情報漏えいを防ぐ9つの対策・ポイント、流出の主な原因
ネット社会の到来により情報管理の重要性が説かれているものの、対応の遅れから情報漏えいに至るケースも少なくありません。企業で情報漏えいが発生すると、イメージの低下だけでなく、損害賠償請求など事業の存続に関わる事態となる可能性があります。
上記のようなリスクを低減するためには、事前に対策を講じることが大切です。そこで本記事では、情報漏えい対策のポイントや発生の主な原因について解説します。
情報漏えいの具体的な対策・ポイント
企業は機密性の高い情報を数多く管理しており、一度漏えいしてしまえば、取引先からの信頼低下や多額の損害賠償金の支払いなど影響は計り知れません。そのような事態を防ぐためにも、以下のポイントを参考に情報漏えい対策を講じましょう。
<情報漏えい対策の具体例・ポイント>
| 対象 | 対策の具体例・ポイント |
|---|---|
| 従業員 | ガイドラインとルールを策定する |
| 定期的な情報セキュリティ教育を実施する | |
| 情報や機器の持ち出しや持ち込みを制限・禁止する | |
| メールの誤送信防止システムを導入する | |
| 情報の安易な放置や廃棄を禁止する | |
| 情報の不注意な公言を禁止する | |
| 外部者 | IDやパスワードなどの情報は厳重に管理する |
| セキュリティソフトを導入・更新する | |
| 定期的なシステムのアップデートや脆弱性チェックを行う |
従業員向けの情報漏えい対策・ポイント
ガイドラインとルールを策定する
人為的なミスを防ぐためには、全社のガイドラインに沿ったルールの作成と運用が必要です。経営陣の示す方針と現場における運用の課題を、双方向からすり合わせます。その際は、IPA(情報処理推進機構)が公表しているガイドラインを参考にすると良いでしょう。
【参考】 「中小企業の情報セキュリティ対策ガイドライン第3版」(独立行政法人情報処理推進機構)
情報セキュリティ教育を定期的に実施する
従業員の情報セキュリティに関する知識や意識を高めるため、情報セキュリティ教育を定期的に実施することも重要です。業務内容によらず、常に情報漏えいのリスクと隣り合わせである自覚を持ってもらうことで、従業員のセキュリティ意識の向上につながります。契約形態に関わらず業務に携わる全員を研修の対象にするほうがリスクを回避しやすいでしょう。
情報や機器の持ち出しや持ち込みを制限・禁止する
紛失や盗難による情報漏えいを予防するためには、情報資産の持ち出しや私物の持ち込みを制限・禁止することが大切です。
また、やむを得ず持ち出しや持ち込みが必要な場合やテレワークを導入する場合に備えて、運用ルールも設ける必要があります。具体的には、責任者の許可を得る、許可を出す情報やデバイスを限定するなどの方法が考えられます。
メールの誤送信防止システムを導入する
メールの誤送信や添付ファイルの不備による情報流出を未然に防ぐには、誤送信防止システムの導入が効果的です。上長承認後の自動送信や宛先の自動CC、送信前の再確認などの機能が搭載されており、情報管理体制の強化に役立ちます。
情報の安易な放置や廃棄を禁止する
機密情報の流出を防ぐには、情報の安易な放置や廃棄を禁止する必要があります。誰もがアクセスできる状態で情報が放置されていたり、回収や読み取りが可能な状態で情報が廃棄されたりすると、悪意ある第三者に利用される可能性があるためです。
離席時は書類やパソコンを外部から見える状態にしない、電子媒体やクレジットカードを処分する際は物理的に破壊するなどのルールを設けましょう。
情報の不注意な公言を禁止する
情報の取り扱いや廃棄を適切に行っても、従業員が口外することで情報漏えいにつながる場合があります。具体的にはSNSやブログ、他社従業員との会話の中で、社内で得た情報を漏えいしてしまうケースなどが考えられます。そのため、情報セキュリティに関する社内研修を実施する際は、従業員に守秘義務を徹底するよう指導することが大切です。
目次に戻る外部者向けの情報漏えい対策・ポイント
IDやパスワードなどの情報は厳重に管理する
巧妙化している外部からの攻撃を避けるには、IDやパスワード管理の強化が重要です。名前など推測しやすい文字列を使用しない、使い回しをしない、外部から見える場所で管理しないなどの基本的な対策を徹底しましょう。
セキュリティソフトを導入・更新する
サイバー攻撃による個人情報漏えい対策には、セキュリティソフトの導入が効果的です。OSの標準機能では対応が難しい新たな手口にも対処でき、セキュリティインシデントのリスクを低減できます。日々進化する手口やウイルスに対応するためには、定義ファイルの更新を忘れずに行うことも重要です。
システムのアップデートや脆弱性チェックを定期的に行う
外部からの攻撃は、システムやアプリの脆弱性を狙って行われるケースも少なくありません。そのため、外部者による情報漏えいを防ぐには、システムのアップデートや脆弱性チェックを定期的に行う必要があります。
万が一脆弱性が発見された場合は、その危険度や影響を確認した上で、新しいセキュリティツールの導入やシステムの使用停止・改修などで適切に対処しましょう。
目次に戻る情報漏えいの主な原因と発生要因
情報漏えいの主な原因は、内部職員のヒューマンエラーや意図的な不正、外部からの悪意ある攻撃に分類できます。ここでは、それぞれの具体例や発生要因をお伝えします。
