情報漏洩は人為ミスが招く！
事例から原因と対策まで総まとめ

人為ミスが招く「お詫び」では済まない
情報漏洩（漏えい）

情報漏洩に関するニュースがあとを絶ちません。漏洩した情報は転用されればさらに被害が拡大し、社会に大きな混乱を及ぼす危険があります。漏洩した個人情報が「特殊詐欺に使われた」、漏洩したアドレスに「ウィルス感染させることを狙ったメールが送信された」など、漏洩した時点では想定できない形で拡散されることもあるのです。こうした情報漏洩のインシデント（重大な事故に発展しかねない事態）の大多数は、業務上の些細な人為的ミスが原因となって発生しています。
本記事では、実例と情報漏洩に関する調査報告をもとに、とくに人為的ミスからの漏洩対策について解説します。

情報漏洩の被害とは

情報漏洩の対象となる情報は、適切に管理されるべきデータ全般を指し、社外秘とされている事業に関わる情報や顧客情報、社員情報などの個人情報を指します。
とくに大きな問題となるのは顧客情報で、なかでも個人情報に分類される種類のものです。クレジットカード情報を例にとると漏洩した場合、顧客個人とクレジットカード会社だけでなく、クレジットカードを利用して販売やサービスの提供をするさまざまな業態の企業などがその影響を受けます。

人為ミスによる情報漏洩の原因と対策

特定非営利法人日本ネットワークセキュリティ協会（JNSA）が出す「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏洩の半数以上が「紛失・置き忘れ」「誤操作」という明らかな人為ミスが原因で発生しています。これに「管理ミス」を加えると、情報漏洩の60％以上は内部要因です。近年の特徴として紙媒体からの漏洩比率は減少し、替わってE-mailやUSBメモリなどの電子データからの比率が増えています。原因となった「紛失・置き忘れ」「誤操作」の内容について次の項目で解説します。

メール送信時の誤操作

誤操作による情報漏洩の代表的な例がメール送信時によるものです。送信先アドレスを間違える、間違ったファイルを添付して送ってしまうといった初歩的なミスです。複数の宛先に一斉送信する際、本来BCCで受信者以外のメールアドレスを隠して送信すべきところをCCで送信してしまい、送られた全員に他の受信者のアドレスが漏れてしまうケースもこれに該当します。
誤操作という極めて人為的なミスだけに、送信前に再度確認の習慣化、添付ファイルはパスワード付きにして別途送信するなどの基本的な対策が重要です。

Webページの設定ミス

Webページ上に誤って個人情報を掲載してしまう事例も複数発生しています。自社サイトで資料を公開する際に、公開予定のものとは別の資料をアップロードしてしまったケースや、本来アクセス制限をかけるべきページを、外部から閲覧可能な状態で公開してしまったケースなどです。
Webページは世界中からアクセスできるため、たとえ短時間であっても拡散する危険性があります。Webページを更新・新規に公開する際には、事前に複数のチェックが入るように、手順を定めて防ぎましょう。

端末の置き忘れ・紛失からの漏洩

端末機器の置き忘れ、紛失・盗難からの情報漏洩も増えています。USBメモリなどの記録媒体からは、書類の何倍もの情報が流失し、ノートパソコン、スマートフォンからは内部情報への侵入を容易にしてしまいます。最も防ぎたい人為ミスがこのケースです。
本来、端末機器や記録媒体の持ち出しは必要最低限にとどめる必要があります。しかし、リモートワークが急速に拡大し、端末を持ち出す機会が増えたことで、紛失や盗難にあう可能性が増大しています。
これを防ぐには端末の置き忘れをしないよう最大限の注意を払うことが大前提ですが、もしもの事態を想定して対策をしておく必要があります。端末本体には必ずパスワードや指紋認証などを利用した多要素認証によるロックをかけ、情報へのアクセスを防ぎましょう。USBメモリなどに保存されている情報も必ず暗号化などの対策をしておくことで、被害を最小限に食い止めることが可能です。

また、近年ではLINEをはじめとしたSNSからの情報漏洩も問題となっています。個人のスマートフォンで業務上の連絡をする際には、会社が定める規定に沿った運用を心がけるなど細心の注意を払って利用しましょう。

情報漏洩発覚　そのとき企業が負うリスクとは

情報漏洩による企業の損害は計り知れません。個人情報の漏洩であれば、企業の社会的信頼が棄損し、企業機密情報の漏洩であれば、営業機会の損失や競合優位性が低下します。本章では情報漏洩によって企業がどのようなリスクを負う可能性があるかをご説明します。

情報漏洩発覚　逮捕されるケースも

情報漏洩が発覚した場合、個人情報の取り扱いに不備が認められれば「個人情報保護法違反」に問われ「6ヶ月以下の懲役又は30万円以下の罰金刑」が科されます。意図的に個人情報を漏洩した場合の罰則はさらに重く、「1年以下の懲役又は50万円以下の罰金刑」が科されます。2022年施行の「改正個人情報保護法」では、企業が6ヵ月以内に破棄する「短期保存データ」も保有個人データとみなされることからも、企業により厳格な管理が求められていることがわかります。

