情報漏洩とは？経路やリスク、事例を詳しく解説

情報漏洩というリスクは、今やどの企業にも避けて通れない現実です。機密情報、個人情報、顧客情報など、大切な情報を保護することは必須です。しかし、不正アクセスや人的ミスにより情報が外部に漏れてしまう可能性もあります。

この記事では、情報漏洩が起きる経路や対策方法、情報漏洩した事例について詳しく解説します。

情報漏洩とは

情報漏洩とは、企業が保有している重要なデータ（機密情報や個人情報など）が外部に漏れてしまうことを意味します。近年、PCやタブレットなどのデジタル機器とネットワークがビジネスで広く利用されるようになったため、顧客データの保存や管理が容易になりました。しかし、管理すべき情報の量や情報を扱う人数が増えたため、情報漏洩のリスクも増大しています。

2022年の情報漏洩・紛失事故に関する株式会社東京商工リサーチの調査によれば、165件の事故が報告されていました。これらの事故のうち、最も多かった原因は「ウイルス感染・不正アクセス」で91件（全体の55.1％）を占めていました。次に多かったのは「誤表示・誤送信」で43件（全体の26.0％）でした。これらはメールの送信ミスやシステムの設定ミスなどの人為的なミスが主な原因でした。情報漏洩を防ぐためには、ウイルス対策やセキュリティ対策の重要性が高まっていることがわかります。

情報漏洩する可能性がある情報

企業内には様々な情報やデータがありますが、特に以下の3つの情報は非常に重要であり、保護される必要があります。それぞれ、機密情報、個人情報、顧客情報と呼ばれます。

機密情報

機密情報は、企業にとって極めて重要で秘密にしておかなければならない情報です。漏洩すると企業に大きな損害をもたらす可能性があります。具体的には、人事情報や財務状況、新製品の開発情報、製造工程図などがこれに該当します。

個人情報

個人情報は、個人を特定できる情報のことを指します。社員の氏名や住所、性別、健康診断の結果などが含まれます。また、顔データや指の静脈、声紋なども個人情報に該当します。

顧客情報

顧客情報は、顧客に関する情報であり、企業が厳重に管理すべき情報です。顧客リストや仕入れ価格、商談履歴、問い合わせ履歴などがこれに該当します。顧客情報が漏洩すると、顧客側に多大な影響が及ぶ可能性があります。信頼を失い、取引停止につながるリスクもあるため、顧客情報は企業内でしっかりと保護されるべきです。

情報漏洩が起きる主な経路

情報漏洩が起きる主な経路は以下となります。

外部からの不正アクセス

情報漏洩が起きる主な理由の一つは、外部からの不正アクセスです。不正アクセスとは、情報にアクセス権を持たない外部の第三者が不正手段を使ってサーバーやPCに侵入し、データを盗むことを指します。不正アクセスの手法は多様で、不正に入手したIDやパスワードを使ってアクセス権を偽装したり、コンピュータウイルスを利用したりすることで情報を入手することがあります。

例えば、IPA（独立行政法人 情報処理推進機構）によると、2022年に寄せられた不正アクセスの報告の中で最も多かった被害原因は、前年と同じく「古いバージョンの利用や修正プログラム・必要なプラグイン等の未導入によるもの」で、全体の40％を占めました。つまり、使用している機器やソフトウェアに関する脆弱性情報の収集やパッチの適用といった基本的な対策が怠られていると、不正アクセスのリスクが高まることが分かります。

情報漏洩を防ぐためには、セキュリティ対策を徹底し、定期的にソフトウェアのアップデートやパッチ適用を行うことが重要です。また、不審なメールやリンクを開かない、強固なパスワードを設定するなどの基本的なセキュリティ意識を持つことも大切です。これらの対策を実践することで、情報漏洩のリスクを低減することができます。

人的ミス

情報漏洩のもう一つの原因は、人的ミスによるものです。

確認不足や不注意などの管理ミス

確認不足や不注意などの管理ミスが原因となり、情報漏洩が多発しています。例えば、機密データを含む社外持ち出しのPCを紛失してしまったり、メールを誤って送信してしまったり、重要情報をシュレッダーにかけずに破棄してしまったりすることがあります。

