個人情報漏洩の防止対策|情報流出原因や被害事例、企業・従業員別の対策を解説!
「個人情報漏洩や機密情報流出の報道を耳にすることが多くなった。自社は大丈夫なのか?情報流出を防ぐ有効な対策はなにか?」不安を抱えている企業担当者は多いはずです。
そんな方に向け、情報流出の原因から被害事例、企業が実践すべきこと、従業員が心がけたいことまで、個人情報漏洩防止対策の基本を解説していきます。
個人情報とは?情報流出でなにが起こる?
個人情報とは、生存する特定の個人を識別できる情報のこと。単体では個人を特定できない情報であっても、複数の情報を組み合わせることで個人を特定できるなら、それは「個人情報」に該当する可能性があります。
たとえば、氏名、生年月日、住所、電話番号、メールアドレスなどのほか、顔写真、指紋、DNAなども個人情報です。また、パスポート、免許証、社会保険、マイナンバー、クレジットカードなどの番号・記号・符号も個人情報に該当します。
こうした個人情報を取り扱うすべての組織は、2005年に施行された「個人情報保護法」を遵守し、情報流出しないよう厳重に管理・保護しなければなりません。しかし2020年以降、個人情報漏洩事故は、むしろ増加傾向にあります。
画像出典:株式会社東京商工リサーチ
上図は、東京商工リサーチが2012年から継続している独自調査「個人情報漏洩・紛失事故件数」の推移をグラフ化したものです。2022年は調査開始以来最多となる165件を記録。おおよそ、2日に1回の割合で個人情報漏洩・紛失事故が発生している計算となり、今後も事故件数が右肩上がりに増加すると考えられるでしょう。
個人情報保護委員会への報告義務
個人情報を扱っていないから大丈夫。そう考えている方であっても、従業員情報や取引先情報は保有しているはず。こうした情報も個人情報に該当します。
個人情報保護法では、個人情報漏洩が発生した場合、すみやかに個人情報保護委員会へ報告し、本人に情報流出した旨を通知しなければなりません。たとえ「流出した情報が1件」のみでもです。つまり、すべての企業・事業所が、増加する個人情報漏洩・情報流出の防止対策を講じなければなりません。
参考:政府広報オンライン
社会的信用失墜 / 損害賠償を含む損失
また、個人情報漏洩は被害が拡大しやすいことも特徴。なぜなら、個人情報漏洩・流出は企業・事業所としての社会的信用失墜につながるからです。
社会的信用失墜は、受注減という形でビジネスに大きな打撃を与えます。場合によっては、情報漏洩した当事者への賠償責任や、個人情報保護法違反の罰金刑(法人の場合は1億円以下)が生じることもあるでしょう。ビジネス継続に深刻な影響を与えないためにも、個人情報漏洩・情報流出対策は必須です。
個人情報漏洩・機密情報流出の原因
個人情報漏洩を防止する有効な対策を講じるには、情報流出の原因を把握することが重要。東京商工リサーチでは、個人情報漏洩・情報流出にいたった原因についても調査結果を公表しています。
画像出典:株式会社東京商工リサーチ
ウイルス感染・不正アクセス
個人情報漏洩・情報流出事故原因の半数以上(55.1%)を占めているのが「ウイルス感染・不正アクセス(サイバー攻撃)」です。サイバー攻撃とは、ネットワーク経由でPCやサーバに悪意ある攻撃を加えること。メールや悪意あるWebサイトにマルウェアを仕込む、ネットワーク / アプリケーションの脆弱性を突くなど、手口や侵入経路はさまざまです。
また、年々手口が悪質化・巧妙化しているのもサイバー攻撃の特徴。たとえば、サーバデータを暗号化によってロックし、ロック解除の身代金を要求するランサムウェア。従来はメール添付が主流の「無差別型」攻撃だったランサムウェアは、近年、ネットワークの脆弱性をついて不正アクセスし、データを抜き取ってしまう形に進化しています。
関連記事:サイバー攻撃とは?攻撃者の目的・近年の動向・攻撃の種類・手口・対策を解説!
