日々進化を続けるサイバー攻撃や、社内関係者の人為的ミスによって発生する情報漏えい。顧客情報、経営・営業秘密、知的財産などの情報資産を保護し、情報漏えいを未然に防ぐにはどんな対策が有効なのでしょうか? この記事では、情報漏えいが発生する原因を解説するとともに、情報漏えいのリスクを回避・低減するための具体的な対策を紹介します。

情報漏えいとは?

情報漏えいとは、個人情報、経営・営業にかかわる秘密情報、知財情報、社内文書、社内システム情報などの企業が保有する情報資産が、なんらかの原因で外部に流出することです。情報漏えい自体は古くからあるセキュリティインシデントのひとつですが、近年は発生件数が増加しています。

原因のひとつは、パソコンやスマートフォンといったデバイスや、Webサービス・業務システムが普及したことにあります。ITの活用が進み利便性が大きく向上した一方で、管理する情報量や情報を扱う人が増え、情報漏えいのリスクが高まっているのです。

株式会社東京商工リサーチによると、2021年に発生した個人情報の漏えい・紛失事故件数は137件、漏えいした個人情報は574万9,773人分でした。2012年以降の10年間でも、漏えい事故の発生企業数・事故件数はともに過去最多を記録しています。

参考:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」

情報漏えいによる被害実例

日々情報漏えいの事例は多数報告されていますが、過去に発生した大規模な情報漏えい事故では、2014年に発生した通信教育、出版などの事業を行う企業の事例が有名です。再委託先の派遣社員による悪意ある情報持ち出しによって発生し、氏名・住所・電話番号・生年月日などの会員情報約2,900万件の個人情報が漏えいしました。当該企業は、情報が漏えいした会員への連絡・補償対応や、問い合わせ窓口の設置などで260億円もの特別損失を計上したほか、当時の副会長、取締役が引責辞任をしています。

上記事例は大規模、かつ大きなニュースとして報じられ、甚大な損失が出ました。情報漏えいが発生した場合の平均的な被害例は、日本ネットワークセキュリティ協会(JNSA)が公表する調査結果が参考になります。2018年のデータでは、1年間にニュースサイトなどで報道された漏えい件数は443件、想定損害賠償総額は2,684億5,743万円です。つまり、1件当たり平均想定損害賠償額は 6億3,767万円となります。

参考:2018年 情報セキュリティインシデントに関する調査報告書【速報版】

対策の必要性

情報漏えいは一度でも発生すると、多額の損害費用が発生するだけでなく、企業の社会的信頼を著しく低下させるのが特徴です。ブランドイメージ低下により顧客離れや株価の低下、営業機会の損失など、信頼回復に向けた中長期的な取り組みが必要となるため、平時から情報漏えいを防ぐ対策が欠かせません。

ただし、日々進化を続けるサイバー攻撃や悪意ある関係者の犯行などによる情報漏えいのリスクをゼロにすることは困難です。そのため、近年では万が一情報漏えい事故が発生したとしても、被害を最小限に抑えて早期復旧をすることを重視する考え方「インシデントレスポンス」や「サイバーレジリエンス」が普及しています。

それぞれ、「セキュリティ事故発生後の対応が重要!『インシデントレスポンス』を解説」や「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」の記事で詳しく解説していますので、ぜひご参照ください。

情報漏えいの原因|発生パターンを解説

株式会社東京商工リサーチの調査によると、2021年に発生した情報漏えい・紛失事故の発生原因は「ウイルス感染・不正アクセス(49.6%)」がもっとも多く、次に多いのが、「誤表示・誤送信(31.3%)」、「紛失・誤廃棄(11.6%)」といった、関係者による人為的ミスです。これら3つの発生パターンが全体の約9割を占める結果となっています。特に、ウイルス感染・不正アクセスによる漏えい事故は年々増加傾向にあり、直近3年間をみても事故件数は右肩上がりで増加しています。

参考:上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)

