情報漏洩の恐ろしいリスクとは|発生する原因や対策について

情報漏洩の恐ろしいリスクとは|発生する原因や対策について

内部不正やハッキング被害により発生する情報漏洩。企業が情報を漏洩してしまうと、社会的信用の失墜、サービス停止などの事態に追い込まれてしまいます。

ニュースでは知名度のある企業の事例だけがセンセーショナルに取り上げられますが、いかなる会社や個人においても情報漏洩をしてしまう可能性があります。

本記事では、情報漏洩の現状や最新動向、被害事例などを踏まえ、取り組むべき対策のポイントを解説します。

情報漏洩とは?

情報漏洩とは、機密情報や個人情報などの重要データが外部に漏洩することを指します。2020年現在、スマートフォンの普及やインターネットを活用したビジネスの拡大、新型コロナウイルス感染症対策のためのテレワーク普及にともなって、情報漏洩が発生するリスクは増加しています。

2019年の東京商工リサーチの調査によれば、上場企業とその子会社において、個人情報の漏洩・紛失事件を公表したのは66社、事故件数は86社、漏洩した個人情報は900万件以上にものぼります。また、2019年はマルウェア感染や不正アクセスを起因とする情報漏洩が多く、調査開始から最多の32社(41件)発生しています。さらに、漏洩した個人情報が100万件を超えるインシデントも2件発生しています。

参照:「上場企業の個人情報漏えい・紛失事故」調査|株式会社東京商工リサーチ

次に、情報漏洩の要因について解説します。

2018年にJNSA(日本ネットワークセキュリティ協会)が行った調査によれば、情報漏洩の原因は、紛失・置き忘れが26.2%でもっとも多く、次いで誤操作24.6%、不正アクセス20.3%、管理ミス12.2%、盗難3.8%と続きます。原因TOP5のうち4つは従業員の過失であり、基本的なセキュリティ対策の徹底が重要なことがわかります。

参照:2018年 情報セキュリティインシデントに関する調査報告書|JNSA

個人情報保護法とは?

個人情報保護法とは、個人情報の不正利用や不適切な取り扱いを防止する法律で、2003年5月に成立、2005年4月に全面施行されました。

この法律では、個人の氏名、旅券(パスポート)番号やマイナンバー等の公的番号、顔が判別できる画像・映像、生体認証データなど個人を識別することができる情報を個人情報と定義づけ、個人情報を扱う事業者すべてに個人情報法保護法の遵守義務を課します。

個人情報保護法に違反し、かつ個人情報保護委員会からの改善命令に従わない場合は、6カ月以下の懲役または30万円以下の罰金が科されます。2022年春からは、不正アクセスによる情報漏洩が発生した場合、漏洩件数にかかわらず被害者本人への通知、並びに個人情報保護委員会への報告が義務づけられます。

情報漏洩の種類

情報漏洩は、「過失による情報漏洩」と「故意の情報漏洩」、そして「サイバー攻撃によって発生する情報漏洩」の3パターンに分類できます。

過失による情報漏洩

端末や記憶媒体の紛失

情報漏洩でもっとも多いのが、紛失・置き忘れです。書類が入ったカバンを電車内の網棚や飲食店に置き忘れる、USBメモリなどの記憶媒体を紛失することで、機密情報の漏洩につながるケースが多発しています。

メールの誤送信

メールの誤送信による情報漏洩も依然として多く発生しています。誤送信はメールを複数人に一斉送信する際に起こりやすいです。BCC欄に入力すべきメールアドレスをTO欄やCC欄に入力して送信した結果、受信者が他の宛先を閲覧できる状態になってしまったケースがほとんどです。「日本情報漏えい年鑑2019」では、メール誤送信による情報漏洩のうち、TO欄に誤って宛先を入力したケースが60.7%と報告されています。

参照:メール誤送信による情報漏えい、事故原因の分析と対策の手がかり|イード

設定不備・操作ミス

特に、近年はクラウドサービスに関する設定不備が多発しています。クラウドサービスでは社内で管理されていた情報がインターネット上で管理されることになります。そのため今まで以上に厳格な管理が必要ですが、現実はそうはなっていません。アクセス権の設定を誤り、社外から機密情報へのアクセスが可能になった事例も報告されています。

故意による情報漏洩

内部不正による情報流出はきわめて根が深く深刻です。IPAの調査によれば、内部不正によって持ち出された情報の流出先は、「国内の競業他社」が32.4%、「外国の競業他社」が10.5%となっており、技術情報などが競業他社に流出するリスクがあります。また、内部不正が発覚しても、内部処理で済ませるケースが多く、具体的な対策が講じられないまま、問題が長期化する傾向にあります。

内部不正はどう防げばいい? 過去の事例や対策について解説説
関連記事
内部不正はどう防げばいい? 過去の事例や対策について解説

内部不正の恐ろしい実態と発生原因、対策について詳しく解説いたします。

サイバー攻撃による情報漏洩

パスワードリスト攻撃、フィッシングメール、マルウェア感染、SQLインジェクションなどサイバー攻撃による情報漏洩の被害は後を絶ちません。サイバー攻撃の手口は多様化、巧妙化しており、セキュリティ対策の重要性は年々高まっています。

サイバー攻撃とは? 攻撃の種類や被害事例・最新の対策方法について
関連記事
サイバー攻撃とは? 攻撃の種類や被害事例・最新の対策方法について

日々、複雑化、巧妙化するサイバー攻撃。パソコン、スマホ、タブレット、皆が当たり前のようにIT機器を使う時代になりました。......

