本ページはアフィリエイト広告プログラムによる収益が発生しています。
人為的なミスやサイバー攻撃などで重要な情報が社外に流出してしまう情報漏洩には、情報を不正に利用される・損害賠償や処罰の対象になる・社会的信用を失う、といった多くのリスクがあります。
情報漏洩が発生したために事業そのものを廃止せざるを得なくなるケースもあるほど、その影響は深刻です。
そして、情報漏洩の発生原因は、メールの送信時およびデータの保存された機器の持ち出しや廃棄の際など、日常業務の中に多数存在しています。日本ネットワークセキュリティ協会の調査でも、情報漏洩の原因として多いものは、「紛失・置き忘れ」「誤操作」 「不正アクセス」「管理ミス」でした。内部不正による情報漏洩の対策法。
情報漏洩の発生原因ワースト5
| 1位 紛失・置き忘れ | 26.2% |
| 2位 誤操作 | 24.6% |
| 3位 不正アクセス | 20.3% |
| 4位 管理ミス | 12.2% |
| 5位 盗難 | 3.8% |
参考:日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに 関する調査結果〜個人情報漏えい編~」より
このように情報漏洩のリスクは、紛失・置き忘れや誤操作など、規模の大小や業種にかかわらず、すべての企業に発生する可能性があります。そのため、適切な対策を講じておかないと、いつ情報漏洩によって大きな損害が発生してもおかしくありません。
そこで、この記事では、情報漏洩から身を守るために押さえておくべき情報漏洩のリスクと具体的な対策例について、以下のポイントを解説します。
・情報漏洩のリスクの種類と概要
・情報漏洩のリスクに関する事例
・情報漏洩が発生する原因
・情報漏洩のリスクを踏まえて行うべき対策
上記のポイントを確認しておくことで、情報漏洩にどのようなリスクがあるのか・自社にはどのように関係するのかがわかるようになります。今、どのような対策を取らないといけないのか判断し、適切な予防策を取れるようになるためにも、情報漏洩のリスクに関する知識を深めておきましょう。
1.情報漏洩が発生することに伴う3つのリスク
冒頭でもお伝えしたとおり、情報漏洩が発生することに伴うリスクは多岐にわたり、適切な対策を取っておかないと深刻な損害をもたらす危険性があります。リスクは、大きく分けると以下の3つです。
情報漏洩が発生することに伴う3つのリスク
1.情報を悪用される
2.金銭的被害が発生する
3.信頼が失われる
以下で、それぞれのリスクについて具体的な内容を解説します。
1-1. 情報を悪用される
機密情報や個人情報が流出してしまうと、不正な目的を持つ第三者に悪用されたり、本来の目的とは異なる形で情報を利用されてしまったりします。
例えば、次のとおりさまざまな形で情報を悪用されるリスクがあるでしょう。
[リスクの具体例]
・機密情報である営業ノウハウをライバル企業に流用され、優位性を失ってしまう
・未発表の新製品の情報をリークされ、販売活動に悪影響が出る
・住所や氏名などの個人情報を、迷惑メールや詐欺などに悪用される
・クレジットカード番号を悪用され、不正利用による被害が発生する
情報を勝手に悪用されることで、得られるはずだった利益が得られなくなったり、情報を提供した顧客や取引先からの信用を失くし今後の取引継続が難しくなったりするなど、事業の継続にさまざまな影響が発生することが考えられます。
1-2. 金銭的損失が発生する
情報漏洩が起こると、漏洩によって被害を受けた個人・企業への損害賠償や罰金の支払いなどが発生し、金銭的な損失が生じるリスクがあります。
金銭的損失とは、具体的には以下のとおりです。
[リスクの具体例]
・個人情報が流出し迷惑メールなどが来てしまった人への慰謝料(損害賠償)の支払い
・従業員が不正な目的で個人情報を漏洩させたことに対する個人情報法に基づく罰金
・情報漏洩の経緯を公表し謝罪するために要した、原因の調査費用や広告費など
・再発防止策を講じるためにかかる経費
このように情報漏洩させると、損害賠償だけでなく情報漏洩した経緯の調査・発表やその後の対応にかかる費用など、さまざまな金銭的損失が発生します。
日本ネットワークセキュリティ協会の調査では、情報漏洩事件1件あたりの平均想定損害賠償総額は、6億3,767万円とかなりの高額でした。情報漏洩が発生すると、企業は金銭面でも甚大なダメージを受けるリスクがあることを覚えておきましょう。
1-3. 信頼が失われる
情報漏洩を起こした企業はイメージが悪化し、社会的な信頼が失われてしまいます。その結果、取引先や顧客だけでなく投資家も離れてしまうリスクがあるのです。