誤表示・誤送信
「誤表示・誤送信」といった人為的ミスも、個人情報漏洩・情報流出事故原因の1/4(26.0%)を占めています。具体的には、従業員によるメール / FAX誤送信、IT担当者の設定ミスで個人情報が公開されてしまうなどです。FAX誤送信が個人情報漏洩の原因となることからも分かるように、紙文書の扱いにも気を配っておかなければなりません。
紛失・誤廃棄
個人情報漏洩・情報流出事故原因で3番目に多い(15.1%)のが、USBメモリー、PCなど個人情報を保存した機器の「紛失・誤廃棄」です。テレワークを含む多様な働き方が普及したことも、事故につながる原因となっているかもしれません。
外出中の置き忘れが事故につながるパターンのほか、デバイスを破棄する際に「データを完全に消去しなかった」ことで情報流出してしまうケースもあります。外出中の盗難もあわせ、「人為的ミス」による個人情報漏洩・情報流出事故は少なくないことがわかります。
個人情報漏洩インシデント事例・情報流出の原因
それでは、個人情報流出対策の重要性、主な原因を理解できたところで、実際に発生した個人情報漏洩事例を、情報流出の原因とともにいくつか紹介していきましょう。
森永製菓株式会社:不正アクセス
2022年3月22日、森永製菓株式会社は自社管理する複数サーバが不正アクセスされ、顧客の個人情報が流出した可能性のあることを発表しました。3月13日深夜、複数サーバに障害が発生し、一部データがロックされていることを確認したため、直ちに外部ネットワークから遮断。警察署へ届け出るとともに、専門機関の協力を得ながら調査していたものです。
ロックされたデータには同社オンラインストアを利用した、約165万人分の顧客個人情報が含まれていました。原因は調査中ですが、データがロックされていたためランサムウェアによる被害だと思われます。ただし、現在までに個人情報の不正利用は確認されておらず、クレジットカード情報も含まれていないということです。
参考:森永製菓株式会社
JFRカード株式会社:誤操作
2022年11月28日、JFRカード株式会社は、グループ会社である大丸松坂屋カードの顧客個人情報の取り扱い不備が発生したことを発表しました。JFRグループは、顧客体験向上のため共用データベースを構築していますが、本来共用されるべきではない大丸松坂屋カードの個人情報を共用してしまったもの。原因は担当者の誤操作によるデータ送信でした。
取り扱い不備対象となったのは、大丸松坂屋カード会員の個人情報約191万人分。誤送信されたデータには利用枠、決済口座、支払い状況などが含まれていましたが、クレジットカード番号・暗証番号は含まれておらず、不正利用された事実もないということです。誤って供用されたデータは11月4日にすべて削除。再発防止に努めていくということです。
参考:JFRカード株式会社
新潟大学:USBメモリー紛失
2023年3月9日、国立大学法人新潟大学は教員1名が個人情報の保存されたUSBメモリを紛失したことを発表しました。同大学では2020年にセキュリティガイドラインで「情報持ち出しの許可制度」「外部媒体保存時の暗号化」を策定。しかし、2022年4月17日に紛失したUSBメモリは持ち出し許可を得ておらず、暗号化もされていない状態でした。
紛失したUSBメモリに記録されていたのは、学生の個人情報1,128名分、および取引先業者の個人情報50名分です。現時点では個人情報の不正利用は確認できていませんが、情報流出が疑われる対象者には、経緯の説明と謝罪を明記した文書を送付。取り扱いルール徹底、講習会実施、注意喚起などの対策を実施し、再発防止に努めていくということです。
参考:新潟大学
実践したい企業の個人情報漏洩対策
それでは、100万人を超える個人情報が流出してしまうこともある情報漏洩インシデントを防ぐにはどうすればいいのでしょうか。まずは、企業として実践しておきたい、主な個人情報漏洩対策を紹介していきます。
セキュリティポリシー策定
個人情報漏洩を防止するセキュリティ対策を講じるには、指針となる原則を決めておかなければなりません。それが「セキュリティポリシー」であり、まず最初に決めるべきこと。なにをどうすればいいのかわからない、という方も少なくないかもしれませんが、策定することは「基本方針」「運営方針」「対策規定」「対策基準」の4つです。
|
基本方針 |
情報セキュリティに関する基本的な考え方 |
|
運営方針 |
情報セキュリティ対策の実務方針、利用者教育・研修の実施方法 |
|
対策規定 |
具体的な情報セキュリティ対策。 ソリューション導入時の指針 |
|
対策手順 |
ソフトウェア / ハードウェアの管理規定、 アウトソーシング先の管理規定など |
ソフトウェア / ハードウェアのことまでよくわからないという場合は、専門家を頼るのも方法。しかし、任せきりにするのではなく、必ず自社が主体となってセキュリティポリシーを策定することが重要。IPAが公開している中小企業向けセキュリティ対策ガイド欄を参考にするのもおすすめです。
サーバの基本的な個人情報漏洩対策
セキュリティポリシー策定と並行しながら、すぐに着手できる基本的な個人情報漏洩対策も紹介しておきましょう。まずは、従業員を含む利用者にサービスを提供する、サーバの個人情報漏洩対策・セキュリティ対策です。
- セキュリティパッチの適用
- 管理者権限の設定見直し
- 不要アカウントの削除
- 不要アプリケーション / サービスの停止 / 削除
- ID / パスワード管理の厳格化
- サーバのログ管理 / 分析
どの対策も特別なツールを必要とするものではありません。サーバ管理者であれば、今日からでも始められることばかりです。だからこそ、疎かにすることなく継続的に実施しなければなりません。
特に、サイバー攻撃が原因で発生する情報漏洩には、セキュリティパッチ適用、ID / パスワード管理、ログ管理 / 分析などの対策が有効です。
関連記事:サーバーセキュリティ対策の重要性|想定される脅威・対策・有効なソリューションを紹介!