さらに、システム障害などのトラブルによって、本来非公開とされているはずのデータが意図せずに公開されてしまうこともあります。

紛失・置き忘れ

大切な情報が含まれるPCやUSBを電車に置き忘れたり、書類をシェアオフィスやカフェに置き忘れることは、情報漏洩の原因となります。

物理的な紛失や置き忘れのリスクがあるものには、重要な情報を保存しないか、保存する場合は暗号化するなどの対策が必要です。データが盗まれた場合でも読み取られないようにすることが大切です。また、必要な時以外は情報を持ち出さないように従業員に周知することも重要です。

誤送信・誤操作

メール送信時の宛先ミス、BCCミス、システム入力の誤動作、誤った入力、ファイル格納先の公開範囲を間違えるなどが、情報漏洩の主な人為的なミスの例です。これらのミスが起きると、情報が誤った相手に行き渡り、情報漏洩のリスクが高まってしまいます。

企業内部の人々による不正行為

従業員、元従業員、業務委託など、企業内部の人々による不正行為によって、情報漏洩事故が起きる可能性が高まります。

例えば、内部関係者が企業に対して恨みを持ったり、金銭的利益を得るために意図的に情報を漏らす場合があります。また、セキュリティリスクに対する認識の欠如や誤った操作によって、無意識に情報漏洩事故を引き起こすことも考えられます。

社内の業務に携わる人物だからといって、安易に個人情報が登録されたシステムへのアクセス権を付与することは避けるべきです。代わりに、従業員一人ひとりに対して情報セキュリティ教育やトレーニングを徹底することが重要です。

ファイル共有ソフトの利用

WinnyやShareなどのファイル共有ソフトは、日本国内でよく使われています。しかし、これらのソフトを利用して会社の機密情報や個人情報を含むパソコンをテレワークで持ち帰ると、ウイルスに感染する危険性があります。ウイルスに感染することで、パソコン内の重要なデータや電子メールの内容が外部に漏れる可能性もあります。情報漏洩のリスクを避けるためには、ファイル共有ソフトの利用には注意が必要です。

風評被害やブログ掲載

風評被害やブログ掲載による情報漏洩は、SNSの拡散によって炎上するイメージが広がります。

社内の社員が自分のブログやSNSなどに、企業の機密情報などを掲載してしまうケースがあります。このような情報漏洩は、同じ企業に勤める社員や外部の人々によって発見されることが多いです。大抵の場合、社員は悪意を持って書き込んでいるわけではなく、注意を促して削除させる対応が取られます。掲示板に投稿してしまった場合は、掲示板の管理者に削除を依頼することも必要です。情報の拡散を防ぐためには、注意が必要です。

これらの事例から分かるように、情報漏洩は悪意だけでなく、単純なミスや不注意からも起こり得ることがわかります。情報漏洩を防ぐためには、正しい情報管理とセキュリティ対策が必要となります。大切な情報を取り扱う際には慎重さと意識の高さが求められます。また、システムの運用においてもセキュリティを重視し、意図しない情報公開のリスクを低減する対策が重要です。

情報漏洩による企業が被るリスク

情報漏洩により企業が被る主なリスクは以下となります。

なりすましや不正利用、Web改ざん

なりすましは、ある人が他の人のふりをしてシステムを利用したり、第三者とコミュニケーションを取ったりすることです。この被害は、IDやパスワードなどが漏洩したことから起こります。

なりすまされること自体が問題ではなく、なりすまし犯がシステムやSNSにログインし、更なる個人情報を盗んで不正利用したり、Webサイトを改ざんしたり、データを破壊したりするという二次的な被害が起こる可能性があります。

例えば、経営者になりすました人物から金銭の振り込みを要求されるなどの詐欺被害も考えられます。

損害賠償や刑事罰

被害者からは民事訴訟による損害賠償請求がありますし、刑事罰による罰金刑も考えられます。損害賠償の額は具体的な事例により異なりますが、例えば個人情報が1万人分漏洩した場合、1人あたり数万円の賠償額が課せられると、数億円単位の損失が発生する可能性もあります。

さらに、法律に基づく罰則の対象になることもあります。例えば、個人情報保護法に基づく国からの改善命令に従わなかった場合、企業にも罰金が科される恐れがあります。

社会的な信用や顧客からの信用を失う

情報を適切に管理できない企業と見られると、取引先からの信用が低下してしまい、契約をキャンセルされたり、新規顧客を獲得することが難しくなる可能性があります。また、大々的に報道されて広く知れ渡れば、一般の消費者からも信用を失う恐れがあります。

特にSNSの普及した現代では、情報が瞬時に拡散し、風評被害が深刻になりやすい状況です。情報漏洩を収拾できない場合、業績の悪化で事業が継続できなくなったり、サービス停止などの最悪のケースに追い込まれる可能性もあります。