損害賠償請求・行政損害

顧客や取引先他社の情報を漏洩させてしまった場合、多額の損害賠償請求が想定され、その際には賠償金に加え弁護士費用の計上も必要となります。特定非営利法人日本ネットワークセキュリティ協会の試算では、情報漏洩事例1件あたりの平均で、6億3,767万円の損害賠償額が想定されています。

また行政損害も考慮しておく必要があり、日本の個人情報保護法では、違反が認められた場合最大1億円が過せられます。また海外との取引がある企業では、その地域ごとの法律による賠償も課せられる可能性があります。

参考：特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）
「2018年 情報セキュリティインシデントに関する調査報告書」
https://www.jnsa.org/result/incident/2018.html

日本国内の情報漏洩事例

ここでは、情報漏洩事例のなかでもとくに話題となってしまった二つの事例についてご紹介します。どちらもニュースで大きく報道され、情報漏洩対策の必要性を広く知らしめるきっかけにもなりました。

サービス大手企業による情報漏洩

2020年、サービス大手企業が利用していたアプリケーションで、取引先企業14社75名の担当者情報等の個人情報を含むデータが外部から閲覧可能となっていたことが発覚しました。原因はシステムの誤設定であり、人為ミスによる情報漏洩でした。

教育大手企業による個人情報漏洩

2014年、教育大手企業が3504万件もの個人情報を漏洩しました。保護者の住所と電話番号に子供の氏名が合わせて記載され、一部の利用者では出産予定日まで含まれていたという漏洩内容のインパクトが強く、広く報道されました。
教育事業という性質上、子供に関する情報が漏洩したことに保護者の不安も大きく、また原因が悪意を持った内部による犯行（当時東京支社に勤務していた派遣社員）であったことで該当企業へ問い合わせが殺到しました。
結果として、図書券や電子マネーの送付や、受講料減額などの対応を行い、個人情報漏洩対策で約260億円の特別損失を計上しました。情報漏洩を防ぐ取り組みの重要性が見てとれる事例と言えます。

システムとしての情報漏洩対策

情報漏洩を防ぐためには、情報の取り扱いに対する認識を正し、そのリスクを理解することが大切です。そのうえで具体的に実行する手順を明示してマニュアルとしてまとめ、情報漏洩対策が日々の業務の中に組み込まれる形を構築していきます。次に、具体的な方法をみていきます。

対策は業務フローに沿ってマニュアル化

情報漏洩対策を形骸化させないためには、厳格さを個人の裁量にゆだねるのではなく、明確なマニュアルとして提示する必要があります。このマニュアルを定める際には、できるだけ手続きを簡素化し、実際に業務を行う現場と、管理側の双方の負担を減らすことが大切です。例えば、端末を持ち出す際の届けの方式などにそれが当てはまります。セキュリティソフトのインストールなども一定の基準を定めてそれ以外は許可制にするといった形をとると、情報漏洩のリスクと業務上の利便性のバランスを取りながら対策ができます。

継続的な社内教育で意識を高める

社内教育の機会は、定期的に設けることが効果的です。最新の事例を交え、どのような人為ミスが情報漏洩につながったのか、損害の程度などを具体的に学ぶことで、慣れからくるうっかりミスの防止と、業務内で行う対策の習慣化を目指せます。

被害拡大を防ぐ　起きてしまった際の対応

素早く対応するためにも万が一に備えた際のシミュレーションを行い、情報漏洩対策にあたる専門チームを準備しておくことが求められます。スピードと誠実な対応が評価され、結果的に企業への信頼度の向上につながった例もあります。
このため情報漏洩に限らずコンピュータに関わるセキュリティ事故全般に対応する担当として、CSIRTというセキュリティ対策にあたる専門チームを設置する企業も増えてきています。インシデントの発生から再発防止までを一貫して行う機能としてCSIRTの設置は非常に有効です。

最新の情報で現状を把握

効果的な対策を積み上げていくために、情報漏洩インシデントに関する最新のデータから傾向を確認することが不可欠です。例をあげると、インシデント件数は減少傾向が見られるものの2018年には1件で100万人分の情報漏洩が起き、依然として大量漏洩につながるケースがあることや、ユーザや取引先、クレジットカード会社などの外部から指摘されるまで情報漏洩を発見できなかった事例が複数報告されていることなどがあります。現状を把握し、自社の対策強化につなげていきましょう。

まとめ

本記事では情報漏洩の原因と対策について解説しました。とくに人為的なミスから起きる事案が多いことからも100%ミスを防ぐことに期待するよりも、ミスがあっても致命的な被害とならないように防ぐシステムづくりを進めるほうが現実的と言えます。
社内のセキュリティ対策部門を設置し、情報収集から社内モニタリングまで行える体制が望ましいのですが、時間も費用も膨大にかかってきます。まずは、現状どのようなセキュリティリスクがあり、どこから対応するべきかを把握し、情報漏洩対策を進めていくのが良いでしょう。セラクでは、セキュリティ対策に特化したプロフェッショナルエンジニアによる無料相談を行っています。お客様の状況に応じてどのような対策が合っているのかプランニングし、最適な対策をご提案していますので、お気軽にご相談ください。

あわせて読みたい記事

• 中小企業を狙うサイバー攻撃！その種類や事例、対策を紹介
• クラウドセキュリティガイドラインの要点と企業がすべきセキュリティ対策
• 企業のセキュリティ運用、出来ていますか？