情報漏洩が発生する3つの原因

ここでは情報漏洩が発生してしまう3つの原因を紹介します。

予算不足

セキュリティ製品の導入、セキュリティの専門人材の採用など、情報漏洩を防ぐためには、多くの予算が必要になります。しかし、日本では海外諸国と比較してセキュリティ対策にかける予算は少ない傾向にあります。

NRIの調査によれば、IT関連予算のうち10%以上をセキュリティ関連予算に充てている割合は日本企業で約20%であるのに対し、イギリス、シンガポール、アメリカ、オーストラリアの4ヵ国は50%を超えていました。

参照:経営の関与で企業のセキュリティは強くなる|NRIセキュア調査結果

人手不足

セキュリティ人材が不足している要因には、IT環境の急激な変化による業務量の増加、サイバー攻撃の多様化・巧妙化が挙げられます。

特に、予算が限られる中小・零細企業では、セキュリティ人材の採用コストが捻出できず、セキュリティ対策が手薄になります。

情報処理推進機構(IPA)が実施した調査では、国内の従業員数300名以上の大企業・中堅企業534社を対象にアンケートを実施したところ、最高情報セキュリティ責任者を社内に設置している割合は7.5%、CSIRT(インシデント発生時に対応する組織)に1名以上の専任のメンバーを設置している割合は31.1%で、多くの場合、セキュリティ人材は他業務と兼務しているのが実情です。

参照:サイバーセキュリティ体制構築・人材確保の手引き

参照:企業のCISO等やセキュリティ対策推進に関する実態調査

技術力・ノウハウ不足

前の調査にもあるように、セキュリティ人材の多くは兼任担当者であり、専任人材が不足しています。新しい技術の発展とともに、ISO/IEC 27001やPCI DSSといった情報セキュリティ管理に関する規格、ゼロトラストのようなネットワークセキュリティの概念、暗号化や認証といったセキュリティ技術など幅広いサイバーセキュリティの知識や技術が求められます。

参照:ISMSとは? ISO / IEC 27001との違いや取得方法について解説

参照:PCI DSS|取得費用やメリットや方法などを解説

情報漏洩がもたらすリスクとは?

情報漏洩がもたらす脅威やリスクは多岐にわたります。ここでは代表的な5つを紹介します。

なりすまし・不正利用

IDやパスワード、メールアドレスなど個人情報が漏洩すると、SNSのアカウントが乗っ取られたり、顧客のクレジットカードが不正利用されたり、企業になりすましてメールが送付されたりするリスクが高まります。

刑事罰を受ける

情報漏洩が発覚した場合、個人情報保護法に基づき、国からの改善命令が出されます。

改善命令に従わない場合、6ヵ月以下の懲役または30万円以下の罰金刑が科されます。

また、不正に利益を得る目的で、故意に情報漏洩した場合は、加害者に1年以下の懲役または50万円以下の罰金刑、会社にも50万円以下の罰金刑が科されます。

損害賠償

個人情報が漏洩すると、刑事罰とは別に民事上の損害賠償責任が発生します。損害賠償額は事案によって異なりますが、1人あたり数千円から数万円、合計すると1,000万円を超える莫大な金額になることもあります。

社会的信用の低下

個人情報を漏洩した企業は、社会的信用が大きく低下します。それにより、重要顧客の取引停止、株価下落、営業機会の損失などの損害が発生します。また情報漏洩が報道されると、顧客や取引先からの問い合わせや苦情、SNSには誹謗中傷の書き込みが増え、対応に追われることになります。業務効率が悪くなるばかりでなく、従業員の士気も低下します。

Webサイトの改ざん

Webサイトの管理者IDやパスワードが漏洩した場合は、サイトの改ざん被害に遭うこともあります。単にWebサイトが改ざんされるだけでなく、不正プログラムが埋め込まれ、閲覧者がマルウェアに感染し、結果としてネットバンキングのIDやパスワードが盗み取られる恐れがあります。

情報漏洩が発生した事例

ここでは、実際に過去に発生した情報漏洩の被害事例をご紹介します。

株式会社ヤマダ電機

2019年5月、ヤマダ電機が運営する通販サイト「ヤマダモール」「ヤマダウェブコム」が不正アクセスを受け、約37,000件ものクレジットカード情報が流出したことを発表しました。一部の顧客のクレジットカード情報が不正利用されたことを確認しています。不正アクセスにより「ヤマダモール」「ヤマダウェブコム」はクレジットカードの新規登録や変更の停止を余儀なくされました。

