情報漏洩の対策とは? 情報漏洩の原因と影響、企業が取るべき対策のポイントについて解説
デジタルデータの利活用が促進される中、不正アクセスによる情報漏洩の増加が社会問題となっています。こうした状況も背景に、2022年4月に改正個人情報保護法が施行され、個人情報の漏洩時に企業に課せられる義務が強化されました。企業にとって情報漏洩の発生は、個人情報に限らず、企業のブランドイメージの毀損やビジネス機会の減少などビジネスに重大なダメージを及ぼしかねません。本記事では、企業が情報漏洩を起こさないためにどのような対策をしておくべきか、企業が行うべきセキュリティ対策について解説します。
目次
情報漏洩とは
情報漏洩は、企業の業績や経営に大きな影響を及ぼしかねない問題ですが、情報漏洩とはどのような事態を指すのでしょうか。まず、情報漏洩の定義と企業への影響について解説します。
情報漏洩とは
情報漏洩とは、企業が管理する情報の中でも、内部に留めておくべき重要な情報資産が何らかの要因により外部に漏れてしまう事態を指します。
重要な情報とは、顧客の個人情報など、法律により保護が義務付けられているものや、漏洩することでビジネスや企業運営に大きな影響をもたらす、開発中の製品情報や設計データなどの未公開情報、人事・財務状況といった機微な情報が該当します。
主な原因としては、秘密情報にアクセス可能な内部の人間が外部に漏らしてしまう内部要因と、外部の人間が悪意を持って情報を盗み出す外部要因に大きく分けられます。
情報漏洩の影響
情報漏洩が発生した場合、業務に大きな影響が出るだけでなく、間接的被害も膨らむ可能性があります。最悪の場合、企業の存亡に関わる可能性も考えられる大きな問題です。
直接的影響
情報漏洩による直接的な影響は下記の通りです。
- ビジネスの停止・縮小
- 対策費用の拡大(情報の回復費用、原因究明・対策費用、システムの改善費、謝罪金など)
間接的影響
情報漏洩による間接的な影響は下記の通りです。情報漏洩は直接的影響よりも、間接的影響の方が被害も大きくなり、長期間に渡り影響を及ぼす可能性があります。
- 損害賠償
- 公的な処罰
- 社会的信用の低下・ブランドイメージ失墜
- 売上の減少・営業機会の損失
情報漏洩が発生する原因
情報漏洩が発生する原因としては、大きく分けて内部要因・外部要因がありますが、ここではそれぞれもう少し具体的に解説します。
内部要因による情報漏洩
JNSA(日本ネットワークセキュリティ協会)が2019年に発表した調査(※1)によると、情報漏洩が発生する企業の内部要因について多い順に並べると以下の通りとなります。
- 紛失・置き忘れ
- 誤操作
- 管理ミス
- 設定ミス
- 内部犯罪・内部不正行為
- 不正な情報持ち出し
「紛失・置き忘れ」が外部要因も含めた全要因の中で26.2%と最も多く、「誤操作」がそれに続く2位で23.9%と、この2つだけで全体の約半数を占めています。2009〜2014年頃に非常に多かった「管理ミス」は減少傾向にあり、12.2%となっています。管理ミスとは、具体的には個人情報の誤廃棄や情報受け渡し時の確認ミスといった手順上のミスや、情報の公開、管理ルールが明確化されていないことに基づくものが主要因となっています。
外部要因による情報漏洩
同様に、情報漏洩が発生する企業外部の要因としては下記が挙げられています。
- 不正アクセス
- 盗難(物理的なもの)
- バグ・セキュリティホール
- ワーム・ウイルス
近年では、不正アクセスによる情報漏洩が増加傾向にあり、全体のなかで約20%と3番目に多い原因となっています。その上、2018年に起きた漏えい人数の多いインシデントのトップ10のうち、8件が不正アクセスによるものとなっており、外部要因による情報漏洩はより規模が大きく深刻な事態につながりやすい点が特徴だといえます。
※1 参考:JNSA「2018年 情報セキュリティインシデントに関する調査結果 〜個人情報漏えい編〜」https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf(2022/4/28確認)
企業が取るべき情報漏洩への対策
情報漏洩を未然に防止する、もしくは発生してしまった場合に被害を最小限に留めるためには、どのような対処が必要なのでしょうか。企業が取るべき情報漏洩対策について解説します。
