特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)の調査によると、2018年の漏洩人数は561万3,797人。
インシデント件数は443件。一件あたりの漏洩人数は1万3,334人で、平均想定損害賠償額は6億3,767万円とのこと。
この数字だけでも、セキュリティ対策が必要だと実感できますよね。(※参考:「特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)」
そこで本記事では、
- 個人情報の種類
- 【個人向け】個人情報漏洩を防ぐ6つの対策
- 【企業向け】個人情報漏洩を防ぐ7つの対策
- 個人情報を漏洩してしまった場合の対応策
などについて解説します。
はじめに個人情報漏洩の概要や個人情報に含まれるものの定義も紹介しますので、ぜひ参考にしてください。
個人情報漏洩対策が今すぐ知りたい方は、以下をクリック!
>>【個人向け】個人情報漏洩を防ぐ6つの対策
>>【企業向け】個人情報漏洩を防ぐ7つの対策
目次
個人情報漏洩とは?個人情報に含まれるものの定義
個人情報漏洩とは、「個人情報を保有する者」および「個人情報に該当する者」の意図に反して、情報が第三者に渡ることを指します。
この個人情報として挙げられるのは
- 名前
- 生年月日
- 住所
- 血液型
- 性別
- 職業
- 電話番号
- 収入
- 生体情報
- クレジットカード番号・暗証番号
- 金融機関情報・暗証番号
など「特定の個人を識別できるもの」です。
こういった個人情報は、特殊なブラウザソフトなどを使わなければ接続できないインターネットサイト「ダークウェブ」などで売買されたり、なりすましなどの不正手口に活用されたりします。
ダークウェブについては以下の記事で解説していますので、より詳しく知りたい方はご参照ください。
また、次の記事では、情報漏洩の原因別ランキングやランキング外で知っておくべき3つの原因などを解説しています。
対策の前に原因を深く知りたい方は、下記記事をチェックしてみてください。
【個人向け】個人情報漏洩を防ぐ6つの対策
まずは情報に該当する個人ができるものとして、
- 安全確認の取れていないWebサイト上で個人情報を入力しない
- 情報を安易に放置・廃棄しない
- セキュリティソフトの定期更新を行い個人情報漏洩を防ぐ
- ファイル共有ソフトの利用を最小限に抑え個人情報漏洩を防ぐ
- 暗証番号を定期変更・使いまわしを辞め個人情報の漏洩被害を最小限に抑える
- 明細を定期的に確認し個人情報漏洩にいち早く気付くようにする
という6つの対策をご紹介します。
【対策1】安全確認の取れていないWebサイト上で個人情報を入力しない
ECサイトの利用やオンラインバンキングによる送金など、インターネット上で個人情報を入力するタイミングはいたるところにあります。
それを狙った不正者も多く、実在する企業やサービスを装ったサイトを使い、個人情報を抜き取る手口もあるのです。
具体的な対策としては
- 個人情報を入力するべージのURLに鍵マークがあるか(常時SSL化しているか)
- メールや他サイトからリンクをたどった場合、ドメイン名が公式と同じか
といった部分を確認し、安全か判断できないWebサイト上では個人情報を入力しないようにしましょう。
また、Google ChromeやFirefox、Microsoft Edge、Safariなど、使用しているブラウザによっては警告メッセージを表示する場合もあります。
1つの指標として知っておきましょう。
【対策2】情報を安易に放置・廃棄しない
個人情報に関するセキュリティ意識は人それぞれですが、総じて言えるのは「情報を安易に放置・廃棄してはいけない」ということです。
- スマートフォンやPCの画面を開いた状態のまま離席しない
- 書類を廃棄する際はシュレッダーにかける
- 重要な書類を保管する際は保管場所を施錠する
- 個人情報が書かれた書類を置きっぱなしにしない
など、少しの意識や行動が情報漏洩を防止することにつながります。
また、情報流出のリスクを抑えるという意味では、「IDやパスワードなどの重要な情報はみだりに第三者へ教えない」「業務用と私用でメールアドレスを使い分ける」などの対策も効果的です。
【対策3】セキュリティソフトの定期更新を行い個人情報漏洩を防ぐ
セキュリティソフトの導入・更新も個人情報漏洩対策として有効です。
詳細はそれぞれ異なりますが、定期的なウイルススキャンが行えたり、危険なサイトへアクセスした場合に警告を表示したりするものもあります。
