自社の機密情報や個人情報など、企業はビジネスのためにさまざまな情報を扱います。

重要情報を扱うにあたって注意しなければならないのが、情報漏洩。社員のミスや第三者からの不正アクセスなどによる情報漏洩の被害は後を断ちません。
情報漏洩を防ぐためのセキュリティ対策は、企業の果たすべき義務となっています。

そこで今回は、情報漏洩の原因や事例、対策を詳しく解説していきます。自社の情報漏えい対策に抜かりはないか、チェックしてみてください。

企業の情報漏洩が起こる原因

企業の情報漏洩が起こる原因は、企業内部の要因である内的要因と、企業外に要因がある外的要因の2種類に分けられます。
ここでは、情報漏洩の具体的な原因を、内的要因と外的要因に分けてご紹介します。

内的要因

まずは、情報漏洩の内的要因について見ていきましょう。

不正持ち出し

内部の人間が持ち出し禁止のデータや書類を社外に持ち出し、意図的に情報漏洩させるケース。パソコンの不正操作によって意図的に情報を漏洩させるケースもあります。

メールの送信ミス

人的ミスで多いのが、メールの送信ミス。宛先の入力を間違えたり、一斉送信の返信やBCC、CCの確認を怠ったりすることにより、本来情報を共有すべきではない相手にメールで情報を共有してしまう恐れがあります。

添付ファイルの間違い

添付ファイルの間違いも、情報漏洩に繋がる内的要因のひとつ。
送るべき添付ファイルとは別のファイルを第三者に添付し送ってしまうことで、情報を誤って漏洩させてしまうケースです。

書類・デバイスの紛失

書類やデバイスを社外で紛失してしまったことにより、情報が社外に流出してしまうというのも、よくある情報漏洩のパターン。
電車に書類を置き忘れたり出張中に会社用のスマートフォンを無くしたりといったミスは、どの職場でも起こり得ます。

システム・デバイスの設定ミス

システムやデバイスの設定ミスも、情報漏洩に繋がるリスクです。
設定ミスによって、本来情報にアクセスできない人が情報にアクセスできたり、情報を見ることができない人に情報が公開されたりする状態になっていることで、第三者に情報が漏洩してしまうのです。

外的要因

次に、情報漏えいの外的要因を見ていきます。

不正アクセス

第三者のサーバーや情報アクセスへの不正アクセスによって情報が漏洩するケース。不正アクセスは、日本国内だけでなく、世界のどこからでも行われる恐れがあります。

セキュリティホール

セキュリティホールとは、OSやソフトウェアの情報セキュリティ面での欠陥のこと。このセキュリティホールが攻撃者に狙われてハッキングやウイルス感染の標的となり、情報が漏洩するおそれがあります。

標的型攻撃メール

標的型攻撃メールとは、情報を盗みたい企業の担当者を標的に送られるウイルス付きのメールのこと。業務のメールだと思い開封してしまうような巧妙な細工がされていて、開封したり添付ファイルを開いたりすることでパソコンがウイルスに感染し、情報を盗まれてしまいます。

フィッシングサイト

フィッシングサイトとは、ECサイトやネットバンキングなどを装った偽サイトのこと。フィッシングメールを通してフィッシングサイトに相手を誘導し、IDやパスワード、個人情報を入力させることでこれらの情報を盗みます。

盗聴・盗み見

職場の盗聴やパソコンやスマホの盗み見なども情報漏洩につながる恐れがあり、注意が必要です。

実際に起きた企業の情報漏洩事例

情報漏洩の被害は、多くの企業で実際に起こっています。ここでは、実際に起きた企業の情報漏洩の事例を3つご紹介します。

権限悪用による情報漏洩

2014年、通信教育サービス事業を展開する株式会社ベネッセコーポレーションで大規模な情報漏洩が発生しました。
その原因は、ベネッセコーポレーションのグループ企業でデータ管理を任されていたシステムエンジニアの派遣社員。故意に情報を盗み、名簿業者に顧客情報を売却したとされています。

