企業が行うべき情報漏えい対策4選|情報の流出はいつ起こるのか?

2020年10月14日、りそな銀行は1万4,561件の顧客情報が入った記録媒体(光磁気ディスク)を紛失したことを発表しました。ディスクに記録されていたのは顧客の氏名と2019年12月時点での郵便番号・住所であり、データの閲覧にはパスワードが必要なことから第三者が情報を盗み見ることは難しいと説明しています。

企業による個人情報の流出はたびたびメディアを騒がせている問題です。一度でも情報漏えいが起きれば取引先や世間からの信頼を大きく損ねることになり、セキュリティ会社への調査費用や被害者への慰謝料の支払いなど、多大なコストも発生します。

そこで今回は、情報流出が起こりやすいタイミングや、企業が行うべき情報漏えい対策などについて解説していきます。自社のセキュリティ対策に問題がないかを確認し、リスクのある部分は早めに対策を講じておきましょう。


企業における情報漏えい・紛失事故の現況

まずは、企業における情報漏えい・紛失事故の現況について確認しておきましょう。東京商工リサーチの調査結果によると、上場企業の個人情報漏えい・紛失事故の年次推移は以下のグラフのとおりです(2012年から2019年まで)。

引用先:東京商工リサーチ|「上場企業の個人情報漏えい・紛失事故」調査

2019年は、上場企業とその子会社で個人情報の漏えい・紛失事故を公表したのは66社、事故件数は86件、漏えいした個人情報は903万1,734人分にのぼります。

2013年の公表87社・事故件数107件をピークにそれ以降の件数はやや落ち着いているように見えます。しかし、個人情報の漏えい・紛失事故を起こした上場企業数は2012年から2019年の累計で372社となり、これは全上場企業数(約3,700社)の1割に匹敵する数です。

なお、これらの数字はあくまで「上場企業を対象にした自主的な公表分」のみであり、これ以外にも未上場企業や海外企業、官公庁などの公的機関でも情報漏えいが頻繁に起っています。


情報の流出が起こる4つの原因

さまざまな企業・団体で発生の可能性がある情報漏えいですが、具体的にどんなタイミングでの情報漏えいリスクが高いのでしょうか。ここでは、情報の流出が起こる4つの原因を紹介します。

機密情報の紛失・置き忘れ

まずは機密情報の取り扱いに注意しなければなりなせん。日本ネットワークセキュリティ協会(JNSA)の調査報告によると、2018年にメディアで報道された情報漏えいインシデントのうち、その原因としてもっとも多かったものが「紛失・置き忘れ(全体の26.2%)」です。

たとえば「会社用のパソコンを電車内に置き忘れた」「顧客情報の入ったUSBメモリを紛失した」などのアナログなデータ紛失がこれにあてはまります。

パソコンなどの残存データからの漏えい

パソコンなどの残存データから情報漏えいが起こる危険性もあります。とくにパソコンの入れ替え時には注意が必要であり、データが完全に消去されていない状態でパソコンを処分すれば、そこから情報が流出してしまうリスクが考えられます。

パソコンの残存データ処理はもちろんですが、複合機(コピー機)などの残存データから情報が漏えいする可能性もあるため、こちらも対策が必要です。

第三者によるサイバー攻撃

情報漏えいは社内のミスだけでなく、ウイルスや不正アクセスなどのサイバー攻撃が原因で発生することもあります。

たとえば、添付ファイルを開かせるなどの手段でウイルス感染を狙う標的型攻撃メールや、侵入の痕跡を巧妙に隠蔽しながら活動するマルウェアなど、手口や技術も年々高度化しています。

サプライチェーン攻撃

標的とする企業へ直接攻撃を仕掛けるのではなく、セキュリティ対策が比較的甘い関連企業や取引先の中小企業などを狙ってサイバー攻撃を仕掛ける「サプライチェーン攻撃」にも気をつけなければいけません。

ウイルスや不正アクセスを許してしまえば自社の機密情報が盗まれるだけでなく、自社の関連企業にまで被害がおよぶ可能性があります。


企業が行うべき情報漏えい対策4選

ここまでの内容を踏まえ、企業が行うべき情報漏えい対策を4つご紹介します。さまざまなリスクに対応できるよう、複数の施策を実施することが効果的です。

リモートアクセスの活用

リモートアクセスとは、遠隔地にあるパソコンや他の端末から、社内のパソコンや各種サーバー、システムなどにアクセスすること。リモートアクセスを活用して社内システムにアクセスできる仕組みを作ることで、社外にデータを持ち出さなくても業務を行えるようになり紛失・盗難リスクを低減できます。

先ほど説明したとおり、情報漏えいの原因としてもっとも多いのが「機密情報の紛失・置き忘れ」です。このような人為的なミスを防ぐには「極力情報を持ち出す必要がない環境」を会社側で構築することが重要です。

ただしネットワーク自体が脆弱では、紛失・盗難による漏えいは防げても、今度は「ハッキングや不正アクセスによる漏えいリスク」が発生してしまいます。侵入検知システムやファイアウォールの設置など、強固なセキュリティ対策とセットでリモートアクセスの導入は検討してください。

残存データは専門ソフトやデータ消去サービスで完全抹消

会社のパソコンには顧客の個人情報や機密情報、メールの履歴など、社外に漏れてはいけない重要なデータがたくさん保存されています。そのため、もう使わないパソコンの残存データは確実に消去しておかなければなりません。

この際に、パソコンを初期化したとしてもデータは完全には消去されない点に注意してください。初期化すればこれまでのデータは一見削除されたように思えますが、専用ツールを用いて初期化したデータを復元される危険性もあります。

そのため、古いパソコンはただ初期化するだけでなく、法人向けの専門ソフトなどを使って残存データを完全に抹消しておきましょう。もしくは、PCメーカーなどが提供する「データ消去サービス」を活用してもよいでしょう。

情報の暗号化

情報の暗号化とは、企業で保管する個人情報や機密情報といった重要データを、暗号鍵がないと解読できないよう一定の規則で変換する仕組みのことです。たとえば、個人情報を含むファイルをローカルPCに保存したときやUSBメモリに書き出したときに自動的に暗号化が行われていれば、ファイルが流出しただけでは情報漏えいは起こりません。

暗号化は専用の暗号化ソフトによって実現できます。製品によっては暗号化したファイルへの閲覧ログを取ったり遠隔で削除できたりなど、より堅牢性を高められる機能も存在します。

従業員のヒューマンエラーや、内部犯行の対策

情報漏えいを防ぐためには社員のセキュリティ意識の向上が欠かせません。リモートアクセスの活用や情報の暗号化によってセキリュティ環境を整えても、たったひとりが起こしたヒューマンエラーがメディアで報道されるような大事件につながる可能性はつねに潜んでいます。

不注意や怠慢によるミスだけでなく、「悪意ある従業員による内部犯行」にも目を向けなければなりません。そのため、単に情報漏えいの危険性を周知するだけでなく、データごとのアクセス制御やBYOD(私物デバイスの業務利用)についても慎重に検討していく必要がありあます。


まとめ

今回は企業における情報漏えいの現況やおもな原因、その対策について解説しました。

リモートワークの普及が進むなか、情報流出のリスクは今後一段と高まっていくことも予想されます。各従業員の意識に頼るだけでなく、情報漏えいが起こりにくい仕組みを組織全体で構築していかなければなりません。

まずは会社内で「対策ができているリスク」と「対策が不十分なリスク」を洗い出し、現状を適切に分析することが漏えい対策の第一歩です。