内部要因への対策
内部要因による情報漏洩には下記の対策を行うことが重要です。
- ガイドラインやマニュアルの作成と整備
- 情報へのアクセス制御
- 社員へのセキュリティ教育
ガイドラインやマニュアルの作成と整備
まず、企業内でセキュリティガイドラインや管理マニュアルを作成して企業としての管理ルールを策定することが重要です。
IPAが公開している「情報漏えい対策のしおり」などを参考に、ポイントに沿った運用ができるような仕組み作りや、社員への周知が求められます。以下が情報漏洩を防ぐための7つの原則です。
- 企業(組織)の情報資産を許可なく持ち出さない
- 企業(組織)の情報資産を未対策のまま目の届かない所に放置しない
- 企業(組織)の情報資産を未対策のまま廃棄しない
- 私物の機器類やプログラム等のデータを許可なく企業(組織)に持ち込まない
- 個人に割り当てられた権限を許可なく他の人に貸与または譲渡しない
- 業務上知り得た情報を許可なく公言しない
- 情報漏洩を起こしたら自分で判断せずにまず報告
また、改正個人情報保護法の施行に伴い、個人情報が漏洩した場合は個人情報保護委員会や個人情報の本人への通知が義務付けられました。そのための運用フローを整備し、必要に応じて社内のセキュリティポリシー・規定の見直しを実施することも重要です。
個人情報漏洩時の企業の義務については、以下のブログを参考にしてみてください。
【2022年4月全面施行】改正個人情報保護法で事業者に求められる対応とは? 情報漏洩の報告義務化について | ベアケアブログ
参考:IPA「情報漏えい対策のしおり」https://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf(2022/4/28確認)
情報へのアクセス制御
情報漏洩の要因の多くが内部要因であることからも分かる通り、社員が機密情報にアクセスできることは大きなリスクとなります。
書類やデータの管理を徹底し、機密情報にアクセスできる社員を制御することが重要です。また、サーバーやPCに対して外部媒体を接続させない、もしくは接続の際は許可を得るようにするなどの対策や、各種アクセスログを残して後から監査が可能なようにするなどの対策も重要です。
社員へのセキュリティ教育
情報漏洩は、社員のセキュリティに対する意識の低さにより引き起こされる場合もあります。社員のセキュリティの知識と意識向上のため、IBT(Internet Based Testing)や外部研修など、定期的にセキュリティ教育を目的とした教育活動を実施することも重要です。
これは内部要因対策としてだけでなく、昨今増えている標的型攻撃など、メールを利用したサイバー攻撃などを防ぐためにも、社員一人一人のセキュリティ意識を高めることは非常に重要となっています。
外部要因への対策
外部要因による情報漏洩には下記の対策を行うことが重要です。
- 物理的セキュリティの確保
- セキュリティ対策ツールの導入と適切な管理
物理的セキュリティの確保
ビルへの入退館管理や、執務フロアやサーバールームへの入退室管理など、機密情報が置かれている場所への入場・退場については確実に管理しましょう。いつ、誰が、どこへ入場・退場したかを確実に記録して後から監査できるようにすることが重要です。
セキュリティ対策ツールの導入と適切な管理
近年、不正アクセスや標的化攻撃などのサイバー攻撃は年々巧妙化しており、大きな被害を受ける可能性があります。Webサイトやシステムの脆弱性対策、サーバーやPCのセキュリティアップデート、不正アクセス・マルウェア対策など、様々なレイヤーに対しセキュリティ対策を行っていく多層防御が重要です。セキュリティ対策ツールを導入するだけでなく、セキュリティレベルを保つために、運用ルール・手順を整備し、管理を徹底するようにしましょう。
まとめ
不正アクセスや内部要因などによる情報漏洩は、企業のビジネスや経営に大きな影響を与える問題です。情報漏洩を引き起こさないために、内部要因を防ぐためのガイドラインや運用ルールの整備、外部要因を防ぐためのセキュリティ対策、そして両方に関わる社員のセキュリティ教育など、様々な面からしっかりとした対策を行いましょう。
