情報漏洩のセキュリティリスクについて、大企業でも中小企業でも対応策を検討してルール化しておく必要があります。情報漏洩がひとたび起きると会社の事業が停止したり、信頼性低下などへ繋がるので危険です。
企業の信頼は一度失ってしまうと、回復するのは大きな労力をかけなくてはなりません。
PCやタブレットなどのデジタル機器、ネットワークがビジネスで広く利用されるようになったことでデータの保存や管理がしやすくなった反面、管理する情報の量や情報を扱う人も増えて漏洩するリスクも増大しています。
当記事では企業が気をつけるべき「情報漏洩」について、その概要と主な原因について解説していきます。情報漏洩が起こることで企業にどんな影響が出るのか理解し、正しく対策をしていきましょう。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、まずはITのことならなんでも無料で相談できるITボランチへご相談ください。お問い合わせはこちらから
そもそも情報漏洩とは?
情報漏洩とは、「企業・団体といった組織が守るべき情報が外部に漏れてしまう事態」を指します。組織が事業を行っている場合は、情報資産として
- 組織内の事業独自性などにかかわる機密情報
- 組織内の社員や経営層に関する個人情報
- その他取引先や外部関係者情報などの顧客の個人情報
などが蓄積されていきます。
こういった情報資産はツールなどを使い管理をすることで業務効率化やマーケティングにも役立ちますが、ひとたび保管を行っているデータベースへのハッキングなどを受けてしまうとまとめて情報が漏洩してしまうリスクがあるのもデメリットです。
PCやスマートフォン、タブレットなどのデジタル機器およびインターネットがビジネスで当たり前のように利用されるようになったことで、データの保存や管理は効率化して簡単になりました。しかしその反面
- 管理すべき情報量が増えて把握できない
- 情報を取り扱う関係者が増えて完全な管理体制を作るのが難しい
といった問題が発生して、情報漏洩が起きる要因ともなっています。
加えて標的型攻撃など悪意ある情報漏洩を起こすサイバー攻撃も巧妙化しており、企業としては急いで対応を行わないと知らないうちに情報が漏れてしまっている可能性まであります。
情報漏洩が起こる主な原因
情報漏洩が起こる主な原因は次の通りです。
情報漏洩の原因1:誤送付
「一般財団法人 日本情報経済社会推進協会」による2021年度「個人情報の取扱いにおける事故報告集計結果」では、情報漏洩の原因は誤送付が最も多くなっています。特にメールの誤送信がおおよそ4割を占めているのが注目ポイントです。
メールツールでは関係者にまとめて情報を送信できますが、
- 宛名を間違えて公表すべきない人にまで情報を知らせてしまう
- 添付するファイルを間違えてしまう
といった人為的ミスが発生することが多いです。誤送信を取り消す機能もありますが送信ボタンを押してしまうと時間がないため、気付かないで送信をしてしまうケースもあります。
テレワークが増えたことでメールを利用する機会も増え、比例して誤送信件数も増加している傾向があります。
情報漏洩の原因2:ITツールの設定ミス
デジタル機器の利用やソフトウェアの導入の増加により、業務のデジタル化が進んでいます。DXという概念を政府が推し進め、2025年までにはデジタル化を一定割合進めようという動きも強まっています。
しかしデジタルツールが広がった分、誤操作が1つ起こるだけで重要な情報が外部へ流出する危険性が高まりました。またクラウドツールを活用する場合は、全員へ公開するステータスを設定してしまうと全世界から情報が閲覧できてしまうので細心の注意が必要です。
情報漏洩の原因3:紙や記録媒体の紛失や置き忘れ
現在では情報を保管する手段は紙の書類だけでなく、外部記録媒体として
- USBメモリ
- SDカード
- 外部HDD、SSD
などが広く使われています。
しかしカフェやレンタルオフィスなどでテレワークを行ってそのまま書類や記録媒体を置き忘れてしまったり、電車で紛失したりするケースもあります。
また書類や記録媒体だけでなく、PCやスマートフォンなどをそのまま紛失するケースまであるのが問題です。こういった人為的ミスは悪意がなくても発生するリスクがあるので、万が一発生した際にも迅速な対応ができる体制を構築する必要があるでしょう。
情報漏洩の原因4:第三者による不正アクセスやサイバー攻撃
不正アクセスは自社データベースのセキュリティが脆弱だったり、標的型攻撃を社員が受けてしまったりした際に発生します。攻撃が成功するとウイルス感染やハッキングなどで、情報が大量に抜かれてしまうケースがあるので注意したいところです。