情報漏洩は企業の信用と存続に大きな影響を及ぼすため、情報セキュリティ対策は重要です。情報管理の強化と対策の徹底を行うことで、信頼性の向上と事業の安定につなげることができます。

情報漏洩の事例

内閣サイバーセキュリティセンター　メール8カ月漏洩

nikkei.comによると、内閣サイバーセキュリティセンター（NISC）は2023年8月4日、電子メール関連のシステムに不正通信があり、個人情報を含むメールデータの一部が外部に漏洩した可能性があると発表しました。漏洩は政府の組織で起きたものであり、セキュリティー確保やサイバーセキュリティー戦略に影響を及ぼす可能性があります。

問題の発覚は2023年6月13日に不正通信を示す痕跡を発見したことで始まりました。NISCは調査を行い、個人情報を含むメールデータが8カ月以上にわたり外部に漏洩した可能性を確認しました。原因はメーカーが確認できていなかった機器の脆弱性であり、同様の漏洩が海外でも確認されています。

トヨタ自動車　230万人分の個人情報漏洩

asahi.comによると、政府の個人情報保護委員会は、トヨタ自動車の情報通信サービス契約者約230万人分の個人データが外部から見られる状態になっていた問題に対し、トヨタに行政指導を出しました。問題は、委託先子会社の従業員がクラウドシステムの設定を誤り、10年近くにわたって車台番号や位置情報が一般公開されていたことに起因しています。個人情報の取り扱いに関する体制の不備や委託先の監督・従業員の教育不足を指摘し、トヨタに適切な対応を求めています。

WOWOW　最大8万人の個人情報漏洩

nikkei.comによると、WOWOWオンデマンドが情報漏洩の可能性を報告しました。漏洩した可能性がある情報には、契約情報や支払い履歴、視聴履歴などが含まれますが、氏名や住所、電話番号などの個人を特定する情報は含まれていないとのことです。原因はログイン処理のユーザー認証が不適切だったためで、これにより他の利用者が他の利用者の個人情報を閲覧したり、会員手続きを行ったりできる状態になっていました。

スカパーJSAT　合計1451人の個人情報が漏洩

nikkei.comによると、スカパーJSATは社内サーバーへの不正アクセスを受け、取引先の担当者と同社グループの関係者の合計1451人の個人情報が漏洩した可能性があると発表しました。漏洩した情報には「スカパー！」などのサービス契約者情報は含まれておらず、取引先の76人とスカパーJSATグループの社員など1375人の氏名、電話番号、メールアドレス、社員番号、役職などが影響を受けたとされています。

シード　最大で約7万件の個人情報が漏洩

nikkei.comによると、シードは外部からの不正アクセスにより、最大で約7万件の個人情報が流出した可能性を発表しました。2022年11月に不正アクセスを受け、専門家らとの調査の結果、「不正に閲覧や複製された可能性を完全に否定することが難しい」と判断されました。現時点では個人情報6件の漏洩が確認されています。流出した個人情報には氏名、住所、電話番号、購入履歴などが含まれていますが、クレジットカード情報は含まれていないとのことです。

企業における情報漏洩対策方法

デバイスをセキュアな状態に保つ

外部からの不正アクセスを防止するために、デバイスをセキュアな状態に保つことが大切です。定期的に脆弱性診断を行い、脆弱性が見つかった場合にはセキュリティパッチを適用して対処します。また、OSのセキュリティ設定やウイルス対策ソフトの稼働状況を定期的に確認することが重要です。機密データやOS管理領域へのアクセスを許可するのは会社が許可したプログラムのみとし、不正アクセスからの情報窃取を防止します。

管理体制や運用のルールを見直す

人的ミスによる情報漏洩に対しては、原因を追求し、管理体制や運用のルールを見直す必要があります。例えば、メールの誤送信を防ぐためには、メーラーで宛先オートコンプリートの使用を無効化することが役立ちます。データ暗号化や強固なパスワードによるログインを実施することで、PCの置き忘れなどによる情報漏洩のリスクを低減します。情報管理のマニュアル整備やルールの徹底、社員の意識向上と定期的なチェックも重要です。

