜き取る目的で不正アクセスを試みる攻撃者
- 社員の不注意やミスで思いがけず情報を手に入れた者
などによって行われています。
情報漏洩が起こる仕組みの図をご覧いただければ分かりますが、いずれの場合も不正アクセス対策を万全に行っていたり、社員1人1人が危機管理意識をきちんと持っていれば防げることです。
企業が情報漏洩を起こしてしまうと、
- しばらく通常業務ができなくなる
- 原因究明や対応などで人件費がかかる
- 顧客の個人情報が漏洩していれば損害賠償が発生する
- 情報漏洩を起こした企業としてイメージが悪くなる
などのリスクを背負うことになるので、情報漏洩を起こさないための対策や社員1人1人へのセキュリティ教育を徹底していく必要があるでしょう。
情報漏洩発生時の対応の流れ
企業の情報漏洩発生時は、とにかく初動対応が重要となります。
これ以上被害を拡大および二次被害を招かないためにも、初動対応で専門家を派遣するなどして徹底的に措置・調査を行う必要があるでしょう。
企業の情報漏洩発生時の対応の流れは、以下の図をご覧ください。
| 情報漏洩発生時の対応手順 | 対応内容 |
|---|---|
| ①初動対応・調査 | ・ネットワークの遮断、影響を受けたサービスの停止、情報の隔離など、被害の拡大防止のために必要な措置を講じる ・情報漏洩の原因や影響・被害範囲の調査を行う |
| ②外向き対応 | ・顧客、取引先など第三者に被害が発生する可能性がある場合、情報漏洩の概要や対応方針等を通知・公表する ・個人情報漏洩があった場合は、個人情報保護委員会等への報告および被害者本人へ通知する ・各都道府県警察のサイバー犯罪相談窓口5への連絡など行政機関との連携を行う |
| ③内向き対応(復旧・対策) | ・情報システムが消失・改ざん・損傷した場合には、データやソフトウェアの復旧およびハードウェアの復旧を行う ・再発防止策を策定する |
情報漏洩が発生した時は、まずは被害拡大措置や多方面への報告・対応、復旧作業などを優先していくべきですが、再発防止策を検討することも重要です。
二度とこのような事態を招かないためにも、以下で紹介する原因に対しての対策を事前に行っていきましょう。
なお、企業の個人情報漏洩事件・事例については、こちらの記事で詳しく紹介しているので本記事と併せて参考にしてください。
\不正発覚した時に企業としてどう対応しますか?/
企業が情報漏洩を起こしてしまう3つの原因と対策
ここからは、企業が情報漏洩を起こしてしまう原因とその対策について紹介していきます。
企業が情報漏洩を起こしてしまう原因は3つあります。
- ソフトウェアの脆弱性
- セキュリティに対して社内の意識が低い
- セキュリティシステムを活用していない
それぞれ対策も含めて詳しく解説していきます。
【原因1】ソフトウェアの脆弱性
企業が情報漏洩を起こしてしまう原因で多いのが、ソフトウェアの脆弱性によるものです。
古いバージョンを使用していたり、他にも修正プログラム・必要なプラグインなどの未導入は不正アクセスのリスクが非常に高まります。
対策
ソフトウェアの脆弱性による不正アクセスを防ぐためには、
- 使用している機器やソフトウェアに関する脆弱性情報の収集を行う
- アプリケーションのアップデートを行う
- セキュリティパッチを適用する
などを行っていきましょう。
近年、脆弱性を突いた不正アクセスやサイバー攻撃を仕掛けてくる不正者が増えているので、甚大な被害を発生させないためにも上記の対策を必ず行うようにしましょう。
【原因2】セキュリティに対して社内の意識が低い
セキュリティに対して社内の意識が低い企業では、情報漏洩の原因が社員であることも多いです。
例えば、テレワークの導入によりカフェなどの公共施設で仕事をする場合、
- PCにログインしたまま席を離れる
- 重要書類やデータを置き忘れる・紛失する
- 公共施設のごみ箱にそのまま書類を破棄する
などの軽率な行動により、企業が情報漏洩を起こして甚大な被害が発生するケースもあります。
対策
セキュリティに対して社内の意識が低いことによる対策としては、
- セキュリティに関する社内教育を徹底していく
- 機密データや重要データは社内から持ち出させない
などを行うようにしましょう。
社内で定期的にセキュリティに関しての知識を共有していくことはとても大事です。
また、ID・パスワードなどの重要なコードを紙に書いて持ち歩かせない、定期的に変更させるということも教えていく必要があるでしょう。
【原因3】セキュリティシステムを活用していない
過去に情報漏洩を起こしてしまった企業では、情報漏洩を防ぐ「セキュリティシステム」を活用していないことも原因となっています。
セキュリティシステムを活用・導入しない理由として「自社にサイバー攻撃なんて来ない」「現状のセキュリティ対策で十分だ」などという、セキュリティ対策を楽観視ししている場合です。
特に情報漏洩は、サイバー攻撃による不正アクセスを防ぐには「不正検知サービス」というサービスを活用することをおすすめします。
仮に、自社のソフトウェアの脆弱性を改善し、社内教育を徹底したとしても不正アクセスやサイバー攻撃を完全に防ぐことはできません。
近年の不正アクセスは手口も巧妙化していて、どれだけ自社で出来る限りの対策をしたとしても切り抜けられてしまう恐れがあります。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
対策
対策としては、早急に不正検知サービスを導入して企業の情報漏洩を防いでいくことが大事です。
情報漏洩を未然に防ぎたい企業におすすめな不正ログイン検知サービスは、かっこ株式会社が開発・提供している「O-PLUX」です。
不正検知サービス「O-PLUX」は、あらゆる手口の不正アクセスも高精度な検知によりブロックすることができます。
※参考:Cacco Inc.
