「情報漏洩って具体的にはどんなこと?」
「情報漏洩はなぜ起こってしまうの?」
という疑問をお持ちの方いらっしゃいませんか?
情報漏洩が起こってしまうと、企業の信頼を失うだけでなく顧客の二次被害にもつながるので対策しておかなければいけません。
そのために以下の内容をこの記事で解説します。
- そもそも情報漏洩とは?
- 情報漏洩はなぜ起こるのか
- 情報漏洩のリスクと対策方法
記事の後半では情報漏洩を防ぐ対策についても詳細に解説しているので、是非最後まで読んでください。
\情報漏洩発生!万が一のとき、どうすればいいの?/
不正アクセス被害後の対応手順マニュアル
▲無料ダウンロード資料
目次
情報漏洩とは
情報漏洩とは、企業活動において内部に留めておくべき個人情報や機密情報などのデータが外部に漏れてしまうことを指します。
デジタル社会の発達とともに社内の重要データはパソコンやクラウド上で保管されていますが、管理体制が不十分であると情報漏洩が起こりかねません。
ただし、情報漏洩にも種類があり各情報ごとに守り方があります。
まずは情報の種類を理解しましょう。
漏洩してはいけない情報の種類
企業が漏洩してはいけない情報は大きく3つあります。
- 機密情報
- 個人情報
- 顧客情報
それぞれ解説していきます。
機密情報
機密情報とは、企業秘密ともいわれ企業が外部に漏らしたくない情報全てを指します。
主な機密情報をまとめると以下の通りです。
| 機密情報の種類 | 例 |
| 経営情報 | 事業計画・M&A・在庫情報など |
| 財務、経理情報 | 予算・売り上げ情報・融資申し込み情報など |
| 研究開発、技術情報 | 設計図・技術ノウハウなど |
| 人事情報 | 給与・異動の情報など |
| マーケティング情報 | 販売履歴・販売促進情報など |
企業によっては、PCの扱いを会社の外でも許可をしている場合があります。
社員のPCから機密情報が漏れることは多くあることなので注意しなければいけません。
個人情報
個人情報とは、一般的には【氏名、性別、生年月日】などの個人を特定できるものです。
これに加えて企業が守るべき個人情報は以下の通りです。
- 個人の身体のデータ
- 個人の親族データ
- 個人に振り分けられる公的な番号(マイナンバーカード・運転免許証番号など) etc.
これらの他にも、企業ごとに守るべき個人情報があるでしょう。
自社では何が個人情報なのかを整理しておきましょう。
顧客情報
顧客情報とは単にお客様の氏名や情報、住所といったものだけでなく、家族構成や年収、顧客とのコンタクトや、問い合わせの履歴など顧客に関する様々な情報を指します。
ECサイトを運営していれば、クレジットカード情報や携帯番号なども顧客情報です。
情報漏洩になる原因
それでは、なぜ情報漏洩が起こってしまうのか?その原因は以下のようなものがあります。
- ”過失”による情報漏洩
- ”故意”による情報漏洩
- サイバー攻撃(不正アクセス)による情報漏洩
それぞれ解説していきます。
”過失”による情報漏洩
情報漏洩で一番よく起こるのが従業員の過失によるものです。
例えば、書類やPC、USBメモリなどが入ったカバンを電車の網棚の上、飲食店などに置き忘れることによって情報漏洩につながるケースが多いです。
過失・不本意な情報漏洩は事前に防ぐことができます。従業員のPCなどの扱いには、研修を行うなどで対策をしておきましょう。
”故意”による情報漏洩
従業員の故意による情報漏洩もあります。
なぜ、故意に情報を持ち出すのかですが、退職者などの持ち出しによるものが多く、 退職者が自社と競合する事業を立ち上げたり競合他社に転職したりする際に顧客情報を持ち出す場合があります。
IPAの調査によれば、内部不正によって持ち出された情報の流出先は、
- 「国内の競業他社」が32.4%
- 「外国の競業他社」が10.5%
と、なっています。(※参考:独立行政法人情報処理推進機構(IPA)「企業における営業秘密管理に関する実態調査」)
従業員が同業他社へ転職する際は注意しなければいけません。
また、それ以外にも企業への不満がある、などの理由から故意的に情報漏洩させた事例もあるので、社内の情報を社外に持ち出す際のセキュリティ対策をしておくことをおすすめします。
サイバー攻撃(不正アクセス)による情報漏洩
サイバー攻撃(不正アクセス)による情報漏洩とは、PCをウイルスに感染させたりハッキングなどで組織内部に潜入することです。
攻撃者の目的は機密情報の窃取、特定の組織や個人の機密情報等の狙いがあります。