この事件により、同社は解決に多額のコストを要し、サービスや退会者が増加するなど、大きな被害を被りました。
(参考:https://www.benesse.co.jp/customer/bcinfo/01.html)

ハッカー集団のサイバー攻撃による情報漏洩

2011年、電気機器メーカーのソニー株式会社と株式会社ソニー・コンピュータエンタテインメントで情報漏洩が発生しました。

原因は、ハッカーの不正侵入によるサイバーテロ。システムの脆弱性を突いた攻撃により、顧客のクレジットカード情報など7,700万件以上が漏洩したとされています。
この事件により、同社は対応に追われ、サービスは一時停止することとなりました。
(参考:https://internet.watch.impress.co.jp/docs/news/443979.html)

紛失による情報漏洩

通信サービスを提供するワイモバイルでは、2014年に提供Webサービスの利用者情報が含まれたパソコンの紛失が起こっています。
その原因は、サービス運営を委託されていた会社員のミスによるもの。同社は警察署に遺失物届を提出していますがパソコンは見つかっていません。
(参考:https://www.softbank.jp/corp/group/ym/news/info/2014/20140815_01/)

企業が行うべき情報漏洩対策

企業が行うべき7つの情報漏洩対策を確認していきましょう。

情報の持ち出しを制限する

情報の持ち出しについては、厳格なルールを定め、むやみに情報を持ち出させないことが大切です。
機密性の度合いに関わらず、パソコンやUSB、書類は基本的に持ち帰らないこととし、どうしても持ち帰らなければならない場合は許可制とすれば、不要な情報持ち出しによる情報漏洩は防げます。

権限の貸与・譲渡禁止

業務で使用するシステムの中で、担当者が担当分野の権限を付与されているケースは多いでしょう。情報漏洩を防ぐには、この権限の貸与・譲渡も禁止する必要があります。担当者以外の人がシステムの設定などを操作できる状態になることで、情報漏洩のリスクが高まるためです。

そもそも、IDやパスワードの共有は×。ID・パスワードの管理も徹底させるようにしてください。

情報破棄のルール制定

情報破棄には、情報漏洩のリスクがつきまといます。
紙の書類はかなり細かい目のシュレッダーにかける、ハードディスクはデータを消去した上で物理的に破壊するなど、情報関連物の破棄のルールを厳格に定めるようにしてください。

私物デバイスの使用禁止

パソコンやスマホ、USBなどの私物デバイスを業務に使用するのも、禁止した方が良いでしょう。私物デバイスには、デバイス紛失により情報が漏洩する恐れだけでなく、ウイルス感染した私物機器から企業の機器がウイルス感染する恐れもあります

情報の放置禁止

情報機器の取り扱いについてもルールを定め、情報を放置させないことも大切です。例えば、離席時にはパソコン画面を閉じる、コピーした書類はすぐに引き取る、退勤時には書類やデバイスを鍵のついた引き出しにしまうなど。
ちょっとした情報の放置も情報漏えいに繋がるため、注意しましょう。

情報の口外禁止

情報は、書類やデバイスからだけではなく、社員から漏洩することもあります。
労働契約に守秘義務の項目を入れることはもちろんですが、社員に対して定期的な情報教育も行い、社員に守秘義務を徹底させるようにしましょう。

情報漏洩時の対応を体系化

万が一情報漏洩が起きた場合の対応についても、あらかじめ決めておきましょう。

誰に報告するのか、誰が調査・対策の指揮を取るのかなど、情報漏洩時の対応を体系化し、緊急時に速やかに動けるようにしておくことで、被害を最小限に留めることができます。

まとめ

情報漏洩は、ちょっとしたミスや気の緩みで起こりうるインシデントです。毎日情報機器や書類を扱っていると、どうしてもその管理が雑になってしまうことがありますが、それは非常に危険。一度情報が漏洩してしまったら、とり返しはつきません。

情報漏洩を防ぐには、企業としての情報取り扱いのルールを明確に定めることが大切です。社員に対する情報セキュリティ教育も徹底し、企業全体で情報セキュリティ対策に取り組みましょう。