「O-PLUX」についてもっと詳しく知りたい方は、以下をクリックしてお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
また、以下の記事では不正アクセスの仕組みについて詳しく解説しているので参考にしてください。
情報漏洩発生時において生じる損害
ここでは、企業が情報漏洩を起こした時に生じる損害について紹介していきます。
以下の図は、企業の個人情報漏洩により想定される損害額です。
上図でも分かるように、中小企業が情報漏洩を起こした場合でも数千万単位、場合によっては数億円単位の損失が発生する恐れがあります。
日常的によくニュースなどで目にする企業の情報漏洩についてですが、その背景にはこれだけ甚大な損失が発生しているということを覚えておきましょう。
また、個人情報の漏えいが起こった際に企業は信用を失い、炎上してしまう可能性もあります。
炎上・風評被害対策に関しては以下のボタンからぜひ資料をダウンロードして参考にしてください。
企業が個人情報漏洩を起こした時の責任はどこにある?
企業が個人情報漏洩を起こした時の責任は、もちろん企業にあります。
個人情報取扱事業者は、個人情報保護法により以下の義務を負っています。
| 個人情報保護法 | 詳細内容 |
|---|---|
| 20条:安全管理措置義務 | 利用目的の達成に必要な範囲内において、個人情報漏洩、消失または毀損の防止、その他の個人情報の安全管理のために必要かつ適切な措置を講じる義務 |
| 21条:従業員に対する監督義務 | 従業者に個人情報を取り扱わせる上で、当該個人情報の安全管理が図られるように当該従業者に対して必要かつ適切な監督を行う義務 |
| 22条:委託先に対する監督義務 | 個人情報の取扱いの全部または一部を外部に委託する場合に、当該個人情報の安全管理が図られるように、受託者に対し必要かつ適切な監督を行う義務 |
もし企業で個人情報漏洩が起こってしまったら、上図の義務に違反したということで「個人情報保護法」により最悪罰せられる可能性もあります。
また、社員や委託先従業員が個人情報を流出させてしまった時は、個人が刑事上の責任を問われる恐れもあるでしょう。
企業に情報漏洩された個人が気を付けるべきこと3つ
もし企業に情報漏洩されてしまった場合、個人が気を付けるべきことは3つあります。
- 怪しいメールが届いても開かない(フィッシング詐欺の可能性大)
- クレジットカードが不正利用されていないか明細を定期的にチェックする
- 情報漏洩発生源で登録しているアカウントを変更する(乗っ取られる恐れがある)
などに気を付ける必要があるでしょう。
特に、クレジットカード情報まで漏洩してしまっている場合は、カードの不正利用被害が発生する恐れがあります。
カードの不正利用は常日頃被害が発生してしまう恐れがあるので、明細を定期的にチェックする癖をつけるようにしておきましょう。
企業に個人情報を漏洩されてしまった時のリスクや対処法については、以下の記事でも詳しく解説しているので参考にしてください。
まとめ
この記事では、企業で情報漏洩が起こる仕組みや原因、その対策などを紹介してきました。
企業が情報漏洩を起こしてしまう原因はいくつかありますが、主に、
- ソフトウェアの脆弱性
- セキュリティに対して社内の意識が低い
- 不正ログイン検知サービスなどを導入していない
などがあります。
つまり、これらの原因を作らないためにもソフトウェアの脆弱性の改善やセキュリティに関する社内教育は徹底していく必要があるでしょう。
しかし、ソフトウェアの脆弱性の改善や社内教育を徹底したとしても、それだけではセキュリティ対策は万全だと言い切れません。
なぜならば、近年不正アクセスの手口が巧妙化していて、どれだけ自社で対策を行ったとしてもそこをすり抜けられてしまうことがあるからです。
そこで注目されているのが、不正アクセスを未然に検知してブロックすることができる「不正検知サービス」です。
今回紹介した、かっこ株式会社の不正検知サービス「O-PLUX」は高精度な検知によりあらゆる不正アクセス手口をブロックすることが可能です。
「情報漏洩を起こさないか不安」
「最近不正アクセスの被害に遭ってしまった」
などのお悩みを持つ企業様は、ぜひ弊社かっこ株式会社までお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
