企業における情報漏洩発生のリスクと対策

膨大なデータが容易に取り扱えるようになった今日、大切な情報を守ることが企業にとって早急な課題となっており、情報漏洩のダメージは企業運営の根幹を揺るがす事態になりかねません。今回は情報漏洩が実際に起こった場合に企業がとらなければならないリスクの可能性や必要な対策についてご紹介したいと思います。

過去の個人情報漏洩事件の事例

まずは、過去に起きた情報漏洩事件の事例を見て、情報漏洩にはどのようなリスクがあるのか見てみましょう。

ケース1

インターネットプロバイダ（ISP）加入者の個人情報（名前や住所、電話番号など）が漏洩。流出経路が明らかになっていないが、社内関係者が絡んでいると見られおり、流出規模は400万件に及んでいます。

ケース2

大手エステティックサロンの顧客名簿がインターネット上に漏洩され、誰でも閲覧可能な状態に。この件により、この大手エスティックサロンは一人当たり35,000円分もの高額賠償が裁判所で言い渡されたと言います。原因はウェブサーバーの設定ミスだと考えられています。

ケース3

市の住民基本台帳データ22万人分が漏洩。システム開発時に民間業者に委託したところ、再々委託先のアルバイト従業員がデータの不正コピーを行い、名簿業者へ販売や転売を行っていたようです。

上記のようにさまざまケースがありますが、いずれも場合においても顧客、企業にとってデメリットしかありません。日本ネットワークセキュリティ協会の調査による「2018年情報セキュリティインシデントに関する調査報告書」では、実際に情報漏洩が起こったインシデント件数が443件、漏洩人数は561万人にも及びます。 一人あたりの平均想定損害賠償額は約29,000円で、全体の賠償額は2,684億円という調査結果が出ました。
一人当たりの賠償額が仮に3万円としても、1万件の顧客情報が流出してしまえば、3憶もの賠償額を支払わなければいけないことになります。さらに企業の信頼も同時に失うことになり、一転して倒産の危機に追いやられてしまうことも考えられます。

情報漏洩の原因と種類

上記のケースからもわかるように、情報漏洩の原因として最も多いのは、誤操作や管理不備などの【人的要因】で、全体の約7割にも及ぶと言われています。一方、外部攻撃、ウイルスの侵入などの【外的要因】によるものは、全体の3割程度に留まっています。

【人的要因】には、セキュリティが必要な情報を誰でも閲覧可能な状態に設定してしまうといった管理ミス、操作ミスに加え、パソコンやUSBメモリの紛失、置き忘れなどがあります。また故意によるデータの不正流用、印刷物の横流しなども人的要因として挙げられます。

対策としては・・・ちょっとしたミスが大変な事態を引き起こす可能性があることを社員に意識させ、個人情報の取り扱いルールのしっかりと策定しておく必要があります。特に監視の目が届きにくい印刷物などの対策も忘れずに行っておきましょう。

【外部要因】となるリスクしては、他社のウェブサービスから流出したIDやパスワードのリストを使って、別のウェブサービスに不正アクセスを行う「リスト型アカウントハッキング」などが目立つようになってきました。ユーザーがさまざまなウェブサービスに対して、同じIDやパスワードを使いまわしていることが多いため、防ぐのが難しいハッキング攻撃です。
そのほかには、ウイルスに感染するウェブサイトのURLや、ウイルスの実行ファイルを添付したスパムメールの送信、攻撃対象のユーザーがよく利用するウェブサイトを不正に改ざんし、ウイルスを仕込む「ウェブ待ち伏せ型攻撃」（水飲み場型攻撃／DBD攻撃）の被害も増えています。

対策としては・・・クライアントPCからの不正なウェブサイトへのアクセスを遮断させることはもちろん、悪質な攻撃をブロックさせるセキュリティソフトの導入、最新版へのアップデートも忘れないようにしてください。また、公開用のウェブサーバーのセキュリティ強化や、不正な改ざんを検知できるシステムも効果的です。さらに攻撃性のあるメールをブロックする対策も大切と言えるでしょう。

このように情報漏洩にはヒューマンエラーのほか、外部攻撃などのリスクがあり、内外からしっかり対策をしておくことが重要です。上記を参考にしながら情報漏洩のリスクと向き合うようにしてください。