今は、スマホやタブレット、パソコンなど複数のデバイスを持っている方もいます。
その場合、それぞれの端末で導入・更新を行いましょう。
リモートワーク時に使用する、業務用のデバイスにも注意です。
【対策4】ファイル共有ソフトの利用を最小限に抑え個人情報漏洩を防ぐ
不特定多数が利用するファイル共有ソフトを使用すると、不正者にアクセスされる可能性もあがります。
ファイル共有ソフトを利用する際は、
- 個人での利用は最小限に抑える
- ファイル共有ソフトを利用する際はセキュリティソフトも導入する
- ビジネスでの利用時は信頼できる有料サービスを活用する
といった点を心掛けましょう。
【対策5】暗証番号の定期変更・使いまわしを辞め個人情報の漏洩被害を最小限に抑える
同じID・パスワードを、複数のWebサイトで使用している方は注意です。
仮にどこかで漏洩してしまった際、その情報を使って他サイトにもアクセスされてしまうためです。
不正者はID・パスワードを特定した状態で不正アクセスを行うので、気付くのが遅れ、被害が拡大してしまう可能性もあります。
それを防ぐためにも、暗証番号を定期変更し、同じID・パスワードを使いまわすのは辞めましょう。
【対策6】明細を定期的に確認し個人情報漏洩にいち早く気付くようにする
明細の定期確認は、クレジットカードや金融機関情報の漏洩対策として有効です。
いち早く気付くことができれば不正者の特定にも役立ちますし、情報漏洩後の被害を最小限に抑える効果も期待できます。
不正利用はキャッシュバックなどの補償対象になるケースもあるため、異変に気付いた場合は速やかに金融機関やクレジットカード会社に伝えましょう。
さらに、電子メールやFAXを送る前に宛先を確認する癖をつけることや、不正手口に関しての情報収集も効果的です。
【企業向け】個人情報漏洩を防ぐ7つの対策
個人情報を保有する企業の対策としては
- 個人情報流出に関する教育を行う
- メール誤送信を防ぐ仕組みを構築する
- 情報端末の持ち出し・持ち込みのルールを策定する
- 社員が報告しやすい環境をつくる
- 守秘義務に関する書面を取り交わす
- Webサイトやソフトの脆弱性対策を行う
- セキュリティソフトを導入・更新する
の7つが挙げられます。
【対策1】個人情報流出に関する教育を行う
情報漏洩の原因として
- 関係者による持ち出し
- モバイル端末の紛失
- 作業ミス
- 誤操作
といったものがあります。
これらを防ぐためにも、社内のリテラシーを高めるのは必須です。
セキュリティポリシーや実施要領を定め、定期的な教育も行いましょう。
当サイトでは、「ECサイト運営で個人情報漏洩を起こさないために知っておくべきセキュリティ対策」がわかる資料を無料配布しています。
漫画形式でわかりやすくまとめてありますので、社内教育に活用したい担当者様はぜひダウンロードしてください。
これからセキュリティ対策を進めたい方へ!/
3匹の子豚で学ぶセキュリティ対策
▲無料ダウンロード資料
また、近頃は急速なテレワーク化が進んでいます。
- 外部で業務をする際に使用する情報の管理方法
- モバイル端末やUSBメモリなど外部記憶媒体の使用有無
など、セキュリティ確保のルール作りも同時に行いましょう。
テレワークの導入に伴うセキュリティ対策については、こちらの記事もご覧ください。
【対策2】メール誤送信を防ぐ仕組みを構築する
個人情報漏洩の原因で多いものに、「メール誤送信」があります。
個人情報が記載された重要なメールを送る際は、
- 送付前に2名以上で確認する
- チェック機能の付いたメールシステムを活用する
など、誤送信を防ぐための仕組みを構築することがポイントです。
また、メール誤送信をはじめとする「過重労働による従業員のミス」を防ぐために、シフトを最適化することも効果的です。
【対策3】情報端末の持ち出し・持ち込みのルールを策定する
情報端末を不要に社外へ持ち出すと紛失・盗難のリスクが増えるため、
- 許可された端末のみ持ち出す
- 端末を持ち出す前は必ず上長の承諾を得る
などのルールを策定しましょう。
また、社内の端末利用に関して厳しく管理していても、自宅から持ち込んだ私物の端末を通じてウイルスに感染する可能性もあります。
したがって、私物の端末を持ち込んだ際は社内ネットワークに接続しないようにルール化することも大切です。
【対策4】社員が報告しやすい環境をつくる
情報漏洩のリスクがある場合でも、社内ですぐに共有して対応策をとることで被害を最小限に抑えられます。
