情報漏えいのリスク一覧|種類別の被害例と原因ごとの対策案
近年、身近に情報漏えいの危険性が潜んでいることが多くの企業で認識されつつあります。サイバー犯罪の手口は年々巧妙化し、どんな企業でも標的にされる可能性があるためです。
また、従業員の教育不足などを背景に、社内の人為的なミスから情報漏えいが起こるケースも存在します。
ここでは、こうした情報漏えいが企業にもたらすリスクや、発生を防ぐ対策、発生時の対応フローまで解説します。自社の情報漏えい対策を見直してみましょう。
情報漏えいがもたらすリスク一覧
近年では、情報漏えいのリスクを抑えるためにより強固な対策が必要になっています。従来のセキュリティ対策のみでは対応しきれず、深刻な情報流出が起こってしまった被害事例も少なくありません。
その背景として挙げられるのが、新型コロナウイルス感染症拡大によるテレワークの浸透や、業務用スマホやタブレットを含むモバイル端末の普及です。
IPA(情報処理推進機構)の調査によると、2021年から情報セキュリティの脅威に新しく「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしています。まずは、注意すべきリスクを一覧形式でご紹介します。
【参考】 「情報セキュリティ10大脅威 2021」(独立行政法人情報処理推進機構)
<情報漏えいがもたらすリスク一覧>
| 区分 | リスク | 実際に発生した事象の例 |
|---|---|---|
| 一次リスク | なりすまし・不正利用の被害に遭う | ・顧客のクレジットカードの不正利用 ・ 企業のSNSアカウント乗っ取り ・ 企業のなりすましメールの拡散 |
| 損害賠償・刑事罰を受ける | ・ 加害者に1年以下の懲役または50万円以下の罰金刑 ・ 被害者全員に10,000円の支払い ・ 被害者全員に500円の金券配布 |
|
| Webサイトを改ざんされる | ・ 意図しない広告が表示される ・ 別サイトに自動アクセスされる ・ 閲覧者をマルウェア感染させる |
|
| 二次リスク | 社会的な信用が低下する | ・ 重要顧客の取引が中止される ・ 市場シェアが小さくなる ・ SNSでネガティブな評判が拡散される |
| 従業員の不安や不信につながる | ・ 退職者が増える ・ 職場の雰囲気が悪くなる |
なりすまし・不正利用の被害に遭う
なりすましとは、インターネット上で第三者が別の人のふりをして不正を働くことです。IDやパスワード、メールアドレスなどの個人情報が悪用される被害につながります。
企業になりすましたメールが拡散されたり、顧客のクレジットカードが不正利用されたり、企業のSNSのアカウントが乗っ取られたりする被害が懸念されます。
損害賠償・刑事罰を受ける
個人情報の漏えいが発覚した場合、国からの措置命令や罰金を受ける可能性があります。2022年4月に施行された個人情報保護法の改正により、措置命令と罰金が強化されました。
措置命令に違反した場合、1年以下の懲役または100万円以下の罰金が科せられます。
また、情報漏えいにより民事上の損害賠償責任が発生するケースもあります。情報漏えいは、他人の権利や利益を違法に侵害する不法行為にあたるためです。
さらに、損害賠償とは別に、企業が金券や電子マネー、ポイントなどの謝罪金を支払った事例もあります。
【参考】 「令和2年 改正個人情報保護法について」(総務省)
Webサイトを改ざんされる
悪意ある第三者がWebサイトの脆弱性を狙って不正アクセスを行い、知らぬ間に内容を改ざんされるリスクがあります。
改ざんにより自社のビジネスとは無関係な広告を表示させるほか、ユーザーを偽サイトへ遷移させたり、マルウェア感染させたりする手口もあるため注意が必要です。
社会的な信用を低下させる
情報漏えいは、取引先や顧客からの信頼を損ない、社会的信用やブランドイメージの低下を招きます。SNSでの風評被害や株価の下落なども懸念されます。
事故をきっかけに、営業活動やサービス運営の停止を避けられない事態となれば、大きな損失に発展する恐れもあるでしょう。
従業員の不安や不信につながる
情報漏えいが社内に与える影響も少なくありません。従業員は企業に対して不安や不信を感じるようになり、業務へのモチベーションが低下しやすくなります。
また、事故後の社外対応で過労となったり、ストレスを溜め込んだりしやすく、退職者の増加につながりかねないのも注意点です。
目次に戻る情報漏えいの主な原因とリスクを減らす対策例
企業の情報漏えいは、主にどのような原因で発生するのでしょうか。原因別の対策を講じて、社内の情報管理を徹底しましょう。
情報漏えいの主な原因
情報漏えいの原因は、主に「内部の人為的なミスによる漏えい」「内部からの意図的な漏えい」「外部の攻撃による漏えい」の3つに大別できます。情報漏えいを未然に防ぐためには、原因に応じて多方面から施策を実行することが必要です。
<情報漏えいが発生する原因と発生元・発生要因>
| 区分 | 主な原因 | 発生元 | 発生要因 | |
|---|---|---|---|---|