特にWebアプリケーション(SaaSなど)外部に公開されている場合、脆弱性をつかれてサイバー攻撃を受けてデータベースに保管されている顧客情報などの個人情報が盗まれてしまう可能性もあります。日々のセキュリティ対策、脆弱し診断などを徹底し、セキュリティホールがないかチェックしておく必要があります。
もし被害を受けてしまうと住所やクレジットカードといった情報まで流出してしまい、不正利用される可能性があります。そうすれば被害額も膨大になってしまいかねないので、攻撃を受けても水際で防げるようにセキュリティ対策を徹底し、脆弱性診断などを行いセキュリティホールがないかなどを確認しておきましょう。
巧妙化しているサイバー攻撃についての詳細は「サイバー攻撃に企業規模は関係無い?巧妙化・高度化するサイバー攻撃の目的とは?」の記事で紹介しています。
情報漏洩の原因5:マルウェアへの感染
マルウェアとはウイルスソフトウェアのことであり、不正を行う意図で作られたものです。
主な侵入経路として
- メールの添付データ
- SMSのリンク
- デジタル機器からWebサイトへアクセスしてダウンロードしたファイル
などがあります。
マルウェアは感染手口が年々巧妙化しており、差出人として実在の人物を装ったり、受信者に関連のある件名で油断させたりして感染させる標的型攻撃を行うケースが増えています。サプライチェーンの脆弱性を突くという目的で、中小企業にも攻撃が来るようになっているので注意しましょう。
メールの添付ファイルは信頼おける送信元でなければ開かないということを徹底するだけでも大半は防ぐことが可能です。
マルウェアについての詳細は「マルウェアに感染したかも?すぐ対処するべきセキュリティ対策とは」の記事で紹介しています。
情報漏洩の原因6:内部不正による漏洩
残念ながら情報漏洩は、内部による不正行為で発生する可能性もあります。退職の前後で情報を抜き取って意図的にばらまいたりするケースもあるので、危険です。また情報にアクセスする権限のある担当者が悪意を持っていると、簡単に情報漏洩が起きてしまいます。
在職中の身内による不正行為は企業信頼性や事業継続性に悪影響をおよぼすので、リテラシー向上などの対策を行う必要もあります。
IPAの「情報セキュリティ10大脅威 2022」でも組織(企業)のセキュリティ脅威の5位にランクインしていて、前回よりも順位が上がっているほど、情報漏洩する原因の1つでもあります。
情報漏洩により起こりうる企業への影響
情報漏洩によって企業へどんな悪い影響があるのか、ここから詳しく確認してみましょう。
取引先からの信用低下やビジネス機会の損失
情報漏洩を起こした会社は「デジタル化が進んでいる中で対応が進んでいない、またプライバシー保護に則ったセキュリティ対策ができていない」というレッテルを貼られてしまいます。当然取引先といった利害関係者との信頼・安心感も低下するでしょう。
結果的に顧客が自社のデジタル商材などを継続利用するリスクを懸念して、より信頼できる競合企業へ流出してしまう危険があります。競合が増えている現在、情報流出による顧客離脱で自社の商材を利用していたリピーターまで減ってしまうのは致命的なダメージを自社へ与えかねません。
損害賠償の発生
企業管理の情報が漏洩した場合、事後被害を補填するために損害賠償が発生するケースが多いです。古いデータにはなりますが、「日本ネットワークセキュリティ協会」が公開している2017年度の調査内容によると、情報漏洩による平均損害賠償額は1件で5億4,850万円とされています。
顧客離脱や売上低下といった悪影響があるのにもかかわらず、それに加えて損害賠償への対応が同時に発生してしまうと自社の対応キャパシティを超えてしまい、事業が停止してしまうリスクまであるでしょう。
セキュリティ対策を社内で対応するのがするのが難しい場合は、ITボランチにまずはご相談ください。お問い合わせはこちらから
情報漏洩が起こった時の対応策
ここからは情報漏洩が起こったときの対応策をご説明していきます。
二次被害を防ぐ
社内で情報漏洩が起きてしまったら、すぐ二次被害を防げるように対応していきましょう。未然の対策を考えて実行することで、被害が最小限となり致命的な企業ダメージを避けられます。
もし社内システムから情報が漏洩し続けているような場合は早急にインターネット接続の一時遮断などを行い、顧客や警察といった関係者へ連絡してみてください。
原因を調査して再発防止策を講じる
テクノロジーの発展で情報を盗む手口が多様化しています。現在ではゼロトラストの観点から対策を行う必要があり、必ず被害を防げると限らない点をまずは理解しておきましょう。