近年、個人情報は金銭で売買できる環境になっているため多くの不正者が個人情報を狙います。
特に、ECサイトを運営している企業は多くの個人情報を保有しているので狙われやすい傾向があります。
パスワードリスト攻撃、フィッシングメール、マルウェア感染、などサイバー攻撃による情報漏洩の被害は後を絶たず、多様化、巧妙化していてセキュリティ対策の重要性は年々高まっています。
以下からは、情報漏洩のリスクについてお伝えしますが、対策について早く知りたい方は『情報漏洩が起こってしまった時の対策方法3つ』へスキップしてください。
企業の情報が漏洩してしまうことによる8つのリスク
企業の情報が漏洩してしまうことは非常に危険で以下のリスクを伴います。
- 社会的信用が低下する
- なりすましや不正利用の二次被害に繋がる
- 刑事罰を受ける可能性がある
- 損害賠償で訴えられる可能性がある
- Webサイトを改ざんされる恐れがある
- 機密情報が漏洩する
- 個人情報が流出する
- システムが停止する
それぞれ解説していきます。
社会的信用が低下する
情報漏洩事故を引き起こしてしまった企業は報道機関などによって事件がニュースに取り上げられると、企業によくないイメージがつきます。
そして、顧客からの社会的信用が大きく低下し、顧客離れが進むことが見込まれます。
メディアやSNSで事件が拡散されると炎上や風評被害を受ける可能性もあるでしょう。
炎上や風評被害に備えて、事業者さまは以下からお役立ち資料をぜひダウンロードして参考にしてください。
【事前に備えよう】炎上・風評被害対策についての無料資料DLはこちら
なりすましや不正利用の二次被害に繋がる
なりすましとは第三者がインターネット上で別の人物に成り代わってしまうことを指します。
個人情報が漏洩すると、なりすましはアカウントをのっとり、被害者の個人情報やログイン情報などを不正利用することに繋がります。
なりすましは以下のようなことが原因で個人情報を手に入れます。
- アカウントやパスワードの漏洩
- マルウェア感染
- SNSのセキュリティ設定の誤り
なりすまし被害に遭わないためにも普段からセキュリティの取り扱いには慎重になりましょう。
刑事罰を受ける可能性がある
「情報漏洩の被害をうけているのに刑事罰を受ける可能性があるなんてどういうこと?」と、思いますよね。
企業に個人の情報漏洩が発覚した場合、個人情報保護法に基づき、国からの改善命令が出るのです。
しかし、改善命令に従わない場合、6ヵ月以下の懲役または30万円以下の罰金刑が科されます。
故意の場合は、加害者に1年以下の懲役または50万円以下の罰金刑、会社にも50万円以下の罰金刑が科されます。
損害賠償で訴えられる可能性がある
個人情報が漏洩すると、被害者から損害賠償されるケースもあります。
損害賠償額は事案によって異なりますが、1人あたり数千円から数万円、合計すると莫大な金額になることもあります。
Webサイトを改ざんされる恐れがある
Webサイトのセキュリティの脆弱性を突かれ、不正にデータベースを操作する攻撃をされるとWebサイトからデータが窃取されたり、改ざんされるなどの被害を受ける恐れがあります。
この脆弱性を攻撃のことをSQLインジェクションといいますが、SQLインジェクションの脅威から保護するにはWAFサービスというものがあります。
おすすめのWAFサービスについては、以下の記事を参考ください。
機密情報が漏洩する
機密情報が漏洩してしまうとどんなリスクが存在するのかというと、以下が考えられます。
- 企業の経営不振
- 情報漏洩による罰則
- SNSで「炎上」することによる風評被害
- 株価下落
情報漏洩が起こると企業のセキュリティ意識や社員教育の是非が問われ、信用が失墜します。
一度失った信用を取り戻すのは、容易ではありません。
そして、機密情報には他社の情報も含まれているので、流出したときには取引先の企業から損害賠償を求められる可能性もでてきます。
金銭的にダメージを受け、それが膨れ上がるとひいては倒産という事態になることも考えられます。
個人情報が流出する
情報漏洩には個人情報の流出のリスクも考えられます。
個人情報が流出すると、企業の信用失墜だけでなく、各個人に損害賠償をしなければならないので莫大な金額がかかります。
どれほどの損害が生じるのかというと、JNSA(NPO日本ネットワークセキュリティ協会)が発表した「インシデント損害額調査レポート」では、個人情報流出における、一人あたりの平均想定賠償額が28,308円とされています。
個人情報被害事例については以下の記事でもまとめていますので、ご参考ください。