| 内部 | 人為的ミス | ・ 置き忘れや紛失 ・ 不注意な会話やSNS発信 ・ メールやシステムの誤操作 |
・ 正社員 ・ 退職者 ・ 業務委託 ・ パート・アルバイト ・ 出入り業者など |
・ 不注意 ・ 知識不足 など |
| 意図的 | ・ 不正持ち出し ・ 不正操作 |
・ 経済的な理由 ・ 組織への不信不満 など |
||
| 外部 | 悪意による攻撃 | ・ サイバー攻撃 ・ マルウェア感染 ・ 盗聴や盗難 |
・ 単独犯/組織犯 ・ 愉快犯 ・ 国内犯/国際犯など |
|
【原因別】情報漏えいの対策例
情報漏えいの原因は、「紛失・置き忘れ」「誤操作」「管理ミス」「盗難」など人為的なミスが60%以上を占めています。これは、2018年の日本ネットワークセキュリティ協会による調査結果で公表された数値です。
【参考】 「2018年情報セキュリティインシデントに関する調査報告書」(日本ネットワークセキュリティ協会)
この結果からも、従業員のセキュリティ情報に関する知識や意識次第で回避できる情報漏えいは、比較的多いといえるでしょう。定期的な研修の実施やガイドライン・ルールの策定などの施策が有効です。
以下の表では、ヒューマンエラーの原因別に効果的な情報セキュリティ対策をまとめました。ぜひ参考にご覧ください。
<人為的なミスによる情報漏えいの原因と対策例>
| 原因 | 対策例 |
|---|---|
| 管理ミス | ・ 私用パソコンを社内ネットワークにつなげない ・ 紙の書類は必ずシュレッダーで廃棄する ・ 業務用と私用のメールアドレスを使い分ける ・ 業務用パソコンのロックをせずに離席しない |
| 誤操作 | ・ メールの誤送信防止システムを導入するメールの誤送信防止システムを導入する ・ 送信データを暗号化する |
| 置き忘れ・紛失 盗聴・盗難 |
・ 電車の網棚に荷物を置かない ・ 会社の情報を自宅に持ち帰らない ・ USBメモリなど持ち歩ける記録媒体を使用しない ・ SNSで仕事に関する情報を発信しない ・ エレベーターや居酒屋などの公共の場で仕事の話をしない |
情報漏えい発生時にリスクを抑えるための対応フロー
もしも自社で情報漏えい事故が発生してしまったら、以下のフローで速やかに対応しましょう。最後に、緊急時に備えて確認すべき対応フローをご紹介します。
Step1. 実態確認と即時報告
情報漏えいの予兆や、発生後の影響を確認した場合、すぐに責任者へ報告します。まずは責任者を中心に、社内体制や一次対応の方針・内容を定めます。
その際、原因究明の手掛かりとなる証拠を消さないよう、使用機器の不用意な操作は行わないようご注意ください。例えば、事態に関連するメールやファイルの削除などは行わないようにしましょう。
Step2. 二次被害を抑える初動対応
次に、情報漏えいの被害拡大、二次被害の防止に向けた応急処置を行います。場合によっては、サービスの一時的な停止などの対応策が検討されるケースもあるでしょう。
個人情報漏えいでは、被害を受けた方に連絡を取り、パスワード変更やサービス利用の停止を依頼することも必要です。
Step3. 原因究明と情報公開
事実関係の調査を実施し、情報漏えいが発生した原因を突き止めた上で、正確な情報を公開します。そこで重要なのは、根拠のある確実性の高い情報を公表することです。
曖昧な情報や憶測など、混乱を招くおそれのある情報は発信を避けるようご注意ください。
Step4. 関係各所への報告や公表
企業が情報漏えい事故の説明責任を果たすために、関係各所への報告や公表を行います。取引先や顧客に通知するだけでなく、監督官庁・警察・IPA(情報処理推進機構)などへの届け出も必要です。公表のタイミングは、被害拡大につながるリスクがないか考慮した上で策定しましょう。
Step5. 再発防止策の検討と実施
初動対応が完了し、営業活動やサービスが復旧したら、再発防止策へ取り組みます。情報漏えいの原因から課題を特定し、対策を講じるとともに、被害者への損害賠償や従業員の処分なども行います。
なお、再発防止策の公表内容によっては第三者に脆弱性を知られる恐れがあるため、公表する範囲は十分に検討しましょう。
【参考】 「情報漏えい発生時の対応ポイント集」(独立行政法人情報処理推進機構)
目次に戻る情報漏えいのリスクに備えるために
情報漏えいのリスクに備えた対策や、被害を最小限に抑えるための対応フローをご紹介しました。情報漏えいの原因の中でも大部分を占めているのは、従業員の人為的なミスによるものです。
社内の情報セキュリティ教育の充実化が、リスクの低減につながると考えられています。万が一の事態に備えて、社員教育にも力を入れましょう。
社内で情報セキュリティに関する周知をする際は、「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。
「learningBOX ON」は、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。
情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。
▼こちらもおすすめ!あわせて読みたい