PC端末の基本的な個人情報漏洩対策
個人情報漏洩の原因としてもっとも多いのがウイルス感染・不正アクセスであることは解説しました。PC端末は、そのウイルス感染・不正アクセスのバックドア(裏口)・踏み台として利用されやすいことに注意が必要。サーバが管理するデータベースに被害がおよばないよう、PC端末にも基本的な個人情報漏洩対策をしておかなければなりません。
- OS / アプリケーションをアップデートして常に最新の状態を保つ
- OS標準のファイアウォールをON
- 推測されにくいパスワード設定
- セキュリティソフト導入
どれも当たり前といえる対策ではありますが、意外と徹底されていないパターンが少なくありません。最低限、やっておかなければならないことを組織全体で新式しておくことが重要です。
|
▼関連記事 パソコンのセキュリティについては、「パソコンのセキュリティ|重要性・対策・設定・おすすめセキュリティソフトを紹介!」をあわせてご覧ください。 |
エンドポイントセキュリティ導入(EPP / EDR)
基本的な個人情報漏洩対策を紹介してきましたが、これだけでは充分とはいえません。近年注目されているソリューション「エンドポイントセキュリティ(EPP / EDR)」で、よりセキュリティを強化することがおすすめです。
PC端末にセキュリティソフトを導入するのが望ましいように、サーバをネットワークレベルで保護するファイアウォール / IPS / IDS / WAFも導入したほうが望ましいです。これらの「サイバー攻撃の侵入を防ぐ」ソリューションを総称して「EPP(Endpoint Protection Platform)」と呼びます。従来のアンチウイルスソフトなどがEPPの代表例です。
しかし、EPPはマルウェアの侵入を未然に防ぐのには有効ですが、マルウェア感染後の対処まではカバーできません。そこで注目を集めているソリューションが「EDR(Ebdpoint Detection and Respose)」です。
EDRとは、マルウェア感染を前提に、感染拡大や二次被害を防ぐソリューションのこと。具体的には、各端末にエージェントを導入して常時監視。感染の兆候を検知した該当端末をネットワークから遮断すると同時に、侵入経路の特定や対策を提案します。
EPP / EDRは、どちらもネットワーク接続される(サーバを含む)端末(エンドポイント)を守るという意味では同じソリューション。そのため、近年ではEPP / EDRを統合した「エンドポイントセキュリティ」製品が登場しています。
Symantec Endpoint Security Complete
画像出典:Symantec
Symantec Endpoint Security Completeは、アンチウイルス機能で定評のあるEPP製品「SEP」に、EDR機能を追加した上位版です。強力な検知機能でPC / サーバ / モバイルを保護するほか、EDR / アプリケーション保護機能などでウイルス感染時の対策も万全。オンプレミス / クラウド / ハイブリッドでの運用が可能です。
従業員へのセキュリティ研修
ここまでは、サイバー攻撃に代表される外部脅威への対策を紹介してきましたが、個人情報漏洩・流出事故の多くは「人為的ミス」であることを忘れてはなりません。設定ミスなどの誤操作、うっかりミスによる紛失 / 盗難が情報流出につながらないよう、従業員研修 / 教育でセキュリティリテラシーを高めていく必要があります。
特に気を付けておきたいのがメールの取り扱いです。誤送信による情報漏洩だけでなく、不審メールの取り扱いでマルウェアに感染してしまわないよう、利用方法・ルールを周知徹底しておくことが重要。メール誤送信防止ツールなどを導入し、人為的ミスを極力排除するという方法もあるでしょう。
NTTテクノクロス CipherCraft / Mailシリーズ