<情報漏えいが発生する原因と発生元・発生要因>
| 区分 | 主な原因 | 発生元 | 発生要因 | |
|---|---|---|---|---|
| 内部 | 人為的ミス | ・ 置き忘れや紛失 ・ 不注意な会話やSNS発信 ・ メールやシステムの誤操作 |
・ 正社員 ・ 退職者 ・ 業務委託 ・ パート・アルバイト ・ 出入り業者など |
・ 不注意 ・ 知識不足 など |
| 意図的 | ・ 不正持ち出し ・ 不正操作 |
・ 経済的な理由 ・ 組織への不信不満 など |
||
| 外部 | 悪意による攻撃 | ・ サイバー攻撃 ・ マルウェア感染 ・ 盗聴や盗難 |
・ 単独犯/組織犯 ・ 愉快犯 ・ 国内犯/国際犯など |
|
内部の人為的ミスによる情報漏えい
内部の人為的ミスによる情報漏えいは、パソコンや書類、USBメモリなどの記録媒体の置き忘れや紛失、送信先や添付ファイルの誤りなどのメールの誤操作などが主な原因です。
また、公共の場における不注意な会話が原因で情報が流出する場合もあります。例えばオフィスビルのラウンジやエレベーター内、カフェ、居酒屋などの場所で、会話を第三者に聞かれている可能性もあるため注意が必要です。「うちの会社は近々上場する予定で……」「来年の新製品は〇〇の技術が……」といった発言は避けるべきでしょう。
そのほかには、リリース前の秘密情報や顧客の個人情報を投稿するなど、SNSにおける不用意な発信も情報漏えいの原因となり得ます。匿名でも、発信内容から発信者や所属組織の情報を特定されるリスクにも注意が必要です。
内部の意図的な情報漏えい
内部の意図的な情報漏えいでは、退職者によって情報が持ち出されるケースなどが想定されます。経済的な理由や組織に対する不信・不満が原因となる場合があります。
外部からの攻撃による情報漏えい
外部攻撃による情報漏えいの代表的な原因は、不正アクセスやマルウェア感染です。マルウェアとは、端末の不具合や情報漏えいを引き起こす悪質なプログラムやソフトウェアを指します。個人情報や顧客情報の流出、IPアドレスの悪用などの発生を引き起こします。また、オフィスの盗聴や不法侵入による盗難によって情報漏えいが発生するケースにもご注意ください。
目次に戻る情報漏えいが発生した際の対応方法・手順
万が一情報漏えいが発生した場合は、被害を最小限に抑えるために速やかな対処が求められます。こちらでは、情報漏えいが発生した際の対応方法について、手順ごとに解説します。
Step1. 実態確認と即時報告
まず、情報漏えいの予兆や影響を確認した場合、すぐに責任者に報告しましょう。責任者を中心に対応する体制や、一次対応の方針・内容を定めます。原因究明の手がかりとなる証拠を消さないよう、メールやファイルの削除などの不用意な操作を行わないことが大切です。
Step2. 二次被害を抑える初動対応
次に、情報漏えいの被害拡大、二次被害の防止に向けた応急処置を行いましょう。ネットワークの遮断やサービスの停止などの対応策が検討されます。個人情報漏えいの際は、被害を受けた方に連絡を取り、パスワード変更やサービス利用の停止を依頼することもあります。
Step3. 原因究明と情報公開
次のステップでは、情報漏えいが発生した原因を調査します。5W1Hの視点で情報漏えいに関する事実関係を調査し、証拠の確保に努めましょう。また、対応策が明確になった場合は、同様の被害事例を減らすためにも、企業には速やかに情報を公開することが求められます。
Step4. 関係各所への報告や公表
次は、取引先や消費者、関係省庁への報告や公表の要否を検討します。取引情報や個人情報が漏えいしている場合は、特段の理由がない限り取引先や本人へ通知し、謝罪と二次被害への注意喚起を行うのが基本です。
関係者や被害件数が多岐にわたり、個別の通知が難しい場合は、ホームページや記者会見にて公表するケースもあります。また、金銭の要求や不正アクセスなど犯罪が疑われる場合は、速やかに警察へ届け出ましょう。
Step5. 再発防止策の検討と実施
最後に、情報漏えいの再発防止策を検討して実施します。また、調査報告書をもとに被疑者への損害の補償や、内部職員の処分について検討するのもこちらの段階です。
【参考】 「情報漏えい発生時の対応ポイント集」(独立行政法人情報処理推進機構)
目次に戻る情報漏えい対策を実施してセキュリティリスクを低減しよう
情報漏えいは、どの企業でも発生し得るリスクです。内部の従業員による不手際や外部からの攻撃などさまざまな原因が考えられるため、漏えいを未然に防止するには、網羅的な対策を講じる必要があります。この機会に情報漏えい対策を実施し、セキュリティリスクの低減に努めましょう。
社内で情報漏えい対策を周知する際は、「learningBOX ON」の情報セキュリティ研修をご利用ください。
「learningBOX ON」は、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加できるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。
情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修に ご活用ください。
▼こちらもおすすめ!あわせて読みたい
