情報セキュリティ

2024年04月29日

機密文書の情報漏洩事故

Contents

1 情報漏洩とは個人情報などの機密情報が外部に漏れること
2 情報漏洩の主な原因は3つ
3 機密文書から情報漏洩につながった2つの事例
- 3.1 ▼電車内で機密文書が盗難被害、その後回収 – 名古屋市美術館
- 3.2 ▼イオンのDX戦略資料が流出 – コンサル会社が他社との会議資料に提供
4 情報漏洩に対する基本的な考え方
5 企業における情報漏洩対策
6 社員の行動における情報漏洩対策
7 ヒューマンエラーを防ぐために専門業者を活用する

情報漏洩とは個人情報などの機密情報が外部に漏れること

情報漏洩とは、組織の機密情報や社員の個人情報等、企業内に保管しておかなければならない機密情報が何らかの原因で外部に漏れることです。
情報漏洩が発生する主な原因としては、外部からの悪質なサイバー攻撃や、紛失や誤送信など挙げられます。
主に情報漏洩しやすい3つの項目は以下の通りです。

個人情報：個人を特定できる情報。氏名や住所、性別、電話番号、メールアドレスなど生存する個人を特定できる情報のことを指します。
顧客情報：法人名やコミュニケーション履歴など、属性データと行動データの2種類に分類されます。
機密情報：新製品の開発情報や営業秘密事業運営において、他社に秘匿すべき情報を指します。

仮にも情報漏洩が起きると、企業の信頼が失墜し、場合によっては企業の存続リスクにまで繋がる可能性があります。
したがって、昨今では情報漏洩対策の重要性に関する認識が高まり、多くの企業・組織で具体的な情報漏洩対策の取り組みが行われるようになっています。
しかし、公表されているだけでも情報漏洩に関する事故は未だ頻繁に報じられており、対策の重要性について意識は高まっているものの、事故の発生件数そのものは減少していないのが実情です。

▼関連記事
https://kimitsu110.jp/archives/158

情報漏洩の主な原因は3つ

情報漏洩の主な原因としては次の3つです。
①ウイルス感染・不正アクセス
②誤表示・誤送信
③紛失・誤廃棄

それぞれの割合について株式会社東京商工リサーチの以下データを参照してみましょう。
2022年のデータによると個人情報漏えい・紛失事故 2年連続最多を更新件数は165件、流出・紛失情報は592万人分です。

情報漏洩・紛失事故165件の原因は、「ウイルス感染・不正アクセス」の構成比55.1%が最多で、半数以上を占めました。
次いで、「誤表示・誤送信」が26.0%で、「紛失・誤廃棄」が15.1%です。
人為的なミスによるものも多くを占めているほか、組織内の情報を従業員が不正に持ち出す「盗難」なども見られます。

機密文書から情報漏洩につながった2つの事例

先程の調査データをご覧いただいた通り、昨今は「ウイルス感染・不正アクセス」などサイバー攻撃による情報漏洩が割合が増えているなか、毎年一定数いる「紛失・誤廃棄」も気を付けなくてはなりません。
「ウイルス感染・不正アクセス」等についてはセキュリティシステムの強化で防ぐことができます。
しかし、「紛失・誤廃棄」については社員の意識の問題や情報漏洩に対するリテラシーによっても発生する可能性が異なるため注意が必要です。
では、昨今発生した情報漏洩の事例を一部ご紹介します。

▼電車内で機密文書が盗難被害、その後回収 – 名古屋市美術館

名古屋市美術館の職員が、機密情報が含まれる文書を電車内で置き引き被害に遭い、一時紛失したことがわかった。
すでに文書は回収されている。
問題の文書は、職員が帰省先で作業をするため、許可のもと持ち出した特別展予算書案や図録原稿で機密情報が含まれる。
個人情報の記載はなかった。
同市によれば、同職員は帰省のため新幹線で東京駅まで移動。
2023年5月26日23時ごろ、乗り換えたJR山手線の車内で被害に遭い、巣鴨駅付近で鞄が見当たらないことに気がついた。
文書を入れた鞄を網棚に置いて座席に座っていたところ、居眠りなどはしていなかったが、目を離した間に盗まれた。
別の乗客によって鞄を持ち去る人物が目撃されているという。
問題の鞄については、同月28日にJR東日本より発見されたとの連絡があり、職員が確認したところ、私物の一部は見当たらなかったが、文書はすべて揃っており回収した。
今回の問題を受け、同市では関係者に対して状況を説明、謝罪した。
今後は文書を外部へ持ち出す際、鍵付きの鞄に入れ、肌身離さず持ち歩くことを徹底するとしている。