ここからは、不正アクセスなど外部からの攻撃による情報漏えいと、社内関係者による人為的ミスによる情報漏えいのふたつの発生パターンに分けて発生原因を解説します。

外部からのサイバー攻撃

サイバー攻撃とは、サーバー、パソコン、スマートフォンなどに対して、ネットワークを経由してデータの窃取、改ざん、システム停止などをする行為です。攻撃の手法はさまざまで、不正に入手したID・パスワードを使ったなりすましや、ソフトウェアの脆弱性をついたもの、マルウェア感染により情報流出させるものなどがあります。

従来は個人的・愉快犯的な犯行が多かったサイバー攻撃ですが、近年では国家機関による関与が見られるように計画的・組織的な犯行も多く、被害規模は年々増加しています。また、サイバー攻撃のターゲットは個人、企業、官公庁など幅広く、いつ、だれがサイバー攻撃の被害にあってもおかしくない状況です。そのため、情報漏えいにつながるサイバー攻撃に対しては、あらゆる企業で十分なセキュリティ対策が求められています。

社内関係者によるミス

情報漏えい・紛失事故の発生原因として、社内関係者による人為的ミスも多くみられます。具体的には、電車での通勤途中で網棚の上に業務書類の入った書類ケースを置き忘れてしまった、仕事帰りに居酒屋へ立ち寄ったあとで、パソコンを紛失していることに気づいた、などがよくある事例です。また、メールの送り先を間違えた、誤った添付ファイルを送付したといったケースもあります。

さまざまな原因がありますが、情報漏えいに対する社員の認識の甘さが引き起こした事故がほとんどです。人為的ミスを防ぐためには、ガイドラインの整備やセキュリティ教育の拡充など、社員のモラルを向上させることが有効な対策のひとつでしょう。

情報漏えいから社内情報を守るためのポイント3選

情報漏えいから社内の重要な情報資産を守るためには、どのような対策を実施すればよいのでしょうか。情報漏えいを防ぐための対策として具体例を3つ紹介します。

対策1: 適切なセキュリティツールの導入

システムの脆弱性を狙ったサイバー攻撃は、OSやシステム・ソフトウェアの定期的なアップデートで回避できることも多いです。しかし、近年ではゼロデイ攻撃のように、ベンダーが対策をとる前の脆弱性が狙われるケースも増えており、定期的なアップデートだけでは防ぎきれない場合があるのです。サイバー攻撃から社内資産を確実に守るには、適切なセキュリティツールを導入することが有効な対策です。

また、テレワークの導入とともに、社外から社内システムへのアクセスや利用端末の多様化が進み、セキュリティリスクは増大しています。これらのリスクに対しては、社内ネットワークの末端となるデバイス部分(エンドポイント)を重視するセキュリティ対策が効果的です。エンドポイントセキュリティについては、「エンドポイントセキュリティでビジネス環境を整える!その重要性や注意点、サービスの選び方について」の記事で詳しく解説していますので、ぜひご参照ください。

対策2: 社内のガイドライン整備やルールの策定

社員が守るべきセキュリティガイドライン・ルールの策定を進めます。例えば、パソコンやメモリを安易に外に持ち出さない、持ち出す場合もデータ暗号化や端末ロックなどの対策を施す、などです。

また、情報漏えいを未然に防ぐ「予防措置」だけでなく、発生後の対策も重要です。セキュリティ事故が起きた場合を想定して、いち早く検知・報告~復旧するための体制や取り決めを定めたBCP(事業継続計画)の策定にも取り組みましょう。

対策3: 社員教育の徹底

人為的ミスを防ぐためには、ガイドライン・ルールの策定以外にも、社員の意識・モラルを向上させるための社員教育が重要です。セキュリティ事故とは何か、何が原因で発生するのか、発生するとどんな影響があるのかなどを説明して、社員のセキュリティ意識と情報漏えいに対する危機感を高めましょう。

情報漏えいは対策必須!ツール導入や社員教育など企業全体で取り組もう

情報漏えいは一度でも発生すると、損害賠償や社会的信頼の失墜などの企業経営に与えるインパクトは甚大です。サイバー攻撃が巧妙化・高度化する現代社会において、すべての企業で十分なセキュリティ対策が求められています。経営課題として認識し、サイバー攻撃にはセキュリティツールの導入、人為的ミスにはルール策定や社員教育など、発生原因・パターンに応じたセキュリティ対策を進めましょう。