システムが停止する
情報漏洩により社内の基幹システムが停止してしまうと、最悪の場合業務が停止してしまうという事態に発展します。
その間に顧客離れが発生してしまい、営業損失がでかねません。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
※金融機関等には不正ログイン検知サービス「O-MOTION」として提供しております。
情報漏洩が起こってしまう4つの原因
情報漏洩が起こってしまうのには原因があります。
- 内部不正がある
- セキュリティが脆弱である
- 予算不足である
- 人手不足である
主に上記の4つの原因について解説します。
内部不正がある
以下のグラフは情報処理推進機構(IPA)が実施した「企業における営業秘密管理に関する実態調査2020」の調査内容です。
こちらによれば2020年、情報漏洩ルートで最も多いのは中途退職者によるもので36.3%となっています。
ちなみに4年前と比較すると、「社員のミスや不手際による情報漏洩」が1位で、情報漏洩ルートに変化が出てきています。
セキュリティが脆弱である
セキュリティが脆弱であると、インターネットやネットワークを通じてサイバー攻撃によって情報漏洩されてしまいます。
『上場企業の個人情報漏えい・紛失事故 調査(2020年)|東京商工リサーチ』の調べでは不正アクセスなどサイバー攻撃による事故は、2020年も45社・事故件数が51件発生、社数、事故件数ともに2年連続で増加し最多となっています。
自社の脆弱性にご不安を持っている方はこちらの記事でチェックしてみてください。
予算不足である
サイバー攻撃や不正アクセスによって情報漏洩してしまう企業にありがちな原因は情報管理に予算がさけないことです。
情報管理への十分な予算を生むためにも、「情報管理のセキュリティに優先して予算をかけるべき」という意識を持つことが重要なのです。
人手不足である
情報管理に知見のある社員が少ないことも、情報漏洩が発生する原因です。
最近のサイバー攻撃は年々手口が巧妙になってきていますので、情報管理に精通した社員を確保できないと情報漏洩リスクを高めてしまう恐れがあります。
情報漏洩が起こってしまった時の対策方法3つ
「実際に情報漏洩が起こってしまったらどうするの?」という方のために対策法をご紹介します。
- 情報漏洩の発生状況を正確に把握する
- 情報漏洩の原因を究明する
- 緊急対策本部を設置し事実を公表する
それぞれ解説していきます。
情報漏洩の発生状況を正確に把握する
まずは情報漏洩事故の2次被害を防ぎ、再発防止をすることが重要です。
そのためには情報漏洩に関する具体的な事実を確認した場合、発生状況を正確に把握し、責任者に報告し速やかに伝達して情報漏洩の対応のための体制をとります。
また、不正アクセスや不正プログラムなど情報システムからの情報漏洩の可能性がある場合は、不用意な操作をせず、システム上に残された証拠を消してしまわないようにします。
発生状況の正確な把握がないと、被害をどのように止めれば良いのか具体的な策を講じることはできません。
情報漏洩が起こったら、まずは発生状況の正確な把握に努めましょう。
情報漏洩の原因を究明する
情報漏洩事故の原因を知っておくことも必要です。
適切な対応についての判断を行うために5W1H(いつ、どこで、誰が、何を、なぜ、どうしたのか)の観点で
調査し情報を整理して、原因の究明につとめます。
そして、情報が外部からアクセスできる状態にあったり、被害が広がる可能性がある場合には、これらを遮断する措置をとり、事実関係を裏付ける情報や証拠を確保します。
緊急対策本部を設置し事実を公表する
情報漏洩の発生状況の把握と原因究明に続いて、緊急対策本部を設置し当面の対応方針を決定します。
情報の隔離、ネットワークの遮断、サービスの停止などです。
そして速やかに情報漏洩の事実を公表します。
漏洩した個人情報の本人、取引先などへの通知、監督官庁、警察、IPA などへの届出、ホームページ、マスコミ等による公表を検討します。
事実公表はできる限り速やかにして、社会的信用の失墜を最小限に留めることが重要です。
対策法についてはこちらの記事にも詳しく紹介されているのでご参考ください。
また、今回紹介した対策法が詳細につめこまれたマニュアル資料をご用意しているので、是非ダウンロードしてみてください。
\情報漏洩発生!万が一のとき、どうすればいいの?/
不正アクセス被害後の対応手順マニュアル
▲無料ダウンロード資料
情報漏洩しないためにとる未然の対策5つ
