情報漏洩とは？リスクと対策について

情報漏洩とは？

情報漏えいと情報流出は違う意味？

「情報漏えい」とは、企業・政府機関などの保管する機密情報や顧客情報が、何らかの原因で外部に漏れることを指します。情報漏えいの原因は、サイバー攻撃やヒューマンエラーなどさまざまです。

情報漏えいの類義語に「情報流出」があります。同じような用途で使うケースが多いのですが厳密には意味が若干異なってきます。

情報流出は情報が自組織で管理下から流れたということを指し、情報漏洩の場合は情報が流れて第三者伝わったと確定した場合に使われる表現です。

つまり流出した情報を第三者に閲覧される前に対策出来れば、情報漏洩には該当しません。このようにいずれも重要な情報が外部に漏れた場合に使う言葉ですが意味合いが少し変わってきます。

情報漏えいに該当する情報は主に3種類

では情報流失、情報漏洩にが該当する情報はどのようなものを指すでしょうか。

主には以下の3種類です。

「機密情報」企業活動において外部・競合他社に漏れると損失が生じる情報。

「顧客情報」顧客に関する情報、法人が顧客となるケースがあるので一概に個人を特定する情報だけではない。

「個人情報」個人を特定できる情報。

これらの情報が外部へ流出し第三者に伝わってしまった場合情報漏洩に該当します。

個人情報漏洩につながってしまう原因

情報漏洩が多い業種は行政機関と教育学習支援業

個人情報漏洩において、実際に過去の事例を日本ネットワークセキュリティ協会の調査結果を参照すると、業種によっても漏洩件数の多い少ないがあります。

2017年の調査結果によると情報漏洩発生件数が最も多かったのは行政機関、次に教育学習支援業、小売業、情報通信業となっております。

いずれも個人情報の取り扱いが多く、紙媒体の利用が多い業種が該当してます。

情報漏洩の原因は紛失や置き忘れと誤操作、不正アクセス

企業のDX化が進んでいる昨今、それと比例するように国内の情報漏洩数は増加傾向にあるのが実情です。

2019年6月に日本ネットワークセキュリティ協会が発表した調査結果によると、2017年の情報漏洩件数386件に対して、2018年に発生した情報漏洩件数は443件と14.7%増加傾向にあります。

また、その情報漏洩の原因で最も多かったのが「紛失や置き忘れ」「誤操作」「マルウェア感染や不正アクセス」の3つで全体の70%となってます。

紙媒体はヒューマンエラーによる流出が多い

加えて紙媒体からの情報漏洩が最も多く150件ほどとなっております。

企業の多くはセキュリティソフトの導入するなどしてセキュリティ強化を図っていますが、実態を見てみると紙媒体ではヒューマンエラーによる流失が多くなっています。

したがって、万全なセキュリティ対策をとるためにも社員個々の意識の底上げ、または社内管理の徹底が必要不可欠です。

企業・ユーザーに多大な影響がでる個人情報の流出

情報漏洩は損害賠償と信用の失墜で大きな経済的損失に

企業にとって情報漏洩が発生した場合、大きな経済的損失、信用の失墜を招きます。

さらに個人情報の場合は訴訟となり、賠償請求の問題も発生することになります。

東京商工リサーチ社の調査報告によると、2020年、個人情報の漏えい・紛失事故を公表した上場企業とその子会社は88社になり、事故件数は103件、流出した個人情報は2515万47人分に達しました。同社が調査を開始した2012年以降で最多の社数となってます。

また、実際に情報漏洩被害者にはクレジットカード情報の流出による不正決済や不正出金も発生して、2次被害も確認出来ているようです。

このように個人情報の流出に関しては企業の損害だけではなく実際に被害者となったユーザーの2次被害も発生する可能性があります。

情報漏洩事故の報告・通知は義務

個人情報保護法の改正により、情報漏えい事故を起こすと報告・通知が義務となりました。
※詳しくは「個人情報保護法の改正」をご覧ください。

以下の条件に該当する場合は個人情報保護委員会への報告と、本人への通知が必要になります。

・要配慮個人情報が含まれる場合
・1,000人以上の個人情報漏洩が発生した場合
・不正利用されることで経済的被害を生じる可能性ある場合
・不正な目的による個人情報漏洩が発生した場合

情報漏洩を起こした場合に発生する費用

情報漏えいの被害「費用損害」については、情報漏洩が発生すると企業には主に下記のような費用が発生します。

・事故対応損害：被害発生から収束に向けた各種事故対応「初動対応および調査」「対外的対応」「復旧および再発防止」等に関して自社で直接、費用を負担することにより被る被害。
・行政損害：個人情報保護法において、命令違反等により科される罰金、課徴金等の損害
・損害賠償：訴訟費用や損害賠償金
・逸失利益：サービス停止により得られなくなった、本来得られた利益、また事業中断時における人件費などの固定費支出など
・無形損害：ブランドイメージの低下風評被害、、株価下落など、無形資産等の価値の下落による損害、金銭の換金が困難な損害