データへのアクセスを制限する

内部の人間による不正行為に対しては、データへのアクセスを制限する対策が必要です。従業員による不正なデータコピーを防ぐために、デバイスの利用を制限することが考えられます。また、ファイルサーバーへのアクセス権限を適切に設定し、データへのアクセスを制御する方法も有効です。許可されたアクセスポイント以外からの接続を制限することで、外部への不正アクセスを防ぐことも重要な対策です。

従業員一人ひとりの意識改革

情報セキュリティ教育を実施することで、従業員一人ひとりがセキュリティ対策に対して高い意識を持つようにしましょう。教育を通じて、禁止されているサイトにアクセスしない、業務に関係のないソフトを絶対にダウンロードしないといった基本的なルールを改めて周知させることも大切です。

また、システムへのログイン時には複雑なパスワード設定を強化し、複数システムでの使い回しを禁止することも重要です。ただし、単に禁止するだけでは従業員にストレスを与えてしまう可能性があるため、セキュリティリスクとその必要性をしっかりと伝えることが必要です。

記録媒体の扱いに気を付ける

近年のハードディスクやUSBメモリは大容量化されていますが、便利な一方で、紛失すると大量のデータが流出する可能性があるため、被害が大きくなる恐れもあります。記録媒体を扱う際には、会社の外に持ち出すことは避けるとともに、不要なハードディスクやUSBを社内に持ち込まないようにすることも大切です。

情報漏洩への対策は、システムの強化だけでなく、従業員や関係者がセキュリティリスクへの意識を高め、しっかりと取り組むことが大切です。従業員一人ひとりがセキュリティに対する責任を持ち、安全な情報管理に努めることが重要です。適切な教育やルールの周知を通じて、組織全体でセキュリティ対策に取り組んでいきましょう。

デバイスの廃棄

企業や組織の重要情報が漏洩する可能性は、ネットワークだけでなく、パソコンの廃棄や譲渡にも注意が必要です。パソコンのハードディスクなどのメディアには、情報が残っている場合があります。中古のパソコンに前の所有者のデータが残っていたり、意図的に中古のパソコンを購入して機密情報を入手する手口もあるようです。

特に注意が必要なのは、パソコンを処分する前にデータを削除したりハードディスクをフォーマットしたりする場合です。画面上ではデータが消えたように見えても、実際にはハードディスク上にデータが残っていることがあり、特殊なソフトウェアを使えば削除されたファイルを復元できることがあります。情報漏洩を防ぐためには、パソコンの廃棄や譲渡の際には、データを完全に消去するか、ハードディスクを取り外して保管するなどの対策を講じることが重要です。

情報漏洩した場合の対応について

情報が漏洩した場合の対応方針を策定することも重要です。

情報漏洩を防ぐ対策はもちろん重要ですが、もし情報が漏洩してしまった場合にもしっかりと対応することが必要です。

例えば、情報漏洩が起きた際に誰がどのように対応するかを明確に決めておきましょう。これにより、万が一情報が漏洩した場合でも冷静に対処し、決められた流れに沿ってスムーズな対応ができます。迅速に対応すれば、情報の流出件数を少なくする可能性もあります。

情報漏洩に備えて、漏洩後の対策を明確に定めて、担当者に周知徹底しましょう。情報漏洩に対する対応策を事前に準備しておくことで、被害を最小限に抑えることができます。安全な情報管理には、情報漏洩時の対応も重要な要素ですので、組織内での明確な取り決めと共有を行いましょう。

これらの対策を実施することで、企業は情報漏洩のリスクを低減し、大切な情報を守ることができます。常にセキュリティ対策の重要性を理解し、従業員の意識向上と適切な対策を継続的に実施することが不可欠です。

まとめ

この記事では、情報漏洩のリスクと対策について詳しく解説しました。情報漏洩は企業にとって重大な脅威であり、機密情報や個人情報、顧客情報が外部に漏れることで多くの被害をもたらす可能性があります。

情報漏洩の主な原因は、外部からの不正アクセスや人的ミス、社内の不正行為などが挙げられます。これらのリスクを軽減するためには、デバイスのセキュリティを強化し、適切な管理体制と運用ルールを整備することが重要です。情報へのアクセスを制限し、社員の意識向上を図ることも対策の一環として欠かせません。

情報漏洩が起きた場合の対応策も事前に計画し、迅速に対処することで被害を最小限に抑えることができます。信頼性の向上と企業の存続のためには、情報セキュリティ対策を常に意識し、徹底的に実施していくことが不可欠です。情報漏洩リスクから企業を守るために、組織全体で協力し、情報の重要性を理解し、適切な対策を継続的に行っていくことが求められます。