そのためには、社員が小さなことでも報告しやすい環境をつくることが大切ですが、そのような環境はすぐに作れるものではありません。
普段から風通しが良い職場を心掛け、ミス発生時や情報漏洩のリスクがある場合でもすぐに報告してもらえるような環境を構築しましょう。
また、マニュアルを作成し、「情報漏洩のリスクがある場合に取るべき対応の流れ」を明記しておくことも効果的です。
【対策5】守秘義務に関する書面を取り交わし個人情報漏洩を防ぐ
個人情報流出に関する教育の中で、守秘義務に関する書面を取り交わすのもおすすめです。
業務上知り得た情報は口外せず守るべきだと考える方もいますが、必ずしも全員がそう思っているとは限りません。
入社時に書面を取り交わすことで、情報に対する認識を整えましょう。
万が一情報が漏洩した場合も、どれほど重大な事態なのか社内で共通の理解がしやすくなります。
【対策6】Webサイトやソフトの脆弱性対策を行い個人情報漏洩を防ぐ
不正者は運営しているWebサイトや使用しているソフトの脆弱性(セキュリティ上の問題点)を狙ってサイバー攻撃を行います。
脆弱性は基本的にサービス開始時にはない状態で公開されますが、新しいサービスが開発されたりアップデートが行われたり、インターネット上の環境が変化する中でどうしても新たに生まれてしまいます。
特に、WordPressなどプログラムの仕組みが公開されているオープンソースのCMSを使用している場合は注意が必要です。
その公開された情報の中から脆弱性を見つけ、Webサイトそのものにマルウェアが埋め込まれ、利用者が入力した情報を不正に入手する不正者もいるためです。
自社サイトへの訪問者をマルウェアの危険にさらさないためにも、CMSの最新バージョンが公開された際は、速やかにアップデートしましょう。
なお、マルウェアの概要や感染した場合にできる対処法などは、次の記事で解説していますのでチェックしてみてください。
また、サイト運営者は必要に応じて脆弱性対策を行う必要があります。
具体的には、Webサイトやソフトの脆弱性を発見し、サービスによっては改善方法を提案してくれる「脆弱性診断サービス」の導入が効果的です。
下記記事では、脆弱性診断サービスのおすすめ20選や選び方などを紹介していますので、関心のある方はご参照ください。
【対策7】セキュリティソフトを導入・更新する
そして、ぜひ取り入れてもらいたいのがセキュリティソフトです。
サイバー攻撃を検知できたり、Webサイトやソフトの脆弱性を診断できたり、セキュリティソフトと言っても様々です。
中には、他で漏洩した情報を使って不正者が不正アクセスを試みた際に、挙動などから異変を察知できるものもあります。
個人情報漏洩だけでなく、セキュリティ精度を高めるという点でも導入がおすすめです。
運営にあったものを選びましょう。
また、導入後は定期的にアップデートを行い、常に細心の状態を保ちましょう。
なお、具体的なセキュリティ製品としては「ファイアウォール」、「IDS/IPS」、「WAF」などが挙げられます。
それぞれの解説記事を紹介しますので、より詳しく知りたい方はぜひチェックしてみてください。
▼ファイアウォールについて詳しく知りたい方はこちら
▼IDS/IPSについて詳しく知りたい方はこちら
▼WAFについて詳しく知りたい方はこちら
▼下記記事では、WAFサービスのおすすめ20選や選び方を紹介しています
個人情報を漏洩してしまった場合の対応策を「個人・保有者」と「企業」に分けて解説
万が一の場合に備え、漏洩してしまった場合の対応策も考えておきましょう。
漏洩時の対策をたてておけば、被害を最小限に抑えられます。
個人情報を漏洩してしまった個人・保有者の対応策
個人・保有者の場合は、
- 管理者への連絡
- ID・パスワードの変更
- 迷惑メール設定の見直し
- クレジットカードや銀行口座を必要に応じて停止
- 知人や家族に連絡
といった手順をとります。
もし自分で異変に気付いた場合は、漏洩が考えられるサービスの管理者へ連絡します。
漏洩が考えられるサービス上の対応は、管理者の指示に従いましょう。
さらに、漏洩した情報でのアクセスが考えられる他サービスのID・パスワードも変更します。
メールアカウントやSNS、ネットバンキング、クラウドサービスといったインターネット上のサービスは、流出した情報を元にアクセスを試みる不正者がいるためです。
とくに、クレジットカードや銀行の口座の情報が漏洩した可能性がある場合は、各サポートセンターに連絡し、必要に応じて使用停止などの措置をとるのも大切です。