企業の社会的な信頼が失われてしまうと、次のような影響があります。
[リスクの具体例]
・株価が低下する
・オンラインショップやインターネット上のサービスでは、効果的な再発防止策を講じるまで事業停止せざるを得なくなる
・顧客が離れてしまい売上が大幅に低下する
情報漏洩は、損害賠償や事態の収拾に伴う金銭的損失のような直接的な損害だけでなく、イメージが低下することに伴う間接的な損害が発生するリスクがあることに留意が必要です。
実際に、2021年に運営する婚活アプリ「Omiai」で不正アクセスによって約170万人分の個人情報が漏洩した株式会社ネットマーケティングの株価は、一時、情報漏洩発覚前と比べて4割ほど下落しました。
2.情報漏洩によるリスク発生の2つの事例
情報漏洩は以前から発生しており、年々増加傾向にあります。ここでは、リスクが現実化してしまった事例の中でも代表的な以下の2つの事例を確認しておきましょう。
| 企業名 | 概要 |
|---|---|
| 株式会社ベネッセコーポレーション | 再委託先企業の派遣従業員による不正アクセスで個人情報約2,900万件が流出 |
| 任天堂株式会社 | 外部からの不正アクセスにより約30万件の個人情報流出 |
2-1. 株式会社ベネッセコーポレーション|内部からの不正アクセスによる個人情報流出
株式会社ベネッセコーポレーションでは、2014年に会員情報管理の再委託先企業に勤務する派遣社員が、名簿業者への売却を目的に貸与PC経由でデータをコピーし、20回程度にわたって情報の持ち出しを行った結果、個人情報約2,900万件が流出しました。
これに伴い、同社では、問い合わせ窓口の設置や販売促進活動・イベントの停止・情報漏洩した会員への連絡・事故調査委員会の設置などの対応を行っています。
損害賠償や補償などの結果、同社では最終的に260億円の特別損失を計上することとなりました。
この事件で発生したリスクの例
| 情報を悪用される | ・個人情報が名簿業者に売却された ・他社からベネッセの顧客にダイレクトメールが届くようになった |
| 金銭的損失が発生する | ・問い合わせ窓口の設置や販売促進活動・イベントの停止・情報漏洩した会員への連絡・事故調査委員会の設置などの対応を実施 ・260億円の特別損失を計上 |
2-2. 任天堂株式会社|外部からの不正アクセスによる個人情報流出
任天堂株式会社では、2020年に同社が運営するネットワークサービス「ニンテンドーネットワークID(NNID)」で、外部からの不正アクセスによる情報漏洩が発生し、ユーザーアカウントに登録された個人情報約30万件分が流出しました。
一部のアカウントでは不正取引も行われる被害が発生し、同社ではNNID経由のログインの廃止やパスワードリセット・情報漏洩した会員への連絡・セキュリティ対策の強化・返金手続きなどの対応を行っています。
損失額は発表されていませんが、流出件数の多さから収拾には多大な労力とコストを要したと考えられます。
この事例で発生したリスクの例
| 情報を悪用される | 一部のアカウントで不正取引が行われた |
金銭的損失が発生する | ・パスワードリセット・情報漏洩した会員への連絡・セキュリティ対策の強化・返金手続きなどの対応を実施 |
3. もっとも情報漏洩するリスクが高いのは社外への持ち出し時
発生すると大きな損害が生じる情報漏洩の原因で、もっとも多いのは情報の持ち出し時です。
日本ネットワークセキュリティ協会が行った「2018年 情報セキュリティインシデントに 関する調査結果〜個人情報漏えい編~」によると、情報漏洩発生原因として次のようなものが多いことがわかりました。
参考:日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに 関する調査結果〜個人情報漏えい編~」より
ここでは、情報が漏洩するリスクが多い
・情報の持ち出し時(「紛失・置き忘れ」と関連)
・メール送信時(「誤操作」と関連)
・情報・デバイスの廃棄時(「管理ミス」と関連)
・システム管理時(「管理ミス・設定ミス」と関連)
・サイバー攻撃(「不正アクセス」と関連)
について、①場面ごとの漏洩する具体例、②事例に特化した対策を解説します。
3-1. 情報の持ち出し時
個人情報や機密情報の含まれる書類や機器を社外に持ち出す際は、情報漏洩のリスクが非常に高まります。情報漏洩が発生する具体的な状況は、以下のとおりです。
・紛失、置き忘れ
・盗難(車上荒らしなど)
・外で作業していてディスプレイを覗き見される
