企業のデジタル化がますます進む昨今、テレビやインターネットで顧客情報の漏洩に関するニュースが時折報道されています。情報漏洩は全国各地で多発しており、たった1回の漏洩で何万件もの一般顧客情報が流出してしまいます。
この記事では、情報漏洩を防ぐためには、どのような対策をする必要があるのかを、事例とともに解説します。

情報漏洩とは

情報漏洩とは企業や組織が守らなければならない顧客情報やお客様情報、機密情報などが、何らかの原因で外部へ流出してしまうことを指します。
情報漏洩が起こる原因には、大きく分けて2種類あります。
1つ目は、人的漏洩です。例えば機密情報を保存しているUSBやPCの入った鞄を、電車や喫茶店、居酒屋でお酒を飲んだ際に置き忘れるパターンはよくあるケースです。
2つ目は、外部からの不正攻撃による流出です。不正取得したIDやパスワードを使ったり、セキュリティやソフトウェアの脆弱性を突いて攻撃を仕掛けたりなど、攻撃手段はさまざまにあります。

攻撃者に狙われやすい情報の種類

攻撃者に狙われやすい情報の一例として、機密情報は真っ先に挙げられるでしょう。
例えば開発中の商品の情報が漏れてしまった場合は、その情報をもとに他社で同じ商品が開発されると、将来的に見込んでいた利益が損なわれる危険性があります。
また顧客情報や個人情報が漏洩した場合は、信用を失い今後の取引に支障をきたす、あるいはサービス解約へとつながる危険性も十分考えられます。

有名な情報漏洩の事例

大規模な情報漏洩は、どのような原因や経緯で起こるのでしょうか。
ここでは、過去に起こった有名な情報漏洩の事例をご紹介します。

2014年某通信教育事業者の情報漏洩事例

まずは、2014年に某通信教育事業者で発生した事例です。
システム開発・運用企業の業務委託先の元社員による不正な情報持ち出しが、情報漏洩の原因でした。
約2,895万件のサービス登録者の個人情報が流出したほか、漏洩を行った社員は不正に持ち出した情報を他社に売却し、不正競争防止法違反の容疑で警視庁に逮捕されています。
当該企業は事件処理に関連して260億円の特別損失を計上し、顧客離れが起きた結果その後の赤字決済にもつながりました。

2020年某鉄道事業者の情報漏洩事例

当該鉄道事業者では、切符をインターネットで予約可能な「えきねっと」で2020年に情報漏洩が発生しています。
サービス利用者3,729人分のアカウントに不正なログインが行われた結果、サービス利用者の氏名などの個人情報が漏洩したとされています。
何者かが不正に入手した認証情報を元にリスト型攻撃を仕掛けたことが、漏洩の原因でした。

2021年厚生労働省の情報漏洩事例

厚生労働省が実施した研修事業をきっかけに、2021年に情報漏洩が起きました。
研修事業を受託した企業が仕様書に従わず、セキュリティが十分でないクラウドで名簿管理を行っており、さらに人為ミスによって内部関係者に送られるはずのメールが誤って研修受講者に送られました。
メールに記載されたURLからは、受講生1,106人分の個人情報が閲覧できる状態でした。
受託した企業はメール送受信・クラウド利用に関する仕様書を作成、厚生労働省も情報管理を徹底するよう通達を出したほか、情報セキュリティ監査を実施するなど対応に追われました。

2022年某大手菓子製造業者の情報漏洩事例

2022年3月には、某大手菓子製造業者で情報漏洩が発生しました。
森永製菓が管理運用する複数のサーバーで障害が起き、調査の結果不正アクセスが検出されました。不正アクセスがあったサーバーには個人情報が含まれており、個人データを含む一部のデータにロックがかけられていることが判明しました。
データ流出の確実な形跡はなかったものの、関係する個人情報が160万人以上にのぼること、流出の可能性が否定しきれないといった理由から、当該企業は事実の発表に踏み切っています。
ネットワーク機器の脆弱性を狙った外部からの攻撃が、不正アクセスの原因とされています。

2023年某外資系保険会社Ａ社・Z社の情報漏洩事例

保険会社A社はアメリカ発祥で、Z社はスイスに本社を置く、いずれも世界的な保険会社です。2023年1月に両社の顧客データが外部サイトで公開され、情報漏洩が明るみに出ました。
両社が外部委託していた海外の業者に不正アクセスがあり、A社は130万人以上の、Z社は75万人以上の個人情報が漏洩した可能性があると発表しています。
委託元は委託先の業者に対して監督責任があり、個人情報漏洩の対象者から損害賠償請求が行われた場合、委託業者はもちろん委託元にも支払い義務が発生する恐れがあります。

