個人情報や機密情報の漏えいが起こると、被害者への慰謝料の支払いなど金銭的な負担に加え、社会的信用も失い、企業に深刻なダメージをもたらします。
今回は、情報漏えいの概要やどうして起こるのか事例を交えながら解説します。
「なぜ情報漏えいが発生するのか」といった原因を正しく理解しておけば、適切な対策を講じることができるでしょう。
- 情報漏えいについて改めて理解する
1.1 個人情報は含まれているか
1.2 個人情報の漏えいは報告義務がある - 情報漏えいの原因と対策
2.1 デバイスやファイルの紛失・置き忘れ
2.2 誤操作
2.3 不正アクセス - 情報漏えいを防ぐには日頃からの対策が必要
情報漏えいについて改めて理解する
情報漏えいとは、内部で管理しておく情報が何らかの原因によって外部に流出してしまうことを指します。たとえば、外部からの攻撃や社員の内部不正、誤操作、置き忘れなどが原因で情報漏えいが起こることが明らかになりました。
情報漏えいが発生する前に、「報告および通知義務」や「個人情報の概要」「特定個人情報の概要」について理解を深めておきましょう。
情報漏えいとは、内部で管理しておく情報が何らかの原因によって外部に流出してしまうことを指します。たとえば、外部からの攻撃や社員の内部不正、誤操作、置き忘れなどが原因で情報漏えいが起こることが明らかになりました。
情報漏えいが発生する前に、「報告および通知義務」や「個人情報の概要」「特定個人情報の概要」について理解を深めておきましょう。
個人情報は含まれているか
個人情報漏えいが発生した際には、報告および通知が義務化されています。
ここでいう個人情報とは、特定の個人を識別することが可能な情報のことです。たとえば、「山田太郎」という名前だけでは個人を特定することはできないでしょう。
というのも、山田太郎という名前の人は日本に複数存在するからです。しかし「東京都千代田区丸の内〇丁目〇番〇号在住の山田太郎」となると、個人を特定できます。
漏えいした情報の組み合わせによって、個人を特定できるかどうかを考慮し、個人情報が漏えいしたのか、していないのかを識別する必要があります。
なお、厚生労働省が公表している「個人情報保護法改正に伴う漏えい等報告の義務化と対応について」では、住所や電話番号、メールアドレス、SNSアカウント、銀行口座情報といった個人データのみの漏えいは、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しないと記述されています。
ちなみに、マイナンバーの番号については、個人情報の中でも「特定個人情報」として扱われており、「行政手続における特定の個人を識別するための番号の利用等に関する法律」、通称マイナンバー法で、「個人情報」とは別に罰則規定が設けられております。
個人情報の漏えいは報告義務がある
2022年4月1日より、個人データの漏えいが発生した際には、個人情報保護委員会への報告ならびに本人への通知が義務化されています。
個人の権利利益を害する恐れがあるときに、報告・通知義務が発生するため、該当する4つの事態について把握しておきましょう。
個人の権利利益を害する恐れがあるときに該当する事態 | 報告を要する事例 |
要配慮個人情報が含まれる事態 | 従業員の健康診断などの結果を含む個人データの漏えい |
財産的被害が生じるおそれがある事態 | ・送金・決済機能付きのウェブサービスのログインIDとパスワードの組み合わせを含む個人・個人データであるクレジットカード番号のみの漏えい |
不正の目的をもって行われた漏えい等が発生した事態 | 不正アクセスによる個人データの漏えい |
1,000人を超える漏えい等が発生した事態 | システムの設定ミスによってインターネット上で個人データの閲覧が可能な状態(個人データに関わる本人の数が1,000人を超える) |
出典:厚生労働省|個人情報保護法改正に伴う漏えい等報告の義務化と対応について
上記に該当する場合は、「速報」と「確報」の二段階で報告する必要があります。一方、個人情報以外の漏えいの場合は、報告および通知義務が発生しません。
また、特定個人情報(マイナンバー)については、下記の「重大事態」のいずれかに該当した場合は、個人情報保護委員会への報告義務があります。
- 情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報等が漏えいし、滅失し、又は毀損した事態
- 漏えいし、滅失し、又は毀損した特定個人情報や利用制限違反や提供制限違反の特定個人情報に係る本人の数が100人を超える事態
- 保有する特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ、その特定個人情報が閲覧された事態
