情報漏洩のリスクとは? 企業で行うべき対策を徹底解説!

では、情報漏洩はどのように発生してしまうのでしょうか。この章では、「情報漏えい発生時の対応ポイント集」を参考に、情報漏洩が発生しやすいパターンを解説していきます。

参考: IPA「情報漏えい発生時の対応ポイント集」

2-1. 紛失、盗難

よく見られるのが、「紛失、盗難」によって企業の情報が漏洩するパターンです。たとえば、パソコンや USB メモリの入ったカバンを電車内に置き忘れていたり、カフェで仕事をしていて席を外した隙に盗まれたりするパターンが想定されます。他にも、事務所や自宅に保管していたパソコンが盗難被害に遭って、情報の紛失や漏洩につながるケースもあります。

2-2. メールの誤送信、Web での誤公開

誤操作や誤送信、設定ミスなどによって、情報漏洩が起こるケースも少なくありません。たとえば、相手先のメール アドレスを誤って入力し、無関係の人間に誤送信したり、公開してはいけない自社の情報を Web サイト上で公開したりするケースなどがあります。

2-3. 内部犯行、不正

企業 (組織) の従業員が不正に情報を持ち出し、外部の第三者に売ったり、渡したりする内部犯行や内部不正によって情報漏洩が起こるケースも多く見受けられます。「情報セキュリティ 10 大脅威 2022」によると、内部不正による情報漏洩は第 5 位となっています。

たとえば、社内のデータベースから顧客情報を持ち出して転売する事例や、社内の設計情報などを不正に持ち出してライバル会社に渡す事例などが過去にありました。内部犯行および不正による情報漏洩はすぐには把握できず、外部からの問い合わせや指摘によって発覚するケースが多いようです。

参考: IPA「情報セキュリティ10大脅威 2022」

2-4. Winny や Share などへの情報漏洩

Winny や Share は、日本国内で多く利用されているファイル共有ソフトです。テレワークで会社の機密情報や個人情報が含まれているパソコンを持ち帰り、Winny や Share を利用した際ウイルスに感染します。パソコン内の重要なデータや電子メールの内容などが外部に漏れるケースもあります。

2-5. 不正プログラムによる情報漏洩

情報漏洩のパターンはさまざまですが、実際に発生すると企業にはどのようなリスクをもたらすのでしょうか。この章では、情報漏洩によって起こり得るリスクを具体的に解説していきます。

3-1. 社会的信用が低下する

情報漏洩を 1 度でも起こした企業は「セキュリティ事故があった企業」として見られるため、社会的な信用が大きく低下します。顧客からの企業イメージの低下により、取引停止や株価の下落などに発展するリスクも高まるでしょう。また、働いている社員も顧客や取引先からの問い合わせ、苦情などの対応に追われることで、モチベーションの低下につながるおそれもあります。

さらに、情報漏洩が何らかの形で発覚すると、企業全体で即座に適切な対処を行う必要があります。通常業務よりも情報漏洩への対処が優先されるため、営業機会の損失や対処にかかる費用の発生など、企業の経営や利益にも悪影響を及ぼすでしょう。

3-2. 刑事罰を受ける

情報漏洩が発覚した場合、前述した個人情報保護法に基づいて、国からの改善命令が出されます。特に法人に対しては、情報漏洩を報告する際に虚偽の報告などを行った場合は 50 万円以下の罰金、命令に従わなかった場合は 1 億円以下の罰金が科せられます。

また、刑事罰だけではなく、損害賠償責任を負う可能性がある点も留意しなければいけません。損害賠償の額は、事案によって大きく変動しますが、企業全体で 1,000 万円を超える額を負担するケースも珍しくありません。

このように、1 度でも情報漏洩が起こってしまうと、経済的にも大きな損失につながります。そのため、日ごろから情報漏洩に対して適切な対策を講じることが重要です。

3-3. Web サイトの改ざんなどの 2 次被害につながる

Web サイトの管理者 ID やパスワードが漏洩した場合、Web サイトの改ざんなどの 2 次被害を招くおそれがあります。たとえば、サイトに不正プログラムが埋め込まれ、閲覧者がマルウェアに感染し、ネットバンキングの ID やパスワードが盗み取られるといった事態に発展する危険性があるでしょう。また、顧客の氏名や電話番号、住所などの情報がインターネット上に公開されてしまい、情報を公開された本人宛に迷惑メールやいたずら電話が掛けられる事例も過去にありました。このような 2 次被害を防止するためには、情報漏洩の原因や種類によって、適切な対応を臨機応変に行うことが重要です。

日本国内でも情報漏洩の事例は多く確認されています。この章では、過去にどのような情報漏洩があったのか、どのような被害をもたらしたのか、実際の事例を紹介します。

4-1. 不正アクセスによって発生して個人情報が約 275 万件漏洩した

ある国内企業は、自社が運用するサイト内で不正アクセスが発生したことを発表しました。サービスに登録していた利用者の氏名や生年月日、メール アドレス、住所などの個人情報、約 275 万件が漏洩しました。この個人情報漏洩を引き起こした手口は「SQL インジェクション」です。SQL インジェクションとは、ログイン ID やパスワードを入力するスペースに、サイトの誤作動につながる SQL 文を入力することです。この事例では、サイトの検索ボックスなどを介し、データベースに対して SQL 文を実行させることによって不正にデータを入手していました。

SQL インジェクションを防止するためには、システムの脆弱性をねらった攻撃からの防御に特化したセキュリティ システムの導入や、脆弱性診断の利用などが有効です。

4-2. 従業員が顧客情報を不正に持ち出し個人情報が漏洩した

ある国内企業は、同社子会社の従業員が転職の際に個人情報を含む 64 件の顧客情報を不正に持ち出していたことを発表しました。このような、従業員による機密情報や個人情報の持ち出し事例は多く発生しています。今回のケースは、転職先に顧客情報や企業の技術および設計に関する情報を提供する、いわゆる「手土産転職」だと言われています。また、勤めていた企業に対しての恨みや復讐心から、転職する際に不正持ち出しを行うケースも少なくありません。

従業員の不正持ち出しを防ぐためには、企業の重要データの管理体制を整備することや、従業員が働きやすい環境を整えることが重要です。

4-3. HDD を紛失して約 3 万件の個人情報が漏洩した

ある国内企業は、顧客情報が含まれている外付け HDD を紛失し、自社の個人情報約 3 万件が漏洩した可能性があることを発表しました。この紛失した HDD には、顧客の氏名や住所を含む個人情報が 31,463 件含まれていたとされています。

このように、企業で保管している「情報媒体」の紛失によっても、情報漏洩は起こり得ます。そのため、個人情報が含まれている媒体の管理や持ち出しに関するルール策定や管理を徹底させるための社員教育が重要です。