社外では、不特定多数の人が持ち出された情報に簡単に触れられる状況が多くあるため、紛失・盗難の危険性は社内に比べて圧倒的に高まります。
このような、情報を持ち出すことによる情報漏洩のリスクを抑えるための効果的な対策例は、以下のとおりです。
| 情報の持ち出し時の情報漏洩リスクへの対策例 |
|---|
| ・重要情報にはリモートアクセスが可能な仕組みを作り、情報自体を持ち出さない ・情報の重要度を分類し、持ち出してもよい情報と持ち出し禁止する情報を仕分けしておく ・どうしても情報を持ち出さざるを得ない場合は、端末にロックをかけデータ自体も暗号化するなど容易に流出しない対策を行う |
3-2. メール送信時
データを簡単に添付できることに加え、一度送信してしまうと取り消せないメールの送信時も、情報漏洩が起きやすいシーンです。
日本ネットワークセキュリティ協会による調査においても、以下のとおり、メールの誤送信確率は非常に高いものになっています。
| 通信手段 | 誤送信や紛失・盗難の年間発生確率 |
|---|---|
| 電子メール | 約40.0% |
| FAX | 約40.0% |
| 携帯電話 | 約6.5% |
| USBメモリ | 約4.5% |
| パソコン | 約3.5% |
※日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書~発生確率編~」より
具体的には、メール送信時の以下のような状況で情報漏洩が発生します。
・宛先の誤り
・CcとBccの設定誤り
・添付データ誤り
宛先は、直接入力する際の入力誤りの他に、アドレス帳から選択する際も似た名称で登録されている場合に誤りが発生しやすくなるため、注意が必要です。
例:「佐藤さん」という担当者が2つ以上の取引先にいて、どちらもアドレス帳に登録している場合
メール送信時の情報漏洩を防ぐための対策として、次のようなものが挙げられます。
| メール送信時の情報漏洩リスクへの対策例 |
|---|
| ・チェックリストを活用するなどして、宛先や添付データは必ず送信前に時間を取って確認する ・チェック機能のあるメールシステムを使う |
3-3. 情報・デバイスの廃棄時
意外と対策が疎かになりがちなのが、個人情報や機密情報の含まれる書類や機器類を廃棄するタイミングです。適切な処理・経路で廃棄しないと、不正アクセスなどによる情報漏洩の原因になってしまいます。
例えば、以下の状態で廃棄をすると、記録された情報が漏洩しかねず危険です。
・データを完全に削除していない(PCなどのデバイス・複合機)
・シュレッダーにかけていない
重要な情報を保存していたパソコン・USBメモリなどの機器を廃棄する場合、特に注意する必要があります。データは単にデバイス上で削除するだけでは、表面的に消えたように見えても復元できてしまいます。
また、コピー機やプリンター・複合機などで重要情報を扱った場合、データが残存している場合があるため、廃棄時は要注意です。
対策として次のようなものが考えられます。
| 情報・デバイスの廃棄時の情報漏洩リスクへの対策例 |
|---|
| ・デバイスの廃棄時は専用のソフトウェアでデータを完全消去するか、物理的に破壊する ・書類は必ずシュレッダー処理か専門業者に溶融処理を依頼 ・複合機類はデータが残存しないものを選ぶ |
3-4. システム管理時
業務用のシステムやオンラインショップ・会員情報を入力できるサイトなど、機密情報や個人情報を扱うシステムを保有する場合、システムの管理ミスでも情報は漏洩します。
情報漏洩しやすい状況として、具体的には以下のような場面が考えられるでしょう。
・設定誤りでデータがインターネット上で閲覧可能に
・アクセス権限の設定ミス
・データのコピー制限ができていない
・パスワード管理の不備
アクセス権限やデータのコピーに関する制限は、きちんと管理しておくことで内部からの不正アクセスを防ぐことも可能です。広い範囲に権限を与えておいた方が業務がしやすいからと制限を緩めがちですが、情報漏洩を防ぐなら、厳格に制限しておくべきです。
| システム管理時の情報漏洩リスクへの対策例 |
|---|
| ・必要最小限の情報にしかアクセスできないように、アクセス権限やコピー制限を設定する ・パスワードは推測されにくいものにし、定期的に変更する ・パスワードをデスクトップや使用機器に貼り付けない ・システムの扱い方や情報セキュリティに関する教育を定期的に行う |
3-5. サイバー攻撃
ウイルス感染や不正アクセスなどのサイバー攻撃も、情報漏洩の大きな原因の1つです。不正利用する意図が明確なサイバー攻撃による情報漏洩は、大規模化しやすく被害も深刻化しやすい傾向にあります。
