資産管理 企業の情報漏えいの事例から学ぶ、原因と対策
働き方改革や技術革新が進み、全社的にIT化を進める企業が増えている昨今。情報システムは多くの企業にとって欠かせないものになりつつあります。IT化は利便性や業務効率を高めますが、顧客情報などの漏えいによる企業ブランドイメージの失墜などのリスクがあることも事実です。
そこで今回は、セキュリティ対策に欠かせないツールやルールを、情報漏えいのリスクや原因・事例とともにご紹介します。
なくならない情報漏えいのリスク
メディアで大体的に報じられる「企業が管理する個人情報の流出事件」。不正アクセスや社員の手違いで数千、数万規模の個人情報が流出する事例が後を絶ちません。情報漏えいは、自社や顧客にとって莫大な損失となるにもかかわらず、なぜ完全な対策ができないのでしょうか。情報漏えいの原因を具体的にみていきましょう。
情報漏えいの原因はほとんどヒューマンエラー
<「特定非営利活動法人 日本ネットワークセキュリティ協会」の「2017年 情報セキュリティインシデントに関する調査報告」をもとにグラフを作成 >
上記の図は、「特定非営利活動法人 日本ネットワークセキュリティ協会」による「2017年 情報セキュリティインシデントに関する調査報告」をもとに、原因別のデータをグラフ化したものです。
ほとんどの情報漏えいは、「誤操作」「紛失・置き忘れ」「管理ミス」「不正な持ち出し」といったヒューマンエラーに起因することがわかります。「不正アクセス」など外的要因による情報漏えいは2割以下です。つまり、内部スタッフの情報漏えいに対する意識やリテラシーを改善すれば、リスクを大幅に低減できるのです。
しかし、効果的な対策を講じるためには、人的ミスの原因を正確に把握しなければなりません。内部スタッフによる人的ミスの原因を具体的にご紹介します。
原因1:誤操作
たとえばメールやFAXの送信は、情報漏えいが特に発生しやすい業務です。宛先や内容、添付ファイルの間違いや操作ミスが漏えいの主な原因になります。A社宛に送るはずのメールをB社に誤送信してしまい、情報が漏えいするケースもあります。
原因2:紛失・置き忘れ
仕事で日常的に使っているパソコンやUSBメモリを社外に持ち出し、紛失・置き忘れてしまうケースです。最近のタブレットやスマートフォンはパソコンとデータを共有できるため、仕事用の端末以外にも注意が必要です。「仕事帰りに飲みに行き、帰宅後パソコンやスマートフォンがないことに気づいた」「カフェにパソコンを忘れてきた」「電車にスマートフォンを置いてきてしまった」といった出先での紛失・置き忘れが多いようです。意外に思われるかもしれませんが、このような信じられないミスがいまだ多く存在します。
原因3:管理ミス
企業が情報管理のルールやセキュリティポリシーを定めているにも関わらず、その決まりを守らずに情報が漏えいしてしまうケース。または、管理ルールが定められていないために情報漏えいが発生してしまう場合です。たとえば、「オフィス移転後に顧客情報を紛失してしまった」「個人情報の受け渡し確認をしなかったため、受け取ったはずの個人情報の行方がわからなくなってしまった」「管理ルールが不整備だったため、誤って情報を開示してしまった」といった具体例があります。
原因4:不正な情報持ち出し
内部スタッフが情報を故意に持ち出すケース。金銭的な動機がほとんどですが、組織への不満や恨みから情報を持ち出す人もいます。ある大手企業では協力会社の社員が大量の顧客情報をデータベースから抜き取り、名簿業者を通してDM業者に転売していた事例もありました。
情報漏えいの事例
ヒューマンエラーによる情報漏えいは、過去の事例を学び、リスクをひとつずつ対策していくことで、リスクアセスメントを実施できます。これまで情報漏えいの原因を見てきましたので、ここからはさらに踏み込んで実際にあった情報漏えいの事例をご紹介します。
事例1:協力会社スタッフによる情報持ち出し
2014年、大手教育会社で派遣社員(システムエンジニア)が、顧客情報を盗む事件が発生。その結果、2,000万件以上の顧客情報が漏えいしました。犯人は職務上付与されていた権限を使って故意に情報を抜き取っています。事件発覚後、この大手教育サービスを提供する企業はお詫びのために200億円分の補填を用意したと報じられています。
事例2:サイバー攻撃による情報漏えい
2011年、大手電機メーカーとそのグループ会社が世界規模で暗躍するハッカー集団からサイバー攻撃を受け、7,700万件以上の顧客情報を漏えい。システムの脆弱性を狙われたこの事件での被害額は2兆円にも及ぶと言われています。被害を受けた電機メーカーはイメージダウンを恐れ被害情報の公開を遅らせたことで、さらに批判を受ける結果になりました。
事例3:銀行員が顧客情報の記載されている資料を破棄
2013年、地方銀行の職員が、約3万8千人分の顧客情報が記載されている資料を誤って破棄する事件が発生。資料には顧客の住所や電話番号、銀行口座まで記載されていたため、世間を騒がせる結果となりました。幸いにも暗証番号は該当資料に記載されていませんでした。保存期間を誤認していたことが原因と言われています。
事例4:BCCで送るはずのメールをそのまま送信
2014年、地方自治体が主催する婚活イベントで事件は起きました。参加者にBCCで送るはずのメールを、主催者が通常通りの方法で一斉送信。参加者の情報がお互いに知られてしまう事態となりました。このようなメールの誤配信は他にも多くの事例が存在します。実際に、読者の皆さんも過去にメールの誤送信の経験はあるのではないでしょうか? 流出の規模が大きくなると実感が薄くなるかもしれませんが、情報漏えいの原因は身近にあるといういい事例です。
事例5:クレジットカード情報が流出。カードを不正利用される人も
