デジタル化が進む中、企業の情報管理は以前にも増して重要な課題となっています。個人情報や企業の知的財産などが漏洩した企業は、顧客からの信用失墜や大きな経済的損失を招きかねません。本記事では、情報漏洩がもたらす具体的なリスクをはじめ、情報漏洩が起こる原因や防止対策を分かりやすく解説します。
情報漏洩とは
情報漏洩とは、許可を受けた関係者以外に知られてはならない重要なデータ(機密情報)が外部へ流出してしまうことです。企業が保有する主な機密情報としては、顧客や従業員の個人情報、製品の設計図面や製造方法などの開発情報、社外秘の契約書・見積書などが挙げられます。
東京商工リサーチの調査によれば、2022年に上場企業とその子会社から漏洩した個人情報は約592万人分にも達し、事故件数(165件)と事故の公表社数(150社)は2年連続で最多を更新する結果となりました。これは、企業がどれだけ深刻な情報漏洩リスクに直面しているかを示す重要なデータでもあります。
情報漏洩が発生すると、企業は顧客や取引先などステークホルダーからの信頼を失い、ブランドイメージが損なわれます。場合によっては、民事上の損害賠償や、刑罰の対象になる可能性もあります。このように、情報漏洩は、企業へ大きな悪影響をもたらす可能性のある大きなリスクです。
参照元:個人情報漏洩・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏洩・紛失事故」調査 ~ | TSRデータインサイト | 東京商工リサーチ
注意すべき情報漏洩の原因ランキング
情報漏洩はさまざまな原因で発生するものです。独立行政法人情報処理推進機構(IPA)のセキュリティセンターは、「情報セキュリティ10大脅威」という資料で、個人や組織の情報セキュリティを脅かす脅威をランキング形式で毎年発表しています。以下では、2023年3月に公表された最新版「情報セキュリティ10大脅威2023」で上位5つにランクインした、組織の情報漏洩を引き起こす主な原因を紹介します。
1位 ランサムウェア
ランサムウェアとは、標的のシステムや端末、データを暗号化して使用不能にし、その解除をするための「身代金」を要求するマルウェアです。攻撃者は単にデータを暗号化するだけでなく、その内容を盗み見て、「身代金を払わねばその情報を流出させるぞ」と脅迫してくることもあります。
ランサムウェアの感染経路は、マルウェアが埋め込まれたメールの添付ファイルやWebサイト、脆弱性のあるネットワークやOS、ソフトウェアなど多種多様です。ITへの依存度が高い現代のビジネス環境では、ランサムウェアに感染してシステムが使用不能になると、通常の企業活動が大きく阻害されることになります。身代金を払っても、その後攻撃者が約束を履行するとは限らず、企業にとって非常に対応に苦慮する問題です。
2位 サプライチェーンの弱点
サプライチェーンの弱点(サプライチェーン攻撃)も情報漏洩の可能性を高める要因となり得ます。サプライチェーン攻撃とは、標的となる企業や組織の取引先やパートナー企業への攻撃を足掛かりにして、本命への攻撃を仕掛ける手法です。この攻撃の巧妙な点は、標的となる企業のセキュリティ対策がどれほど堅牢であろうとも、その取引先や子会社などが脆弱性を抱えている場合、攻撃者はそこを経由して目標を達成できる可能性があるという点です。
たとえば、取引先の担当者のメールアドレスを乗っ取って、本命企業になりすましメールを送り、そこから機密情報を盗むマルウェアに感染させるなどの手法が考えられます。その企業が利用するソフトウェアの開発元などに攻撃を仕掛けて足掛かりとする場合もあります。この攻撃への対応には、自社だけでなく、関係企業のセキュリティ体制にも留意する必要があります。
3位 標的型攻撃
標的型攻撃とは、特定の組織や個人を狙った攻撃のことを指します。これは一般的なサイバー攻撃と異なり、対象に対する詳細な情報を元に行われる計画的な攻撃で、ターゲットの油断や隙を狙ったその手口は多種多様です。「取引先の担当者になりすます」という先の例も、ターゲットと取引先担当者の関係や日常的なやりとりに基づいて巧妙に仕組まれるため、これも標的型攻撃の一例と言えます。
標的型攻撃は多くの場合、長期間にわたって実施され、綿密な情報収集や、対象のシステムやネットワークへの侵入、重要な情報の窃取などを段階的に行います。巧妙に偽装された標的型攻撃を見抜くには、システム面でのセキュリティ強化だけでなく、従業員一人ひとりの情報リテラシーを高めることが必要です。
4位 内部不正
従業員や元従業員など、組織内の関係者による意図的な情報漏洩が多発しています。内部不正は、システムやデータへの不正なアクセスや改ざん、削除、漏洩などを従業員自身が行うので、外部からの攻撃のみを想定したセキュリティ対策では防ぐことが困難です。特に重要な情報へのアクセス権限を持つ人物による不正行為は深刻な影響を及ぼします。