例えば、以下のような状況下では、サイバー攻撃による情報漏洩がいつ起こってもおかしくありません。
・セキュリティ対策やOSなどのアップデートが不十分だった
・脆弱なWi-Fi環境を利用した
・ウイルス感染したメールを開けた
・フィッシングサイトに引っかかった
・ウイルス感染したデバイスを社内システムに接続した
パソコンなどの管理を個々の従業員に任せている場合、従業員によってアップデートが滞る危険性があるため注意が必要です。また、テレワークを実施している場合、利用するWi-Fiなどの通信環境にも気をつけておく必要があります。
| サイバー攻撃による情報漏洩リスクへの対策例 |
|---|
| ・ウイルス対策ソフトやファイアウォールを導入する ・ネットワークにVPNを導入する ・アップデートが必要な際は、社内に周知し速やかな対応を促す ・情報セキュリティ研修を年1回以上行い、従業員一人ひとりに情報漏洩に関する知識を付けさせる |
4. リスクを踏まえた情報漏洩対策のポイント2つ
ここまでにご紹介してきたとおり、情報漏洩リスクは非常に多岐にわたります。このような情報漏洩の特徴を踏まえた対策のポイントは以下のとおりです。
| リスクを踏まえた情報漏洩対策のポイント2つ |
|---|
| 1. 複数の対策を組み合わせる 2. 対策の優先順位を決める |
現在の情報漏洩対策は上記のポイントを満たして実施できているか、ぜひご確認ください。
4-1. 複数の対策を組み合わせる
情報漏洩対策は、複数の種類を組み合わせて行うことが大切です。
複数の対策を組み合わせるとは、
・複数の原因への対策をそれぞれ講じる必要がある
・1つの原因に対して複数の対策を講じることで、より一層効果が見込める
ということを意味します。
例えば、メールの誤送信対策をどれだけ徹底的に行っても、社外への重要情報持ち出しについて何のルールも作っていなければ、情報漏洩リスクは依然として高いままです。そのため、原因ごとの対策を講じていく必要があります。
またサイバー攻撃は、セキュリティソフトを入れているだけで、すべてを防げるわけではありません。ネットワークの安全性も確保し、必要なアップデートもきちんと行うといった複数の対策を組み合わせることで、効果的に情報を防衛することが可能となるのです。
まずは自社の業務フローや現在の対策状況を分析してみることで、どのような対策を取るべきかがわかります。
4-2. 対策の優先順位を決める
複数の対策を組み合わせる必要があるからこそ行いたいのが、対策の優先順位を検討し、優先度の高い対策から対応することです。
例えば、以下のような優先順位の決め方が考えられます。
・すでに対策を行っている情報漏洩原因と対策が不十分な原因を分類し、対策が不十分な原因の対策を優先的に行う
・メール送信は頻繁に行うが機器類の廃棄は年内は行わないなど、リスクの発生頻度に偏りがある場合、発生頻度の高いリスクから対策していく
必要な対策をすべて一度にフォローするのは難しいため、リスクの高い分野から優先して対策をすることで、効率的に情報漏洩を防ぐことが可能です。まずは、現在の情報漏洩対策の実施状況を棚卸しすることから始めてみてはいかがでしょうか。
具体的な対策についてもっと詳しく知りたい場合は、「効果的な情報漏洩対策8つとは|原因を踏まえて対策することが重要!」をご覧ください。
5. まとめ
今回は、情報漏洩から身を守るために押さえておくべき情報漏洩のリスクについて、ポイントを解説しました。
最後に記事の内容をまとめて振り返ってみましょう。
情報漏洩のリスクには3つの種類があります。
| 情報漏洩が発生することに伴う3つのリスク |
|---|
| 1.情報を悪用される 2.金銭的損失が発生する 3.信頼が失われる |
情報漏洩のリスクに関する事例として、以下の2つをご紹介しました。
情報漏洩によるリスク発生の事例
| 株式会社ベネッセコーポレーション | 再委託先企業の派遣従業員による不正アクセスで個人情報約2,900万件が流出 |
| 任天堂株式会社 | 外部からの不正アクセスにより約30万件の個人情報流出 |
情報漏洩が発生する原因として多いのは、次のとおりです。
・情報の持ち出し時
・メール送信時
・情報・デバイスの廃棄時
・システム管理時
・サイバー攻撃
情報漏洩のリスクを踏まえて行うべき対策のポイントとして、複数の対策を組み合わせることと、対策の優先順位が挙げられます。
情報漏洩は簡単に起こります。そしてその影響は多岐にわたり、最悪の場合、事業の継続が困難になるでしょう。情報漏洩のリスクに関する知識を活用して、適切な予防策を講じておくことが大切です。