2017年、ECサイトを運営する企業から1万人以上の顧客のクレジットカード情報が盗まれる事件が発生。カード情報の中には有効期限やセキュリティ情報も含まれていたため、カードを不正利用される被害者もいました。このECサイトを運営する企業は、被害状況の公開や対策を遅らせたため、世間から非難の的となりました。
情報漏えいによる損失
事例からもわかる通り、情報漏えいは些細なミスで起こることも多く、一度発生すると企業は経済的にもブランドにも甚大なダメージを受けます。前述の日本ネットワークセキュリティ協会によると、被害者一人あたりの損害賠償は平均すると2万3,601円にも及びます。また情報漏えい1件あたりの損害賠償額は5億4,850万円です。
情報漏えいによる損失は企業経営が傾くほど深刻な事態に陥るケースがほとんど。だからこそ、十分な対策が求められます。
| 2017年 個人情報漏えいインシデント 概要データ【速報】 | |
|---|---|
| 漏えい人数 | 519万8,142人 |
| インシデント件数 | 386件 |
| 想定損害賠償総額 | 1,914億2,742万円 |
| 1件あたりの漏えい人数 | 1万4,894人 |
| 1件あたりの平均想定損害賠償額 | 5億4,850万円 |
| 1人あたり平均想定損害賠償額 | 2万3,601円 |
<「特定非営利活動法人 日本ネットワークセキュリティ協会」の「2017年 情報セキュリティインシデントに関する調査報告」をもとに表を作成 >
企業における情報漏えい対策
では、具体的にどのような情報漏えい対策があるのでしょうか。基本的な情報漏えいの対策方法をご紹介します。
対策1:情報資産を絶対に持ち出さない
基本的な対策ですが、安易に企業の情報を外部に持ち出さないことを徹底しなくてはいけません。仕事で使っているノートパソコンやUSBメモリなどは、基本的に持ち出しNG。パソコンやUSBメモリの持ち出しルールなどを社内で定めていない場合、早急に管理規定を定め、従業員に遵守させる意識を教育・醸成させましょう。
対策2:情報を放置しない
重要書類を机の上に放置したり、パソコン画面にロックをかけずに放置したりすることもやめましょう。パスワードが書かれた付箋をデスクトップに貼る人もいるかもしれませんが、セキュリティ対策の観点では絶対にNG。情報資産を管理する際は必ず暗号化対策を施し、安易に情報を放置することは避けましょう。
対策3:従業員の意識を向上させる
情報漏えいを防ぐには、セキュリティに対する意識を高める社員教育も有効です。たとえば、
・パソコンを破棄する際は、ハードディスクのデータを消去し、物理的に破壊する。
・個人所有のノートパソコンを社内に持ち込ませない。
・個人に付与されたアクセス権限を他人に許可なく貸出・譲渡させない。
・業務上知り得た情報を他人に許可なく公言させない。
上記のようなルールを定め徹底するといいでしょう。
ツールで可能な情報漏えい対策
ここからはツールで可能な情報漏えい対策についてご紹介します。ノートパソコンのセキュリティ対策で有効とされているのはHDD暗号化(ハードディスクドライブ暗号化)。HDD暗号化とは、ファイルやフォルダ単位で暗号化するのではなく、OSやシステムファイル全体を丸ごと暗号化する方法です。
代表的なHDD暗号化サービスのひとつに「BitLocker」があります。BitLockerはWindows10 Proに標準搭載されており、HDDやSSDのドライブ全体を暗号化できます。一度ロックすると、暗号化キーを入力しない限り解除できません。仮にハードディスクを取り出して他のパソコンに接続したとしても、データへのアクセスは不可能です。
また情報漏えいの原因に、「USBメモリの持ち出し」が多いことはすでに触れました。USBメモリに重要なデータを入れない社内ルールの徹底も必要ですが、業務上持ち運ばなければならないケースもあるでしょう。そのような場合は、セキュリティ機能が付いたUSBメモリを利用しましょう。法人用USBメモリとして、「ウィルスチェック機能」や「ハードウェア暗号化機能」などが付いた製品が発売されています。
| 情報漏えい対策USBメモリ | ||
|---|---|---|
| 暗号化の種類 | 価格 | 特徴 |
| ソフトウェア・サービスの暗号化 | ◯ 安価 | ・目的や状況に応じてソフトが変更可能。 ・セキュリティ機能なしのUSBメモリとしても使用可能 |
| ハードウェアの暗号化 | △ 通常のUSBメモリに比べると高価 | ・メモリ内の空き容量全てを暗号化可能 ・暗号化、復号化の機能を内蔵しているため処理が早い |
情報漏えい対策として考えるならば、USBメモリの基盤自体で暗号化・復号化が可能であり、情報処理速度も速いハードウェア暗号化のUSBメモリがおすすめです。比較的安価なソフトウェア暗号化では、OSや機種に依存しないプログラムを使ってデータを保護できますが、セキュリティの堅牢性は低めです。業務上、大容量のデータを持ち運ぶケースが多いのであれば、ハードウェア暗号化のUSBメモリであることに加え、「ウィルスチェック機能付き」やデータ転送速度が速い「USB3.0」規格を選ぶと、安全で効率のいい作業が期待できます。
まとめ
情報漏えいは一度発生すると企業のブランドイメージを失墜させるだけでなく、莫大な損失につながるリスクがあります。特に、膨大な顧客情報を扱う企業の場合、経営が傾くクリティカルな損失につながる恐れもあるため、情報漏えいには十分な対策が必要です。今回ご紹介した原因と対策はほんの一部ですが、実行するのとしないのとでは大きな差が生まれます。顧客はもちろん自社を守るためにも、十分な情報漏えい対策を講じてください。