▼イオンのDX戦略資料が流出 – コンサル会社が他社との会議資料に提供

イオンの事業戦略に関する機密情報が、契約するコンサルティング会社よりライバル他社に流出していたことがわかった。
イオンによれば、コンサルティング契約を結んでいたデロイトトーマツコンサルティングより、機密保持契約に反して、同業他社のセブン＆アイ・ホールディングスに機密情報が会議資料として提供されていたことが判明したもの。
提供されたのはコンサルティング契約のもと作成された内部資料の一部で、同社の社名やロゴなども含まれていた。
さらに一部は週刊ダイヤモンド2022年2月12日号の特集「セブンDX敗戦」に掲載された。
デロイトトーマツコンサルティング（DTC）は、社内調査の結果として同社より情報が漏洩し、週刊誌に掲載されたことを認めて謝罪。
守秘義務に対する基本的な認識が欠如しており、社内ルールを逸脱した行為があり、秘密保持条項に違反していたと理由を述べた。
また今回明らかとなった問題以外にイオンの情報を漏洩したケースがないことを確認したとしている。
本誌の取材に対してDTCは、漏洩した時期や経緯について「詳細は差し控える」としてコメントを避けた。
「真摯に反省し、全社一丸となって再発防止策に取り組み、コンプライアンスの強化を図る」と説明。
処分についても詳細は避けたが、社内で検討し、厳正に対処するとしている。

情報漏洩に対する基本的な考え方

まずは情報漏洩リスクを最小限に抑えるため企業における情報漏洩対策と社員の行動における情報漏洩対策のガイドラインを策定することが重要です。
また仮にも情報漏洩してしまった場合には情報漏えいによって引き起こされる被害を最小限に抑えるため、自社におけるリスクの整理や対応についても事前に把握しておきましょう。

企業における情報漏洩対策

まずは企業における情報漏洩対策を以下に沿って策定していきましょう。
・社内ガイドラインの策定
まずは社内における情報セキュリティのガイドラインを策定します。
ガイドラインを策定することで社内で情報の取り扱い方法や方針を共有しやすくなるため必要です。

・社内教育による社員のセキュリティリテラシーの向上
情報漏洩を防ぐには、社内教育によって社員のセキュリティ意識と知識を向上させることが重要です。
社員一人一人の行動が社内情報を守ることにつながります。
社内ガイドラインを共有する機会を設ける
社内のリスクマネジメント研修を実施する
など、社内教育によって情報セキュリティのリテラシーを高めましょう。

・社員と守秘義務契約の締結
社員と守秘義務契約を締結することで、社内情報の公言を防ぎましょう。
人によっては危機意識の薄さから、社内情報をSNSで発信してしまう可能性もある可能性があるため、正式に守秘義務契約を締結しましょう。

・業務フローを考慮した情報漏洩防止システムの設計・運用
情報漏洩を防ぐには、社員の意識や行動だけでなく、システムから設計することが有効です。
ヒューマンエラーによる情報漏洩のリスクをゼロにすることは難しいので、リスクを前提としたシステム設計・運用をしていきましょう。

・セキュリティソフトの導入・更新
有効な情報漏洩対策として、セキュリティソフトの導入・更新があります。
セキュリティソフトを導入すれば効率よくウイルスやサイバー攻撃を検知・駆除・ブロックしてくれるので、早期対応につながります。