従業員本人に悪意の無い、不注意による内部不正の例も増加していますが、機密情報をUSBメモリに保存して勝手に持ち出した挙句、それを紛失してしまうというような、セキュリティ意識の低さからくる情報漏洩の事例が大半です。内部不正の発生要因には、従業員のモラルの低下、アカウントやアクセス権限の不適切な管理、セキュリティ教育の不足などが挙げられます。「メールの送信先を間違える」「情報の公開範囲を間違える」などの「うっかりミス」は、常に上位にランキングされており、2023年も9位にランクインしました。軽視できない問題として、企業には難しい対策が迫られています。
5位 テレワーク環境の脆弱性
新型コロナウイルスの流行によるテレワークの普及に伴い、テレワーク環境の脆弱性に起因する情報漏洩も急増しました。テレワーク環境では、社内のシステムに社外からアクセスし、機密情報を取得することが必然的に増えるので、オフィス内の業務だけを想定したセキュリティ対策では不十分です。
典型的な攻撃手法として、ネットワークの脆弱性を利用したシステムへの侵入、Web会議システムの脆弱性を悪用した盗聴、従業員が業務で使用している個人用端末への攻撃などが挙げられます。また、テレワークの実施に伴い、個人情報の持ち出しや保存について一時的に緩和した規定がそのまま継続されてしまい、情報漏洩につながる脆弱性となっているケースもあるため、注意が必要です。
情報漏洩の被害事例
2022年5月に経済産業省の知的財産対策室が公表した「秘密情報の保護ハンドブック~企業価値向上に向けて~」には、企業の情報漏洩トラブルやその対策事例がまとめられています。その中には、悪意のある取引先によって機密情報が漏洩し、それにより事業に打撃が生じた以下のようなケースが紹介されています。
【部品メーカーA社の事例】
ある部品メーカーA社が精密機械メーカーB社に供給していた部品αは、A社の独自開発によるものであり、その品質は良い評判を得ていました。しかし、ある日、大口の取引先であるB社から部品αの金型の図面を求められ、A社は提供に応じました。すると、その後しばらくしてB社からの発注が無くなり、競合のC社が部品αとそっくりな部品を安価で製造し始めたことが判明しました。B社は部品を安く仕入れるために、A社から提供された金型図面をC社に渡していたのです。
A社としては、大口の取引先であるB社の要求にはできる限り従わなければならないという意識が強かったのだと考えられます。しかし、自社の開発技術などの機密情報を守ることは企業にとって当然の権利です。この事例からも分かるように、取引先から情報開示を求められても、万一を考えて情報の公開範囲を最小限に留めたり、秘密保持契約を締結し、目的外使用の禁止などを厳格に要求したりすることは非常に重要です。
「秘密情報の保護ハンドブック」には、上記以外にも参考になる事例がいくつも紹介されているので、ぜひ一読することをおすすめします。
参照元:経済産業省 知的財産対策室「秘密情報の保護ハンドブック~企業価値向上に向けて~」
情報漏洩がもたらすリスク
どのような原因から生じたにせよ、情報漏洩は企業にとって深刻なリスクをもたらします。以下では、情報漏洩が具体的に企業にとってどのような危険性を伴うのかを解説します。
刑事罰の対象となる
情報漏洩は、企業における信頼性の問題だけでなく、法的な問題にも発展し得るリスクです。個人情報保護法に基づいて、個人情報の漏洩や不正利用が判明した場合、企業には是正勧告がなされることがあります。もしもこれに従わなかったり、悪意を持って個人情報を漏洩するなどの不正利用を行ったりした場合、懲役や罰金の対象となる可能性があります。
企業の信用が失墜する
情報リテラシーが向上している現代において、「情報漏洩問題を引き起こした企業」というイメージが浸透することは、企業のブランドイメージや信用に対して悪影響にしかなりません。もしもそうしたイメージが定着すれば、消費者や取引先からの信頼を失い、取引の停止、株価の下落、売上減少などの直接的な経済的損失をもたらす恐れがあります。
なお、2022年4月から施行された法改正により、個人情報が漏洩した場合、企業は個人情報保護委員会への報告と、漏洩させてしまった本人への通知が義務付けられるようになりました。そのため、情報漏洩の事実を隠すのは法律違反になります。
二次被害が生じる
漏洩した情報が不正利用されて、さらに二次被害が生じるリスクも無視できません。二次被害として真っ先に考えられるのが、「なりすまし」のリスクです。個人情報が流出した場合、その情報を用いて本人になりすます行為が起こりえます。
たとえばWebサイトの管理人の情報が盗まれれば、その情報を使った攻撃者に自社のWebサイトをいつのまにか改ざんされてしまう可能性も否定できません。これにより、自社のWebサイトに組み込まれたマルウェアによってサイト訪問者のカード情報などの個人情報が盗まれ、さらに不正利用されるというように、ますます被害が拡大する恐れがあります。
損害賠償を請求される
情報漏洩により被害を受けた方から、損害賠償を請求されることも大きなリスクです。個人情報の漏洩による損害賠償の額は、被害者一人あたり数千円から数万円程度が一般的です。
企業は千単位・万単位で個人情報を保有していることも少なくありません。そのため、情報漏洩の規模に応じて、損害賠償の総額は膨大なものとなり得ます。したがって、情報漏洩の予防策を適切に講じることは、企業にとって大きな経済的リスクを回避するためにも極めて重要です。