損害額は数千万から数億円になるケースも

情報漏洩の規模によって損害額は様々ですが、数千万円や数億円の損害となるケースも珍しくありません。

上記で記載した「無形損害」においては取引先や顧客の信用の喪失や、SNSなどで情報が拡散されることによる炎上と風評被害によるものです。

事態を収拾できず、顧客離れやサービス停止といった二次被害につながり、最終的には事業継続が困難になる場合も考えられます。

次に情報漏洩の事例を記載します。

個人情報漏洩事例と平均賠償額について

ECサイトからの情報漏洩で9,490万の損失事例

日本ネットワークセキュリティ協会が公開している「インシデント損害額調査レポート2021年版」に掲載されている情報漏洩の事例を下記に記載します。

・ECサイトからの情報漏洩事例
ECサイトの構築システムの脆弱性が狙われサイトが改竄された。
それによりECサイトから、利用者の氏名、住所、クレジットカード情報、セキュリティコード等が約10,000件情報漏洩していることが、決済代行会社からの通報により判明。
またクレジットカードの不正利用合計2,500万円発生した。
その結果、総額約9,490万円の損失となった。

情報漏洩事故の平均想定賠償額は6億3,767万円

上記は一例ですが、日本ネットワークセキュリティ協会が2018年以降からニュースで報道された情報漏洩事故における平均損害費用によると、1件の情報漏洩の事故辺り平均想定賠償額は6億3,767万円、1件あたりの情報漏洩平均人数1万3,334人、一人あたり平均想定賠償額は2万9,768円となっいます。

企業にとって多大なる打撃であることは容易に想像できるかと思います。

情報漏洩を防ぐ対策とは

まずはヒューマンエラー防止のために社内教育を

情報漏洩の対策を行う上で、まずはじめに社内教育による社員のセキュリティ意識の向上が必要となります。

個人情報漏洩の原因でも記載させて頂いた通り、最も多いのはヒューマンエラーによる紛失です。企業努力はもちろんのこと情報漏洩を防ぐ上では、社員の機密情報を取り扱う認識を改めさせることは必要不可欠です。

昨今IT化が進んでいきサイバー攻撃による不正アクセスは増えておりますが、それ以上に、紛失・置き忘れが情報漏洩の原因となっていることが多くあります。一人ひとりの意識付けを行なうだけでも、防ぐことのできる事故も多いはずです。

情報漏洩を発生しない仕組みづくりも重要

情報漏洩が発生しない仕組み作りも重要です。

意識向上を行っても、ヒューマンエラーは大なり小なり生じてしますものです。そのために社内ルールやルーティーンとして、情報が流出してしまう可能性のあるポイントを全て洗い出して、それに対しての対策を用意しましょう。

例年情報漏洩原因として比率が高い「紛失や置き忘れ」を鑑みた上での具体的な対策例を下記に記載します。

機密情報は持ち出すという行為そのものを禁止する

・機密情報を持ち出させない

不必要な場面で情報を持ち出させないことが有効な対策の一つになります。

機密性の重要度に関わらず、持ち出すという行為そのものを禁止することが重要です。

個々人の勝手な判断で重要度を図って持ち出してしまった場合、閲覧する人によっては機密性の高い情報である可能性もあるからです。

そのため機密文書などに該当するような書類に関しては社外持ち出し原則不可とするのが良いでしょう。
※機密文書の詳細については「機密文書」の記事をご覧ください。

また、パソコンやUSBデバイス、紙媒体の持ち出しは漏えいのリスクが高まるので、社外での持ち出しが必要な場合は、承認ルールを設けるなどして管理を徹底する必要があります。

機密情報を放置したまま離席しない

・機密情報を放置しない

当たり前のことではありますが、社内情報を誰でも閲覧できる状態で放置しないことが大事です。

たとえば、書類の放置やPCやタブレットをロックせずに離席するなど、しばしば目につく光景ではありますが、実際にそこから情報漏洩に繋がったケースもあります。

冒頭にお伝えした通り社員個々の意識向上が必要です。継続的な研修と声掛けが大切です。

機密情報はしっかりと破棄したうえで処分する

・機密情報を安易に破棄しない

情報機器や機密書類をいい加減に破棄することにもリスクがあります。

記載されている情報が完全に消去されてないまま廃棄してしまうと、そこから情報漏洩に繋がる可能性が出てきます。

そのため、機密情報のある機器や書類については適切な手順を踏んだ上での廃棄処分を行ることが必要です。

たとえば、パソコンのハードディスクであれば、内部データの消去または物理的な破壊を行ったうえでの廃棄が必要です。

紙媒体のものに関しては読み取りが不可能なレベルにまで細かく裁断して処分する必要があります。

また、シュレッダーするべき機密書類を、ついつい放置したために漏洩してしまう事件も想定されます。

自社でのシュレッダー処理が負担になる場合は業者に依頼することも検討してみましょう。

ただし、業者のセキュリティレベルも様々なので検討の際は「業者選定のポイント」をご参照下さい。