宮崎県西都市

2020年11月、宮崎県西都市の市ホームページで個人情報が流出しました。発表によると流出した個人情報は名前、メールアドレス、住所、電話番号などでした。情報漏洩の原因は市ホームページの改修事業を担当する団体が一部不適切な処理をおこなった結果、サーバーが不正アクセスされたことによるものでした。

品川近視クリニック

2008年11月、品川近視クリニックは過去に受診した約18,000名もの患者の個人情報が漏洩したことを発表しました。個人情報の漏洩は外部機関からの指摘により判明したそうです。

情報漏洩が発覚した場合にすべきこと

万が一、情報漏洩が発覚した場合、どのように対処すればよいのでしょうか。

漏洩した情報の確認・把握

5W1H(いつ、どこで、誰が、なぜ、どうしたのか)に基づき、調査ならびに情報の把握をします。また、事実関係を裏付ける証拠は消去せずに必ず保全しましょう。

報告・通知・公表

個人情報の漏洩が発覚した場合、その事実関係と再発防止策を個人情報保護委員会に速やかに報告する必要があります。

また紛失や盗難、内部不正、不正アクセスなど犯罪につながる場合は警察にも報告します。個人情報漏洩は企業の信用や信頼に関わりますので、対象者に通知し、誠意をもって対応しましょう。被害者の損失や社会への影響などを考慮し、必要と判断した場合は、記者会見やホームページでの公開・報告をします。

再発防止策の検討・実施

今回の事案をもとに再発防止策を検討し、実施します。内部での過失や故意による情報漏洩であれば、具体的な防止策としては、パソコンの持ち出しを禁止する、IT資産管理ツールの導入、社内教育を徹底するなどが挙げられます。

情報漏洩を防ぐ対策

では、情報漏洩の被害から身を守るには、企業としてどのような対策を講じるべきなのでしょうか。

情報を適切に管理する

基本的ですが、とくに重要なのが情報管理ルールの徹底です。

情報資産を目の届かないところに放置しない、離席時は必ずスクリーンロックする、重要情報が含まれている電子媒体や書類は、机に放置せず鍵付きのキャビネットに収納するなど、基本的なルールの遵守を徹底しましょう。

情報の暗号化

万が一、攻撃者の手に情報がわたっても、情報の暗号化をしておけば情報を保護できます。情報の復号には暗号鍵が必要になりますので、暗号鍵は厳重に管理する必要があります。暗号鍵が漏洩すれば、データは解読されてしまうので、注意が必要です。

セキュリティ製品の導入

ファイアウォール、WAF、IDS/IPSなどのセキュリティ製品で多層防御することで、マルウェアやDoS攻撃/DDoS攻撃、SQLインジェクションといったサイバー攻撃から防御できます。内部不正対策のために、IT資産管理ツール、ログ管理製品などもあわせて導入しましょう。

当社の統合ログ管理製品「ALog EVA」はこちら

権限の供用の禁止

業務や体制に応じて付与された権限、特にシステムの管理や保守ができる特権IDの供用は、情報漏洩の原因となります。権限の不正利用や濫用を防止するためには、罰則規定を含んだ秘密保持契約(NDA)の締結、多要素認証やID管理システムの導入をしましょう。

連絡・報告窓口の設置

万が一、情報漏洩したときに備えて連絡・報告窓口を設置します。連絡・報告窓口の設置は事実確認と情報の一元管理に必要不可欠です。また、情報漏洩の際には、IPAが公表している「情報共有シート」を活用することで、正確な情報を収集できます。

まとめ

情報漏洩が発生する原因は、ヒューマンエラーから、内部不正、サイバー攻撃まで多岐にわたります。ひとたび、情報漏洩が発生すれば、社会的信用は大きく損なわれ、重要顧客の取引停止、株価下落、営業機会の損失など、事業継続が危ぶまれる事態にまで発展します。情報漏洩は、けっして対岸の火事ではなく、明日は我が身に起こるかもしれないトラブルです。ぜひ、本日のポイントを参考にしてみてください。

宮田 昌紀(みやた まさのり)
株式会社網屋
内部統制コンサルティング シニアマネージャー
宮田 昌紀(みやた まさのり)

網屋入社後、公認情報システム監査.(CISA)として、大手企業の情報セキュリティやITガバナンスのコンサルティング及び内部監査支援業務に携わる。近年は、サイバー対策や働き方改革など、様々な目的に応じたログの可視化や有効活用のためのソリューションコンサルティングにも従事。国内企業に限らず、外資系企業や自治体などへのコンサルティングも展開。

ホワイトペーパー

AIが防ぐ未来の情報漏えい 内部不正対策の新常識とは

損失額4億円越えの情報漏えい事件は日常的に起こりうる!内部不正を主とした被害事例を元に、情報の流出経路を分析し、効率的な監視ポイントをご紹介。

ページ先頭へ