- 不正の目的をもって、個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報を利用し、又は提供した者がいる事態
組織の評判やブランドを維持するためには、個人情報の漏えいを徹底的に防ぐというのは大前提ですが、報告義務について理解を深めることも大切です。
情報漏えいの原因と対策
デバイスやファイルの紛失・置き忘れなどの人為的なミスも情報漏えいの原因に挙げられます。
企業が従業員に付与しているPCやスマートフォンを外出先で忘れてしまうといった事例も複数見られました。例えば、2006年には、明治安田生命の職員が帰宅中に電車内の座席に業務用のPCを置き忘れて、パソコン内に保存されていた約700人分と、紙の資料にあった2,700人分の顧客情報を紛失したことを発表しています。
対策としては、情報や機器を安易に持ち出さない、セキュリティ教育を行うのが良いでしょう。また、クラウド上に個人情報を置き、必要に応じて都度アクセスするようにすれば、デバイス内に個人情報が保存されないため安心です。
誤操作
情報漏えいの原因として、不正アクセスに次いで多かったのは、「誤表示・誤送信(43件)」などの人為的ミスだと明らかになりました。
たとえば、個人情報を誤って組織外の人に送ってしまったり、個人情報のアクセス権限を第三者に付与したりといった事故が該当します。
NPO日本ネットワークセキュリティ協会の「情報セキュリティインシデントに関する調査報告書」によると、以下のケースが誤操作による情報漏えいと定義されています。
メールに関する誤操作 | メールで宛先を誤ったまま送信してしまうケース添付書類のミスにより、不特定多数のユーザーに情報を誤送信してしまうケース |
管理ミス | 個人情報を取り扱うルールが設けられておらず、第三者が自由に閲覧できる状態にしてしまうケース |
ホームページ制作での誤操作 | ホームページ上に誤って個人情報を掲載してしまうケース |
データの削除し忘れ | ファイルサーバーにあるデータをローカルPCに保存し、その後削除し忘れて第三者が閲覧してしまうケース |
対策としては、個人情報を社外の人に共有できない仕組みを構築することが重要です。多人数へのメール配信など、事故による被害が大きくなる前は必ず2名以上で確認する、または送信前のチェック機能の付いたシステムを採用するなどが挙げられます。
どのような誤操作によって情報漏えいが発生しうるのか、自社のメール送信、配信におけるプロセスを分析・把握して最適な対策を打ちましょう。
不正アクセス
「株式会社東京商工リサーチ」によると、情報漏えいの原因の大半を占めているのは、不正アクセスおよびウイルス感染であることが明らかになりました。
国内の全上場企業(約3,800社)のうち、496社が個人情報を漏えいまたは紛失事故を起こしています。これまでに漏えい・紛失した可能性のある個人情報は、累計1億1,979万人分に達しており、日本の人口に匹敵します。
まず、不正アクセスとは、ハッカー攻撃により、組織が保有している情報が流出することを意味します。サイバー攻撃の方法は、以下のように多様化しているため、脆弱性管理を徹底することが重要です。
- ランサムウェア
- コンピューターウイルス
- データベースへのハッキング
自社の課題点を洗い出して、組織の脆弱性対策に努めましょう。具体的には、複数のセキュリティソリューションを用いた多層防御やWebサービスやクラウドなどの共有・アクセス設定の確認などが必要です。
情報漏えいを防ぐには日頃からの対策が必要
情報漏えいを防ぐためには、日頃から対策を怠らないことが大切です。この機会に、自社のWebサービスやホームページにセキュリティ上の弱点がないかを確認しておきましょう。
また、システムを変更するたびに脆弱性スキャンツールを用いて、脆弱性がないかを確認することが重要です。
ツールでの脆弱性診断を通じてセキュリティレベルを強化したい企業様は、ぜひ「Securify」をご活用ください。
- 自社のセキュリティレベルを可視化できる
- 複雑な事前設定が不要で最短3ステップで診断開始できる
- シンプルで直感的な操作性を実現しており使いやすい
- わかりやすい診断結果で継続的なセキュリティ改善につながる
無料プランもございますので、自社のセキュリティレベルをチェックしてみてはいかがでしょうか。
ご希望の方には、本記事に関連するホワイトペーパー「ビジネスパーソンが知っておくべき情報セキュリティ入門ガイド」をお送りさせていただきますので、お知らせくださいませ。
上記リンク先フォームからお問い合わせいただけます。
各事項にご入力いただき、最後に「送信」ボタンをクリックしてください。