情報漏洩とは 不正アクセスだけじゃない窃盗・紛失事例と7つの対策
情報漏洩とは、企業が守るべき個人情報や機密情報などが外部に流出することを指します。原因はランサムウェアなどのようなサイバー攻撃にとどまらず、「紛失や置き忘れ」、「誤操作」といったヒューマンエラーも多くあります。そこで、中小企業経営層が注意しておきたい情報漏洩の事例と、情報処理推進機構(IPA)が紹介する7つの対策を紹介します。
目次
情報漏洩とは
企業からの情報漏洩が後を絶ちません。顧客の個人情報や機密情報などが流出し、企業の信用失墜、顧客離れ、損害賠償など、深刻な影響をもたらしており、情報管理は経営課題として取り組む必要があります。
ランサムウェアなどによるサイバー攻撃が注目されやすいのですが、じつは日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターが2024年夏にまとめた「2023年度個人情報の取扱いにおける事故報告 集計結果」によれば、不正アクセス(9.0%)よりも事故報告が多いのが「誤配達・誤交付」(36.2%)「誤送信」(28.7%)「紛失・滅失・毀損」(10.2%)です。
とくに情報漏洩に注意したいのが、個人情報と秘密情報です。
個人情報とは
政府広報オンラインによると、個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。
個人情報と定義される範囲は広く、たとえば、生年月日や電話番号などは、それ単体では特定の個人を識別できないような情報ですが、氏名などと組み合わせることで特定の個人を識別できるため、個人情報に該当する場合があります。
また、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は個人情報に該当します。
↓ここから続き
このほか、番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。
個人情報保護委員会の公式サイトによると、2022年4月1日から、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が必要となります。
秘密情報とは
経済産業省の秘密情報ハンドブック(PDF)によると、企業の秘密情報には、不正競争防止法で定める①秘密として管理されている生産方法、販売方法その他の②事業活動に有用な技術上または営業上の情報であって、③公然と知られていないものを含む営業秘密などが含まれます。
上記の3つの要件を満たす営業秘密を「窃取等の不正の手段によって営業秘密を不正取得し、自ら不正使用し、若しくは第三者に不正開示する行為」をした場合、たとえば損害賠償請求権などの民事措置や、営業秘密侵害罪として10年以下の懲役またはは2000万円以下の罰金といった刑事措置が定められています。
情報漏洩の事例
IPAが公表した「情報セキュリティ10大脅威 2024」によると、組織向けの脅威として「内部不正による情報漏えい等の被害」や「不注意による情報漏えい等の被害」が挙げられています。
具体的には、2023年10月、元派遣社員が顧客情報の不正な持ち出しを行っていたことを公表したNTTビジネスソリューションズの事例や、個人情報をコピーしたUSBメモリを紛失した天草市立牛深市民病院の事例などがあります。
情報漏洩対策、IPAが7つの対策を提唱
このような事態を防ぐためには、IPA(情報処理推進機構)は「情報漏えい対策のしおり」を公表しています。企業で働く従業員向けの心構えですが、これらのポイントは、経営者にとっても、自社のセキュリティ対策を見直す上で重要な指針となります。2014年の資料のため、現在に合うように工夫して整理しました。
企業の情報を許可なく持ち出さない
最初のポイントは、「企業の情報を許可なく持ち出さない」ことです。JIPDECの調査にあったように、紛失などのリスクを下げるためには、社外への情報持ち出しに関するルールを明確化し、従業員に周知徹底する必要があります。
たとえば、持ち出しが必要な場合は、必ず上司の許可を得る手続きを設けたり、持ち出し可能な情報の種類や範囲を制限したりするなどの対策が考えられます。また、クラウド上で情報管理している企業も増えているので、次のようなこともしないよう呼び掛けましょう。
- 大切な情報を、ネットカフェなどほかの人も利用できるパソコンで利用する
- 業務で持ち出したパソコンを無防備な状態で企業外のネットワークに接続する