画像出典:NTTテクノクロス
NTTテクノクロスの「CipherCraft / Mailシリーズ」は、メールを原因にしたトラブルを防止するためのソリューションです。メール誤送信防止に役立つ、CipherCraft / Mail7 メール誤送信対策。および、標的型メールによる被害防止に役立つ、CipherCraft / Mail 標的型メール対策をラインナップ。どちらも無料トライアルで事前チェックが可能です。
心がけたい従業員の個人情報漏洩対策
ウイルス感染・不正アクセスが過半数を占めるものの、個人情報漏洩の40%以上は人為的ミスによるものです。従業員それぞれが、自身にできる個人情報漏洩対策実行を心がけていれば、多くの流出リスクを低減できるはず。以下からポイントを紹介していきましょう。
セキュリティポリシーの理解・徹底
研修・教育で伝えられた自社のセキュリティポリシーを理解し、自身がやるべきことを徹底して実践していきましょう。具体的には、ポリシーにしたがった設定でPC端末を利用する、許可されていないアプリ / サービスを使わない、情報流出リスクを念頭に業務にあたるなどが考えられます。
外部デバイスを持ち込まない
外部デバイスを持ち込まない、社内ネットワークやPC端末に接続しないようにしましょう。USBメモリやHDDなどの記録媒体は特に注意が必要。不審な電源アダプターからマルウェアに感染してしまったという事例もあります。
個人情報の取扱いに細心の注意を払う
FAX送信が個人情報漏洩につながる場合があるように、情報流出の原因は多種多様です。これくらいはいいだろうという意識は捨て、個人情報の取り扱いに細心の注意を払うべきです。
たとえば、個人情報の記載されている紙文書はシュレッダーに掛けてから廃棄する。取引先や関係者にPC画面を盗み見られないようにする。PC端末を廃棄する際はデータ復元できないようにする。うかつに個人情報を口にしないなどが挙げられるでしょう。
情報流出インシデント発生時の対処
残念ながら、どんなに個人情報漏洩対策を講じても、情報流出インシデントリスクを完全にはなくせません。つまり、セキュリティポリシー策定だけではなく、インシデントが発生した場合の対処法 / 手順も想定しておく必要があります。具体的には以下の通り。
|
二次被害・被額拡大の防止 |
被害状況を確認して対応する。EDR活用が有効 |
|
原因調査・状況の整理 |
原因を調査して対応策を決定 / 実施。 被害状況や内部 / 外部への影響を整理。EDR活用が有効 |
|
連絡 / 公表 |
関係 / 協力を仰ぐ機関へ連絡。 外部被害や個人情報流出があれば報告 / 公表 |
|
システム復旧 |
システム復旧と再発予防策の検討 / 実施 |
近年では、被害の発覚時から、社内外の調整、広報まで含めて総合的に対応する専門チーム「CSIRT(シーサート)」を設置する企業も増えています。セキュリティインシデント対策チーム「SOC」とあわせ、社内にセキュリティ体制を整えておくことがおすすめです。
|
▼関連記事 情報流出インシデントに備えた体制づくりについては、「セキュリティインシデントとは?定義・種類から脅威への対策・体制づくりまでを解説!」をあわせてご覧ください。 |
個人情報漏洩・機密情報流出対策を紹介しました
「個人情報漏洩や機密情報流出の報道を耳にすることが多くなった。自社は大丈夫なのか?情報流出を防ぐ有効な対策はなにか?」そんな不安を抱える方に向け、情報流出の原因から被害事例、企業が実践すべきこと、従業員が心がけたいことまで、個人情報漏洩防止対策の基本を解説してきました。
情報漏洩防止を含むセキュリティ対策の難しさは、IT技術の進化に応じてサイバー攻撃の手口も進化・巧妙化すること。対策を講じただけで安心してしまうのではなく、継続的に対策を実施していく、最新情報をウォッチして対策も進化させることが肝心です。