近頃では個人のSNSを乗っ取り、複数人の個人情報にアクセスする手口も確認されています。
自分のアカウントから周囲の人にまで不正者の手が伸びるのは、なんとしても防ぎたいものです。
仮に気付いた場合は、知人や家族に
- 「乗っ取りにあった」
- 「URLなど変なメッセージが届いたとしても反応しないでほしい」
などと連絡しましょう。
被害の拡大防止につながります。
個人情報を漏洩してしまった企業の対応策
企業の場合は、
- 事実確認・漏洩内容の特定
- 漏洩継続の阻止
- 公的機関への対応要請
- 問い合わせ窓口の設置
- 公表・謝罪
- 事後対応
- 原因究明
- 再発防止対策
といった手順をとります。
まず事実確認・漏洩内容の特定を行います。
個人情報だった場合は個人情報保護法に準拠する問題なので、公的機関への対応要請をすると同時に、対応を急ぐ必要があります。
それ以外の場合は、公共性の高さによって判断しましょう。
なお、2022年に実施された法改正により、個人情報保護委員会への報告が義務化されました。
下記記事では、個人情報保護委員会へ報告義務のある情報漏洩の例や報告方法などを紹介していますのでご覧ください。
続いて、漏洩継続の阻止としては、ネットワークの遮断や情報の隔離、一時的なサービス停止といった対応がとれます。
公表・謝罪を行う際は、
- 漏洩内容
- 漏洩の規模
- 対処方法
- 考えられるリスク
- 問い合わせ先
などの情報を、ホームページやマスコミ、メールマガジンなどで発信します。
それからは、被害者に対するお詫びや補償、損害賠償などの措置も再発防止対策と同時に行うこととなります。
なお、個人情報漏洩時には対策本部を設置し、一元管理を行いましょう。
個人情報漏洩による炎上や風評被害に備えて、以下からお役立ち資料を無料でダウンロードをしてみてください。
サービス利用者や公的機関など社外との連絡窓口も必要です。
まとめ:個人情報漏洩には事前の対策を
個人情報漏洩を防ぐ対策や、漏洩してしまった場合の対応策について解説しました。
情報漏洩を防ぐ対策として、個人ができるものは次の6つです。
【個人向け】個人情報漏洩を防ぐ6つの対策
- 安全確認の取れていないWebサイト上で個人情報を入力しない
- 情報を安易に放置・廃棄しない
- セキュリティソフトの定期更新を行い個人情報漏洩を防ぐ
- ファイル共有ソフトの利用を最小限に抑え個人情報漏洩を防ぐ
- 暗証番号を定期変更・使いまわしを辞め個人情報の漏洩被害を最小限に抑える
- 明細を定期的に確認し個人情報漏洩にいち早く気付くようにする
続いて、個人情報を保有する企業の対策としては次の7つが挙げられます。
【企業向け】個人情報漏洩を防ぐ7つの対策
- 個人情報流出に関する教育を行う
- メール誤送信を防ぐ仕組みを構築する
- 情報端末の持ち出し・持ち込みのルールを策定する
- 社員が報告しやすい環境をつくる
- 守秘義務に関する書面を取り交わす
- Webサイトやソフトの脆弱性対策を行う
- セキュリティソフトを導入・更新する
万が一個人情報が漏洩した場合、情報に該当する個人も、個人情報を保有する企業も様々な対応が必要になります。
例えば、「情報に該当する個人」は被害を最小限におさえるため
- 漏洩した情報の把握
- 暗証番号などの変更
などが必要になるでしょう。
漏洩した情報によってはキャッシュカードを再発行したり、引っ越しせざるを得ない状況にもなりかねません。
また、情報漏洩によりクレジットカードの不正利用などが発生した場合は、チャージバックの申請や警察との対応なども必要となり、大変な労力がかかります。
一方で、「個人情報を保有する企業」の場合は、
- 事実確認
- 応急処置の実施
- サービスの復旧
- 被害の公表
などが必要です。
さらに、情報漏洩が発生した時点で、ユーザーからの信頼を失ってしまいます。
悪意をもった第三者により情報漏洩してしまった場合、企業としては被害者という認識になるでしょう。
しかし、情報に該当する個人にとっては企業が加害者となります。
個人も企業も、それぞれ煩雑な対応に追われてしまうため、やはり個人情報漏洩は未然に防ぐことが重要です。
今回ご紹介したように情報漏洩の被害事例はどれも身近なものです。
誰にでも情報漏洩の可能性があることを踏まえ、最大限の対策を行いましょう。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら