情報漏えいが起こる原因
顧客の個人情報など、企業にはさまざまな機密情報が存在します。情報漏えいが起こる原因には、メールの誤送信や不正な情報の持ち出しなどの人為的ミス・内部不正と、サイバー攻撃や不正アクセスなどの外部攻撃の2つがあります。
人為的ミスとしては誤送信のほかにデバイスの紛失や誤廃棄などケアレスミスが原因の場合が多くあり、従業員の意識向上やシステム導入による対策が有効です。外部攻撃はウイルス感染などが原因のため、自社で使用しているデバイスやネットワークのセキュリティ性を高めることが重要です。
情報漏えいによって生じるリスク
情報漏えいはさまざまな原因によって引き起こされます。それでは、実際に情報漏えいが起こってしまうと、どのようなリスクがあるのでしょうか。
ここでは、情報漏えいによって生じるリスクを解説します。具体的なリスクは、以下のとおりです。
信頼の喪失
まず大きなリスクとして、顧客からの信頼の損失が挙げられます。例えば顧客データの漏えいが発生すると、顧客の信頼を失い、結果としてビジネスへの影響が生じてしまうでしょう。
さらに、情報漏えいはメディアで取り上げられることが多く、企業の評判やブランドイメージに長期間にわたる損傷を与える可能性があります。
情報漏えいは、既存顧客だけでなく、潜在的な顧客やビジネスパートナーからの信頼も損ねることがあり、新しいビジネス機会の喪失につながってしまうのです。
法的責任と罰則
個人情報保護法などの規制に違反した場合、企業は法的責任を問われる可能性があります。法律違反には罰金が課されるほか、より深刻な場合には刑事責任を負うこともあるでしょう。
経済的損失
情報漏えいにより、企業は訴訟費用、賠償金、再発防止策の実施に伴うコストなど、大きな経済的損失を被ることがあります。
さらに情報漏えいによって損なわれた信頼をすぐに取り戻すのは難しく、ビジネスへの影響も大きいため、経済的損失の穴を埋められずに倒産してしまうことも考えられます。
人為的ミス・内部不正による情報漏えい対策のポイント
ここでは、人為的ミス・内部不正による情報漏えい対策を実施する際のポイントを解説します。具体的な対策のポイントは、以下のとおりです。
- ●情報や機器の不要な持ち出し・持ち込みの制限
- ●メールの誤送信対策
- ●情報資産の安易な放置・廃棄の防止
- ●許可を得ない権限譲渡や情報の公言防止を徹底
- ●アクセス権の厳格な管理
- ●定期的なセキュリティトレーニング
- ●モニタリングと監査の強化
- ●物理的セキュリティの強化
それぞれのポイントについて詳しく解説します。
情報や機器の不要な持ち出し・持ち込みの制限
情報漏えいの原因として、記憶媒体やデバイスの管理ミスが高い割合を占めます。逆にいえば、社員に適切な行動を促せれば多くの情報漏えいは防げるでしょう。具体的には、以下のような注意を促しましょう。
- ■パソコンやメモリを安易に外に持ち出さない
- ■持ち出す際にはデータ暗号化や端末ロックなどの対策を施す
- ■私有のパソコンを社内ネットワークにつなげない
- ■私有のメモリを業務用パソコンに使わない
- ■許可されていないオンラインストレージに情報を保存しない
- ■業務用と私用でメールアドレスを使い分ける
メールの誤送信対策
顧客情報や個人情報などの機密情報を記載または添付したメールを誤送信してしまった場合は、情報漏えい事故になります。誤った送信先にメールを送らないよう注意することは重要ですが、大量のメールをやり取りする場合は完全に防ぐことは困難です。そのため、以下のような対策を行うとよいでしょう。
- ■重要なメールは上長の承認後に送信する
- ■送信前にシステムでセキュリティチェックをかける
- ■メールの送信を一定時間保留し、問題があれば送信取消が可能なシステムを活用する
ケアレスミスを完全に無くすことは難しいため、メールのセキュリティチェックができるシステムや仕組みを活用し、情報流出を防止するのがおすすめです。
以下の記事では、メール誤送信対策ツールを比較紹介しています。人為的なインシデントで大きな割合を占めるメール誤送信を防止できるため、まずは自社のメールセキュリティから対策したいと考えている方はあわせてご覧ください。
情報資産の安易な放置・廃棄の防止
情報資産の放置や廃棄が漏えいにつながる例も珍しくありません。情報漏えいを防ぐには以下のような情報管理の注意が求められます。
- ■業務用スマホを机の上に置いたまま帰宅しない
- ■業務用パソコンのロックをかけないまま離席しない
- ■紙の書類をどこかに置きっぱなしにしない
- ■紙の書類を鍵のかかっていない棚などで保管しない
- ■デバイスや紙の書類が入った鞄を居酒屋などに持っていかない
- ■紙の書類を無造作にゴミ箱に入れるなど不適切な方法で廃棄しない
- ■データを完全に削除していない状態でメモリを捨てない
電子媒体のデータ削除については、専門のサービスを使う手もあります。例えば、パソコンを廃棄する際にそのハードディスクの記録を完全に消してくれます。そうしたサービスの利用も視野に入れて適切な廃棄手順を策定し、社内ルールとして浸透させましょう。
許可を得ない権限譲渡や情報の公言防止を徹底
社員には、業務上知り得た社内情報や企業情報、重要情報は安易に口外してはいけない守秘義務があります。ところが、その義務を守れなかったために情報漏えいが起こる例も少なくありません。
社員のセキュリティ意識や知識が足りないせいで発生する情報漏えい事故は多くあります。そのため、社員の意識と知識を高めるためにセキュリティ教育の場を設けることが必要です。
また、先述した「業務の情報を公言してはいけない」点については、社員と守秘義務契約の締結を行うことが大切です。契約を結ばなくても業務情報を公言しないことは社会人としてのモラルですが、守れない人は少なくありません。あらためて契約を結ぶことで、社員に強い危機感を促せます。
アクセス権の厳格な管理
社内のデータアクセス権を厳格に制御することで、不正アクセスや情報漏えいのリスクが軽減するでしょう。重要なデータへのアクセス権は、その必要性が明確に確認された従業員に限定し、定期的な見直しを行うことが重要です。
よくあるトラブルとして挙げられるのが、離職者にもアクセス権が残っていて、自由に機密情報を閲覧できてしまっていたというパターンです。離職者のアクセス権は直ちに削除するなど、従業員の状況変化に応じた迅速な対応を進めていきましょう。
定期的なセキュリティトレーニング
従業員に対する定期的なセキュリティ講習は、情報漏えい防止の基盤を築くことにつながります。フィッシング詐欺やソーシャルエンジニアリングの認識、パスワード管理の最適化、緊急時の対応方法など基礎的な情報セキュリティ全般を教育するのがおすすめです。特に、実際の事例を用いたトレーニングは理解を深め、実践的な知識にもなるでしょう。
モニタリングと監査の強化
ネットワークやシステムのモニタリングと定期的な監査を通じて、不正アクセスや内部不正の早期発見を目指すのも、情報漏えい対策の一つです。異常なデータアクセスパターンや不審なネットワーク活動の検出を強化し、インシデントへの迅速な対応を可能にしましょう。
物理的セキュリティの強化
オフィスの物理的なセキュリティ強化も、立派な情報漏えい対策です。入退室管理システムやセキュリティカメラの設置、機密文書を保管する部屋への入室制限などが有効でしょう。
参考:情報漏えい発生時の対応ポイント集|独立行政法人情報処理推進機構
情報漏えいが発生してしまった場合の対処方法
これまで紹介したことを守っていれば、多くの情報漏えい事故を防止できます。しかし、人間が行う以上事故が起きる可能性をゼロにはできません。そこで、万が一事故が起きた際のことも考えておく必要があります。
ここでは、情報漏えいが発生してしまった場合の対処方法を解説します。具体的な対処方法は、以下のとおりです。
- ●漏えいしてしまった内容の詳細確認
- ●関係部署への速やかな報告
- ●影響の拡大防止に向けた措置の実施
- ●原因の特定と再発防止策の実施
- ●法的な対応と記録の保持
それぞれのポイントについて詳しく解説します。
漏えいしてしまった内容の詳細確認
情報漏えいが確認された際、最初に行うべきは漏えいした情報の詳細な内容の確認です。どのようなデータが漏れたか、その情報の重要度や影響範囲はどれくらいかを正確に把握しましょう。漏えいしたデータが顧客情報、財務情報、またはほかの機密情報かによって、対応策が異なります。
関係部署への速やかな報告
社員には、事故を起こしたらすぐに上長と情報セキュリティ部門など社内で取り決められた届け先に報告することを意識づけましょう。なぜなら、情報漏えい事故では顧客や取引先、株主など多くの人に被害が及ぶ可能性があり、速やかな対処が求められるからです。報告のあとは、企業のセキュリティポリシーなどに従い慎重に対処していきましょう。
影響の拡大防止に向けた措置の実施
漏えいした情報の更なる拡散を防ぐため、ネットワークのセキュリティ強化やアクセス制御の見直しを速やかに行います。必要に応じて、システムの一時停止や利用者のアクセス制限を実施し、漏えいの影響を最小限に留めましょう。
原因の特定と再発防止策の実施
情報漏えいの原因を徹底的に調査し、同様の事故が再発しないよう適切な対策を講じます。漏えいの原因が技術的な問題、人為的ミス、内部不正などであれば、それぞれに応じた改善策を実施することが必要です。
法的な対応と記録の保持
情報漏えいに関連する法的要件に対応するため、法務部門と協力し、必要な法的措置を講じましょう。また、すべての対応過程を記録し、将来の参考にするための情報として保持するのも大切です。
外部攻撃による情報漏えい対策のポイント
ここでは、ウイルス感染や不正アクセスなどの外部攻撃による情報漏えい対策のポイントについて解説します。具体的な情報セキュリティ対策のポイントは以下のとおりです。
- ●セキュリティソフトの導入
- ●ID・パスワードの適切な管理
- ●デバイス制限とアクセス認証の強化
- ●アップデート・脆弱性の定期的な確認
それぞれのポイントについて詳しく解説します。
セキュリティソフトの導入
情報漏えいのなかでも、大規模な情報漏えい事故につながりやすいのが外部攻撃による情報漏えいです。外部攻撃による情報漏えいは十分なセキュリティ対策を施すことである程度防げるので、セキュリティソフトを導入し、自社内のデバイスやネットワークを保護するとよいでしょう。より強固なセキュリティ対策を行うのであれば、多層防御の導入がおすすめです。
セキュリティ対策を幾重にも重ねて施すことによる隙のない防御を、多層防御と言います。不正アクセスはファイアウォールで防ぎつつ、万が一突破されたときのために機密情報を暗号化しておくといった形です。
多層防御では外部攻撃のみならず、人的ミスのリスクを最小限に抑えることもできます。例えば、社員がID・パスワードを流出させて第三者に不正アクセスされても、暗号化していれば情報を盗まれずに済む可能性があります。情報セキュリティにおいて重要な3要素であるCIA「機密性・完全性・可用性」も確保することが可能です。
以下の記事では、サイバー攻撃対策ツールを比較紹介しています。外部攻撃による情報漏えい対策に有効な機能を搭載しているツールなので、導入を検討したい方は参考にしてください。
ID・パスワードの適切な管理
社内システムやネットワークにアクセスする際にID管理・パスワードを活用している企業は多いでしょう。そのため、ID・パスワードが流出することによって外部から不正アクセスを受け、情報漏えい事故につながる場合があります。ID・パスワードを適切に管理するには、以下のようなことに注意するとよいでしょう。
- ■ログインIDやパスワードを第三者に教えない
- ■上記の情報を人から見られる場所に書かない
- ■ID・パスワードの使いまわしをしない
- ■ID・パスワードは定期的に更新する
- ■部屋の認証キーなどを第三者に譲渡・貸与しない
デバイス制限とアクセス認証の強化
自社内のシステムやネットワークにアクセスするデバイスを制限したり、アクセス認証設定をかけたりすることで、外部攻撃に対するセキュリティをより強固にできます。アクセス認証には、二段階認証やワンタイムパスワード、リスクベース認証や生体認証などがあり、不正アクセス対策に有効です。デバイス制限でもセキュリティの強化は可能ですが、外回りが多い職種やテレワークを導入している企業はデバイスの紛失に注意が必要です。
アップデート・脆弱性の定期的な確認
OSや自社内のシステムに脆弱性がないかを定期的に確認することで、外部攻撃の原因を排除するよう心がけることも重要です。特にOSやシステムのアップデートは、重大な脆弱性を改善したプログラムを配信している場合があるため、アップデートがないかこまめに確認するとよいでしょう。脆弱性診断機能を搭載したセキュリティソフトを導入することも有効です。
情報漏えい対策のポイントを知り有事に備えよう
情報漏えい事故を防ぐには、人為的ミス・内部不正と外部攻撃の両方で対策を取る必要があります。マニュアルの整備や社員教育も重要ですが、人の手だけでは防ぎきれないことも多いためセキュリティソフトを導入することがおすすめです。まずは情報漏えい対策に活用できるツールがどのようなものか、製品の資料請求をして詳しく知ることからはじめてみるとよいでしょう。