社員の行動における情報漏洩対策

次に社員の行動における情報漏洩対策の策定していきましょう。

・情報の不要な持ち出し・持ち込みをしない
社員が情報の不要な持ち込みや持ち出しをしないようにしましょう。
具体的には、以下のような行動を禁止事項としましょう。
私用のスマホやパソコンを社内ネットワークに接続しない
社用のパソコンを安易に外に持ち出さない
社用のパソコンを外に持ち出す場合は、データ暗号化や端末ロックなどの対策をする
機密情報が記載された書類を外に持ち出さない
仕事用と私用でメールアドレスを使い分ける

特に機密性の高い情報が保存されたパソコンやUSB、書類の持ち出しは漏洩のリスクが高いため残業をする場合でも持ち帰らず、社内でのみ行うようにしましょう。

・許可を得ずに権限の譲渡・情報の口外をしない
情報漏洩対策として、許可を得ずに閲覧や編集の権限譲渡や情報の口外をしないことも重要です。
不用意な相手に情報そのものやアクセス権限が渡ると、思わぬ情報漏洩につながる恐れがあります。
無意識のうちにリスクの高い行為をしているケースは意外と多いです。自社の社員の行動に問題がないかチェックしてみましょう。

・信頼性の低いメールやサイトにアクセスしない
情報漏洩を防ぐには、社員が信頼性の低いメールやサイトにアクセスしないよう徹底することが大切です。アクセスを避けることでウイルス感染のリスクを減らせます。
↓信頼性の低いメールやサイトの特徴
メールの送信元がフリーメールアドレスになっている
メールのタイトルや本文に文字化け・不自然な日本語が見られる
サイトのURLに鍵マークが表示されていない
サイトのURLにインフォメーションマークや警告マークが表示されている
サイトのURLが「http」で始まる

・情報の安易な放置・廃棄をしない
社内情報がわかるものを安易に放置・廃棄しないことも大切です。
社員が放置・廃棄したものを第三者に見られ、情報漏洩につながるおそれがあります。
以下のような点に注意して対策しましょう。
社用のスマホやパソコンが開いた状態（ロックがかかっていない状態）で離席しない
紙の書類を置きっぱなしにしない
紙の書類を保管するときは保管場所に鍵をかける
紙の書類を廃棄する場合は、シュレッダーにかける
社用のスマホやパソコンを廃棄する場合は、データを完全に削除する
また、廃棄物に関しては情報漏洩リスクだけでなく対応すること工数もかかるため、必要に応じて専門業者を利用することもお勧めします。

・情報漏洩のリスクがある場合はすみやかに報告する
情報漏洩のリスクがある場合は、すみやかに報告することで被害を最小限に抑えられます。
問題が発覚してからすぐに対処できるよう、些細なことでも社員が報告しやすい環境にすることも大切です。
情報漏洩が起きてからでは対処が非常に大変です。
リスクがあるときにはすみやかに報告するよう社員の意識を高めることが、トラブル防止につながります。
情報漏洩のリスクがある時の具体例を社員間で共有し、小さなことでも報告できる環境を作りましょう。

▼情報漏洩のリスクがあるときの具体例
社内ネットワークに私用のスマホやパソコンからアクセスしてしまったとき
社内情報が掲載された書類を紛失してしまったとき
不審なメールのURLをクリックしてしまったとき
メールの送信先を間違えたとき
共有するデータを間違えたとき
鍵マークがないサイトで重要性の高い情報を入力・送信してしまったとき
無料Wi-Fiに接続後にデバイスの挙動がおかしいとき

ヒューマンエラーを防ぐために専門業者を活用する

情報漏洩リスクはセキュリティシステムの導入で一定の対策はできますが、機密情報を扱うのが人である以上ヒューマンエラーは少なからずリスクとして残ります。
調査データによると紛失などによる情報漏洩は割合も高いので、紙媒体の機密情報は処理工数やリスクを考慮した上で情報抹消の専門業者へお願いすることも選択肢のひとつです。
専門業者選定に関しては以下記事をご参照下さい。

▼これだけは確認したい！業者選びのポイント
https://kimitsu110.jp/archives/special/select-point

カテゴリー：情報セキュリティ