リスクレポート

頻発する企業の個人情報の漏洩。原因とその対策方法

企業の社会的信用やブランドを大きく棄損するトラブルとして個人情報漏洩事故があります。一度起こしてしまうと社会的信頼が一瞬で失墜してしまい、なくした信頼は並大抵の対応では取り戻せません。今回は企業のブランディングの大敵である”個人情報漏洩”の原因と対策について考えます。
※本記事は、2015年5月12日に公開された記事を一部再編集しております。

頻発する企業の個人情報の漏洩事故

昨今、サイバー攻撃など外部からの不正アクセスによる情報漏洩の危険性が取り上げられています。サイバーセキュリティー市場は、拡大しています。もちろん、外部からの不正アクセスの脅威は企業にとって、対策しなければならないリスクです。
しかし、情報漏洩の実態は少し異なるようです。

 

JNSA(日本ネットワークセキュリティ協会)の調査によると、2014年から外部からの不正アクセスが増加しているものの、2018年も情報漏洩の約8割の原因は、内部に起因するとの結果が公表されています。

 

2017年との情報漏洩のインシデント概要からも読み取れますが、内部からの情報漏洩がなくなり、不正アクセスが増加したというわけではありません。

今後、クラウドサービスの活用等で、情報が外部からアクセスしやすい環境に置かれること、企業が所有する情報の量が増えることからも、不正アクセスによる情報漏洩のリスクは高まることが想定されます。
つまり、内部・外部両面からの情報漏洩のリスク自体が高まることが想定されます。

それだけなく、デジタルファースト法案で今後の活用促進が明記されていますが、マイナンバーが個人情報の管理に大きな影響を及ぼしていくことが想定されます。

マイナンバーを含む個人情報を外部に提供、あるいは漏洩させた場合、最も重い刑事罰では、「4年以下の懲役または200万円以下の罰金」もしくはその両方を科せられることになりました。もちろん、漏洩した個人への補償や信頼の失墜といった民事的な責任も同時に問われることになります。

個人情報を守る理由

個人情報保護法で下記のように定義されています。

個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいう。」

例えばメールアドレスだけであっても、会社名や名前が入っていて個人が特定できれば、個人情報となります。過去の個人情報漏洩事件では、関連会社の従業員が外部にデータを持ち出し、名簿会社に販売したことが原因となったケースもあります。

この事例のように個人情報を売り買いする”マーケット”が存在します。
入手した情報を活用すれば、犯罪者はピンポイントで狙い撃ちして“オレオレ詐欺”を仕掛けるといったことも容易になります。そのため、多くの場合、犯罪者が買い手となり、犯罪に利用されます。

企業側は、何も対策をしないことで犯罪の手助けをすることにならないよう、企業規模を問わず、情報を守らなければなりません。

予防する方法はあるのか。

このような内部からの情報漏洩に有効な予防法はあるのでしょうか。

『内部不正経験者が効果的だと考えられる対策』のアンケート結果

1位  ネットワークの利用制限がある(メールの送受信先の制限、Webメールへのアクセス制限、Webサイトの閲覧制限がある)
2位  技術情報や顧客情報などの重要情報にアクセスした人が監視される(アクセスログの監視等を含む)
3位  技術情報や顧客情報などの重要情報は特定の職員のみがアクセスできる
4位  職務上の成果物を公開した場合の罰則規定を強化する
5位  管理者を増員する等、社内の監視体制を強化する

出典:内部不正による 情報セキュリティインシデント実態調査(独立行政法人情報処理推進機構)

利用制限を行い、機密情報へのアクセス自体の制限を行うことは、効果的と想定されていますが、その他には、誰がどの情報にアクセスしているのかをログ監視することや、そのログ監視のためのリソースを割くことが効果的であるというアンケートも出ています。

”誰がやったのか”がすぐにわかるようなログ記録・管理のシステムがあり、導入していることを周知することは、従業員のモラル低下を防ぐのに最も有効な手と言えます。同時に、情報セキュリティの観点から業務プロセスの診断・改善を専門業者と行うことで従業員の過失による情報漏洩リスクもかなり軽減されるでしょう。

特に中小・中堅企業においては、情報セキュリティ対策の重要性は分かっていても、目先の利益に直結しないため後回しになってしまうことが見受けられます。この機会に企業の信用力・ブランドを守るために情報セキュリティについて再点検してみてはいかがでしょうか。

内部ログをリアルタイムで解析し、企業のリスクを未然に防ぐサービス
リスクインテリジェンスサービスはこちら

この記事を書いた人

デジタルリスクラボ編集部
デジタルリスクラボ編集部の研究員が更新。
今の時代に沿った新しいリスクの解決メディア。