- 業務で持ち出したパソコンを業務以外の目的で利用したり、他人に貸したりする
また、根本的な解決ではありませんが、持ち出し時に、情報資産を暗号化するなどのセキュリティ対策を義務付けることも有効です。さらに、情報資産の持ち出し記録を作成し、適切に管理することも重要です。
企業の情報を目の届かない所に放置しない
IPAはやってはいけない例として次のような行動を挙げています。
- 業務上大切な書類を机の上に放置したまま席を離れる、あるいは帰宅する
- 離れた場所にあるプリンタに出力した書類を、すぐに取りに行かない
- 起動中のパソコンを他の人が利用できる状態で席を離れる
- モバイル可能なパソコンを机の上に放置して帰宅する
- 大切な情報が格納された電子媒体や書類を、鍵のかかるキャビネットなどにしまわない
- 個人宛の伝言メモを誰でも見えるところにおく
業務途中で席を離れる場合、起動中のパソコンには、パスワードロックのできるスクリーンセーバーが動作するように設定するとか、習慣としてコンピュータロックを実施するように心掛けましょう。
企業の情報を未対策のまま廃棄しない
業務に使用していたパソコンを、ハードディスクをきちんと消去しないまま廃棄したり、業務情報を格納した電子媒体や書類を、そのまま捨てたりしていませんか。
パソコンを廃棄する場合は、ハードディスクのデータを完全に消去する必要があります。データ消去ソフトを用いることで、ハードディスクのデータを復元できないように消去することができます。
また、機密書類は、シュレッダー処理または溶解処理を行うことで、情報漏洩を防ぐことができます。
私物の機器やプログラムを許可なく企業に持ち込まない
IPAはやってはいけない例を示しています。
- 私物(私有)のパソコンを持ち込んで、企業(組織)のネットワークに接続した
- 業務に必要のない情報(データ)を、業務中に利用した
- 業務に必要のない私物(私有)のプログラムを、業務中に利用した
- 業務に関係のないフリーウェアあるいはシェアウェアであるプログラムをインターネットからダウンロードした
- 業務に関係のないWebサイトを業務用のパソコンで閲覧した
- 業務で使用する電子メール(アドレス)を、私用で使用した
- 情報を格納することのできるUSBメモリなどの外部記憶装置を持ち込んで、業務用のパソコンに接続した
持ち込んだ私物のパソコンやUSBメモリなどの外部記憶装置がウイルスに感染していた場合は、企業内の他のパソコンやサーバに、ウイルス感染を広げる可能性があります。
権限を許可なく貸与または譲渡しない
企業では、業務で使用する情報や機器にも、利用者権限が担当者ごとに与えられています。
つまり、利用者IDごとに利用権限が定義されていて、利用者IDはパスワードまたは個人認証で保護されます。個人に割り当てられたIDやパスワードなどを、他人に貸与または譲渡すると、不正アクセスや情報漏えいのリスクを高めます。
IPAは「他の人に与えられた、利用者IDおよびパスワードを使用する行為は、なりすましと呼ばれ、不正アクセス禁止法に抵触します」と注意を呼び掛けています。
業務上知り得た情報を許可なく公言しない
IPAは注意すべき行動として、以下の例を挙げています。
- 居酒屋で上司の悪口や仕事の話を大声で話す
- 公共の場で携帯電話を使って仕事の話を大声でする
- 新幹線内でパソコンを使って仕事をする
- 会社の帰り道に電車の中で資料のレビューをする
- 不特定多数の人が集まる集合ビルの喫煙所で仕事をする
- SNSに自己紹介のつもりで仕事の話をアップした
軽率な発言や不用意な書き込みが、情報漏洩につながる可能性があります。特に、SNSの利用には注意が必要です。SNSに不用意な書き込みをすると、企業の情報や顧客情報が流出する可能性があります。
情報漏洩が起きたらすぐに報告する仕組みづくり
情報漏洩を起こしたり、発見したりした場合は、まず上司や管理者に報告することが重要です。対応を誤ると、企業の信用が失墜し、顧客離れや損害賠償などの深刻な事態に発展する可能性があります。
そのため、企業は報告体制を整備する必要があります。情報漏洩時の対応マニュアルを作成し、従業員に周知徹底することも重要です。また、連絡ルートを決めておけば、従業員が報告しやすくなります。
(続きは会員登録で読めます)
ツギノジダイに会員登録をすると、記事全文をお読みいただけます。
おすすめ記事をまとめたメールマガジンも受信できます。