情報漏洩を防ぐ企業の責任
企業はその規模に関わらず、情報を適切に取り扱う社会的責任と法的責任を持っていることを自覚し、情報漏洩の防止策を講じなければなりません。
そのためにまず必要となるのは、情報漏洩の発生に備えた体制の整備です。いくら予防策を講じたとしても、情報漏洩リスクをゼロにすることは事実上不可能です。そのため、情報漏洩が発生した場合でも、その被害の拡大を最小限に抑えるための体制を予め整備しておくことが重要です。
具体的には、サイバー攻撃や情報漏洩が生じた際の被害を早期に発見し特定できるようします。同時に、サーバーの停止など必要な措置を素早く実行し、さらなる被害を未然に防ぐことも不可欠です。その後には、「情報漏洩の事実を個人情報保護委員会や被害者本人へ通知する」「再発防止策を講じる」などの対応が求められます。
こうした対策を講じる際に重要になるのが、法令や規制の遵守です。企業による情報管理の方法は、個人情報保護法や不正アクセス禁止法など、さまざまな法令によって定められています。企業はこれらの法令を遵守し、法令で定められた情報保護の基準を満たすことが最低限必要です。
情報漏洩を予防する5つの対策
前章で解説した社会的責任を果たすためには、具体的にどのような対策を講じればよいのでしょうか。以下では、情報漏洩を防ぐために役立つ5つの対策について解説します。
1:セキュリティソフトを導入する、更新する
業務に使用するPCやモバイルデバイスへのセキュリティソフトの導入は必須です。セキュリティソフトを導入し、活用することで、社内ネットワークに対する不正接続の検知、アップロードされたファイルのログの管理といった情報漏洩対策が可能になります。それに加え、セキュリティソフトを最新の状態に保つのはもちろんのこと、OSや業務に使用するアプリケーションの更新も怠らないように徹底しましょう。
2:明確なセキュリティポリシーを作成する
組織の情報管理を行う上で重要なのが、情報セキュリティポリシーの策定です。情報セキュリティポリシーとは、企業において実施する情報セキュリティ対策の方針や、行動指針のことです。情報セキュリティポリシー策定において、組織が情報セキュリティをどのように実施するかを示す「基本方針」や、その方針を具体化し実践するための「対策基準」の2つを整理し、対象者や用途ごとに必要な手続きを「実施手順」として明確に定め、これをマニュアル化する手法が一般的です。情報セキュリティポリシーを策定することは、企業の情報資産を守ることにつながるだけでなく、組織全体の情報管理意識の向上にも役立ちます。
3:情報の持ち出しルールを作成する
情報漏洩の危険性は、組織内部にも潜んでいます。IPAのセキュリティセンターが2021年に公表した「企業における営業秘密管理に関する実態調査2020」によると、情報漏洩ルートの1位は中途退職者、2位は現職従業員による誤操作や誤認でした。
このデータは、情報漏洩を防ぐために内部不正の防止が極めて重要であることを示唆しています。そのため、社内のデータ管理方法やルールの明確化、さらにはこれらのルールを遵守させるためのセキュリティ教育の徹底が不可欠です。
参照元:「企業における営業秘密管理に関する実態調査2020」報告書について |IPA 独立行政法人 情報処理推進機構
4:メール誤送信防止システムを導入する
BCCやCCなどの送信先設定ミスを防ぐためにも、メール誤送信防止システムを導入することを検討しましょう。このシステムはその名の通り、ヒューマンエラーによるメールの誤送信を防止するためのものです。このシステムを使えば、宛先を確認しないとメールを送信できないようにしたり、特定の権限を持つユーザーにのみ返信の許可を与えたりできます。セキュリティを強化できるだけでなく、監視性を高めることで組織全体の情報管理意識を向上できます。
5:クラウドストレージを使用する
データの保管場所そのものを根本的にセキュアにすることも必要です。DXの推進やテレワークの増加に伴い、今後、情報管理の重要性は一層高まるでしょう。
そこでおすすめしたいのが、法人向けクラウドストレージの機能を持つコンテンツクラウド「Box」です。Boxの導入により、安全な環境での情報の一元管理が可能となります。Boxを活用すれば、データの共有や社外利用に際して、メールへ添付して送信したり、USBなどのデバイスに入れて持ち歩いたりすることが不要になります。これにより、メールの誤送信やデバイスの紛失・盗難などによる情報漏洩リスクを排除できます。さらに、アクセス制御、ユーザー認証、ログ監視などのセキュリティやガバナンス機能を活用することで、情報漏洩リスクを簡単に最小化できます。
[SMART_CONTENT]
まとめ
情報漏洩は、顧客や取引先からの信頼喪失、刑事罰、損害賠償要求など、重大なリスクを伴います。本記事で紹介したように、情報漏洩の原因は社内外に広く存在しています。そのため、情報漏洩のリスクに備えるためには、多角的な観点から対策を講じることが重要です。
- トピックス:
- セキュリティ