情報漏洩が原因で起こる損害

情報漏洩が起こった場合、その漏えいした内容によって損害額は大きく上下します。
2018年の情報漏洩インシデントでは、損害賠償総額は2,684億円5,743万円と想定され、事故・事件1件当たりの損害賠償額は6億3,767万円にのぼります。
情報漏洩が原因の損害は、損害賠償請求で支払った金額のみにとどまりません。再発防止対策に使用された金額、社会的信用を失ったことで株価の下落による損害なども含まれます。

参考「特定非営利活動法人日本ネットワークセキュリティ協会：2018年 情報セキュリティインシデントに関する調査報告書 【速報版】 （セキュリティ被害調査ワーキンググループ）」

情報漏洩が起こる原因

情報漏洩が発生する原因を大きく分けると、以下の2つです。

• 不正アクセスやウイルスなどの外部要因
• メールの誤送付や誤送信などの誤操作、管理体制の不備が原因で発生する内部要因

内部要因は、社員の不注意から発生した事例が大多数です。
情報漏洩に占める割合も内部要因の方が外部要因よりも圧倒的に多く、社内でのセキュリティ意識向上や、ミスチェックの体制構築が求められます。

情報漏洩への対策

情報漏洩を防ぐための対策は、外部企業への依頼を含めいくつかあります。
ここでは組織内のみで対応可能な、内部要因による流出を防ぐための手段をいくつか解説します。

メールの誤送信対策をする

メールの誤送信を防ぐために対策をとることは、セキュリティ対策の第一歩です。
誤送信を防ぐためには、社内で情報セキュリティへの意識向上に向けた教育体制、研修の実施が効果的です。
その他にも、関係他社へメールを送信する際には上司などの承認を得なければ、送信できないシステムを導入することも、ミスの削減には役立つでしょう。

業務用機器の持ち込みや持ち出しを禁止する

ノートパソコンなら、セキュリティワイヤーを使用することで、特定の座席から機器を動かせないようにできます。
また設置している機器のUSBポートに制限をかけるなどでデータをUSBへ出力できなくする、あるいはやむを得ず持ち出さなければならなくなった場合は、上司からの承認を得てからでないと端末を持ち出せない体制にするなど、物理面、制度面の両方で持ち込み、持ち出しが起こりくい環境作りが重要です。

個人情報の取り扱いについて教育をする

セキュリティポリシーや実施要領を策定することや、研修を外部に依頼することも、セキュリティ対策に有効な手段です。
社内教育を継続的に行い、他社で発生した事例を紹介したうえで、KYT（危険予知トレーニング）を実施することでセキュリティ意識の底上げを期待できます。

端末を紛失しても情報漏洩が起きないツールを導入する

端末を紛失した際に情報漏洩を防ぐための手段の1つとして、MDM（モバイルデバイス管理）で端末を管理するという方法があります。
MDMには遠隔操作で端末を使用できなくする「リモートロック」機能や、遠隔で端末内のデータ削除ができる「リモートワイプ」機能があります。
これらの機能によって、万が一端末を紛失した場合でも情報漏洩を防げるでしょう。

セキュリティソフトを導入・常に最新の状態を維持する

外部からの不正攻撃を防ぐには、セキュリティソフトの導入も有効です。
セキュリティソフトと一口でいっても、挙動監視やサイバー攻撃を感知できるもの、ソフトの脆弱性の診断をできるソフトなど多種に渡ります。導入を行う際は、自社の導入目的に合ったソフトを的確に選ぶことが重要です。
定期的に導入ソフトを最新状態にアップデートすることで、最新のウイルスや攻撃手段の対策を行えます。

まとめ

情報漏洩が発生すると、どのような経緯であれ企業は損害を被るだけではなく社会的信用を失ってしまいます。そうなる前に、企業としては情報漏洩しないための体制や規約策定、ネットワーク構築が必要です。
しかしどれだけセキュリティが整った環境であっても、肝心の人間側のセキュリティ意識が低くては意味がありません。社員一人ひとりのセキュリティ知識と意識の向上が、すべてのセキュリティ対策の土台となることを忘れないようにしましょう。

『社員一人ひとりのセキュリティ意識を向上させたい』
『企業としては情報漏洩しないための環境を整備したい』
という企業の情報システム部門担当者の方は、是非一度アイエスエフネットまでお問い合わせ
ください。

＼アイエスエフネットのセキュリティソリューション「MIERUシリーズ」／

• 情報漏えい調査サービス　MIERUPASS（ミエルパス）
• エンドポイントセキュリティ　MIERUDR（ミエルダー）
• 標的型攻撃メール訓練サービス　MIERUTRAP（ミエルトラップ）
• 従業員へのセキュリティ教育サービス　セキュリティベーシック研修

関連記事