もし情報漏洩が起きたら、原因を徹底的に調査して再発の防止策を実施してみてください。
- 情報漏洩の発生源
- 発生の経緯
- 既存の情報漏洩対策をしていた場合はどこに問題があったのか
などを調査して、同じセキュリティリスクが発生しないように体制を構築するのがポイントです。
関係先に被害状況を説明する情報をまとめる
関係先に被害状況を説明するために、情報を事前にまとめてすぐ公表できる準備までしておきましょう。
- 被害の具体的な規模
- 漏洩した情報の種類
- 流出した先
といった項目で情報をまとめておき、機密情報といった重要な情報が漏洩してしまった場合はさらに明確な状況説明や対応などを共有する必要があります。関係者ごとに共有すべき内容が異なってくる場合は、その点まで含めて情報を書類化してみてください。
情報漏洩の防止策
ここからは具体的な情報漏洩の防止策について解説していきます。
従業員への注意喚起や教育を行う
情報漏洩を防ぐためにはセキュリティポリシーや実施要領を定めて、研修等を行うことで定期的に従業員のITリテラシー向上を実行する必要があります。
研修では
- 利用するデジタル端末のセキュリティ設定方法
- どうやって不審な内容を見分けるのか
- もし被害が起こったらどのように連絡を行えばよいのか
などを考えて教えられるようにすると安心です。
また重要な個人情報が含まれたデータについては、複数段階認証を実施したりアクセス権限を適正化したりして、確実な管理・処理を徹底できるようにするのもポイントです。また情報漏洩が起きた場合の悪影響も従業員に知ってもらいましょう。
従業員の故意的漏洩を防ぐ
従業員の故意的な情報漏洩を防ぐためには、社内環境の風通しをよくすることも重要です。
- テレワークといった多様な働き方を推進する
- 福利厚生を充実させて従業員満足度を高めておく
- 業務環境を従業員といっしょに定期的にチェックする
といった対応をITリテラシー研修といった基本対策といっしょに地道に行うことで、社内からの情報漏洩リスクが低下していきます。
社内機器や情報の持ち出しについてマニュアル化する
情報機密性の大小にかかわらず、不必要な場面で社内機器や情報を持ち出させないことも有効な手段です。
- 機器を使用する場所
- 紛失などの被害が起きた場合の対応
- USBメモリなどの情報記録媒体の保管方法
などを明言してルール化することで、社内で統一した注意喚起を行ってみましょう。もし持ち出しの必要性がある場合は、事前に許可されたもののみを持ち出せるようにするといったルール作りまでする必要があります。
セキュリティソフトの導入・更新をする
技術面では、セキュリティソフトが情報漏洩対策に役立ちます。こういったセキュリティソフトには
- サイバー攻撃を検知
- Webサイトやソフトの脆弱性を診断
- 漏洩情報を利用した不正アクセスを感知
といった機能が搭載されています。
有料版のほうが上記のような機能を細かく設定・利用可能であり、セキュリティリスクの低減へつながるでしょう。自社に合ったセキュリティソフトをコストや機能、サポート面などから探しておいてください。また導入後はセキュリティソフトも定期的にアップデートを行って、最新の状態を保つようにするのも重要です。
社内システムやソフトウェアの脆弱性対策を行う
サイバー攻撃は、自社の運営している社内システムや提供ソフトウェアなどの脆弱性を狙ってくるものです。脆弱性は基本的にサービス開始時にはないことが多いですが、
- システムのブラックボックス化
- 内部コードの老朽化
- 新しいサイバー攻撃の登場
などで将来的に発生してしまうリスクがあります。
ですから企業運営の中では、必要に応じて社内システム・ソフトウェアの脆弱性対策を行う必要があるでしょう。たとえば社内の脆弱性を発見・修復できる検知サービスの導入がおすすめです。
企業におけるセキュリティポリシーついての詳細は「セキュリティポリシーとは?重要性や策定時に押さえておきたいポイントなどを解説」の記事で紹介しています。
まとめ
今回は情報漏洩の原因や、具体的な対策方法をご紹介してきました。
情報漏洩は社外・社内両方で起こりうるものです。代表的な要因と対策方法を知るだけでも漏洩のリスクは減らせます。またセキュリティツール導入などでより強固な社内体制を構築すると、今後のデジタル化にも対応しやすくなるでしょう。
社内で万全なセキュリティ対策を講じるのが難しい場合は、ITシステムの代行業者へ依頼をしてみるのがおすすめです。人手が足りない、他の業務へ集中したいといった願いを実現してくれます。
ITボランチではお客様の情報漏洩リスク管理まで代行によってサポートさせていただきます。ぜひ気になる方はご連絡ください。