情報漏洩事故が起こると大きな損害と対応をしなければならないという実態がわかったところで、情報漏洩しないために未然に取れる対策を紹介します。
- 企業情報ガイドラインの制定を従業員に徹底させる
- 従業員に定期的にセキュリティ研修をさせる
- 情報を適切に管理する
- 情報を暗号化する
- セキュリティソフトを導入する
それぞれ解説していきます。
企業情報ガイドラインの制定を従業員に徹底させる
企業情報ガイドラインの制定とは、人為的ミスによる情報漏洩の方施策の一環で例えば以下のようなことを従業員に遵守させる内容となっています。
- 情報の安易な放置はしない
- 情報の持ち出しをさせない
- 漏洩対策なしで情報を廃棄しない
- 私物など不要な持ち込みをさせない
- 権限の貸し借りをさせない
- 情報の公言禁止
- 管理者への報告
人為的なミスを避けることができれば情報漏洩事故を未然に防ぐ一環につながります。
従業員に定期的にセキュリティ研修をさせる
企業情報ガイドラインとは別に情報セキュリティ研修を従業員に定期的に受けさせることによって情報セキュリティ教育の重要性を知り、従業員の意識向上を図ることを目的とします。
情報セキュリティ研修では、下記のような内容の研修をちょうどいいタイミングに合わせて従業員に受けさせます。
- パスワード管理
- 電子メールの誤送信
- 定期的なバックアップ
- ウイルス対策
- 安全な無線 LAN の利用
- SNSの利用の仕方
情報セキュリティ教育を実施した後は、実際にどのような効果が得られたのかということをテストなどで確認しておく必要があります。
情報を適切に管理する
情報を適切に管理するためには情報管理体制をしっかりと構築しておくことが重要になってきます。
情報管理とは会社経営において欠かせない顧客情報や取引先情報等を必要な時に使用できる状況を保ちつつ、情報漏洩しないような管理体制を保持することです。
情報を取り出しやすくすることと、外部からの侵入に対し情報を持ち出されないようにすることを両立することが情報管理において重要になります。
情報を暗号化する
データを暗号化すれば、データそのものが流出しても個人情報の漏えいを防げます。
暗号化とは、データに特別な処理を行うことによって別のデータに変換することで、暗号キーと呼ばれるデータを使用して元のデータとはまったく違うデータに変更させます。
暗号化されたデータは暗号キーを使用すると元通りになるので暗号キーの取り扱いは慎重にしなければなりません。
セキュリティソフトを導入する
不正アクセスによる情報漏洩を防ぐセキュリティソフトなら「不正検知サービス」の導入がおすすめです。
不正検知システムを導入すると、不正なログインを通知したりブロックしたりできるため、情報漏洩の防止や被害の拡大に役立ちます。
特におすすめなのが、不正なアクセスを検知するサービス「O-PLUX」です。O-PLUXを導入すると、不審なログインをブロックしたり怪しいアクセスに対して二要素認証を行ったりできるため、不正アクセスを未然に防ぎやすくなります。
※参考:Cacco Inc.
不正検知サービス「O-PLUX」を導入すれば、情報漏洩の被害に遭うリスクの低減に役立ちます。より詳細な機能について、詳しくは以下をチェックしてください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
※金融機関等には不正ログイン検知サービス「O-MOTION」として提供しております。
まとめ
本記事では情報漏洩とは何なのか、そして原因と対策について解説いたしました。
最後にご紹介した内容をまとめます。
- 情報漏洩とは企業活動において、内部に留めておくべき個人情報や機密情報などのデータが外部に漏れてしまうこと
- 情報漏洩には、社内研修が足りない・セキュリティが脆弱であるなどの原因がある
- 情報漏洩が起こってしまった時の対策は、正確に現状を理解し、対策・公表まで必ず行う
- 情報漏洩が起こる前に、従業員にセキュリティ研修をする・セキュリティソフトを導入することが有効
情報漏洩が発生したらすぐにシステムの隔離や証拠の保管など、適切な対応が必要です。
しかるべき機関への相談なども迅速に行いましょう。
情報漏洩を未然に防ぎたい、二次被害を食い止めたいのであればぜひO-PLUXの導入を検討してください。
サービスの詳細や問い合わせ先は、以下から確認できます。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
※金融機関等には不正ログイン検知サービス「O-MOTION」として提供しております。
