コラム
リスク管理
2020.01.02
企業における情報漏えいの原因と防止策とは
情報漏えいは、ときに企業にとって致命的ともいえるダメージをもたらします。
情報漏えいはなぜ起きるのか、実効性ある防止策はあるのかなど、企業における情報漏えいについて解説します。
企業が情報漏えいを起こすとどうなるのか?
企業のデータは常に狙われており、対策を講じなくてはなりません。サイバー攻撃や内部不正などの被害にあってデータが盗まれてしまった場合、企業が責任を問われることになります。
企業が情報漏えいを起こす際の対象となる情報の多くは、顧客データや自社の従業員データなどの「個人情報」です。
企業が個人情報を漏えいさせ、個人情報保護法に違反していて個人情報保護委員会からの改善命令にも応じなかった場合は、違反した従業員に対して6カ月以下の懲役または30万円以下の罰金が科せられる可能性があります。またその従業員を雇っている会社に対しても最大30万円の罰金が科せられる可能性があります。
これらは刑事上の罰則ですが、個人情報の漏えいによって被害者が出ると、さらに民事上の罰則が加わることがあります。被害者に対する損害賠償責任が生じた場合、慰謝料などを含む損害賠償額は1件あたり1,000円から3万円程度になるといわれています。漏えいした個人情報の数は数万人規模であれば、賠償額も数億円に達します。
こうした法的責任以外に、個人情報漏えいが報道されることによる社会的信用やブランドイメージの失墜も企業に大きなダメージを与えます。インシデントの規模が大きいほど賠償額も甚大に、信用低下も深刻になり、企業として存続の危機に瀕するケースもあります。
また、個人情報以外に技術情報などの機密情報が漏えいするケースも考えられます。こちらは従業員の過失やサイバー攻撃より、内部不正によるものが多いといわれますが、企業から公表される機会が少ないという特徴があります。しかし、仮に企業にとって事業の中核をなすような技術情報が競合会社に渡るなどした場合は、個人情報漏えいよりもさらに深刻な経営への打撃となる可能性があります。
企業における情報漏えいの原因
情報漏えいが起きる原因には次のようなものがあります。
ヒューマンエラー
情報漏えいの多くがメールの誤送信、添付ファイルに関する誤操作、USBメモリや紙資料の置き忘れ・紛失など、人為的な過誤や失敗によって起こっています。情報の管理ミスによる紛失や持ち出し、あるいはセキュリティについての知識があるにもかかわらず、不注意で悪意ある者が送ってきた添付ファイルを開いたり、URLリンクを踏んだりしてしまった場合もヒューマンエラーに含まれるでしょう。
サイバー攻撃
標的型攻撃、ゼロデイ攻撃、マルウェア感染などによるサイバー攻撃や、その結果として行われる不正アクセスによっても情報漏えいは発生します。サイバー攻撃は近年、巧妙化の一途をたどっています。不正アクセスによって漏えい・流出する個人情報の数は数万件から数十万件、ときには100万件を超えることもあり、企業に大きな打撃を与えます。
内部不正
組織内部の従業員や関係会社の人員による金銭などを目的とした情報の持ち出し・盗難も発生しています。中でも多いのは退職者が有用と判断した情報を盗み取り、転職先でその情報を使用するようなケースです。また重要な技術情報が盗み出されて競合会社に渡る事件も起きています。近年ではリモートワークが広まり、人目のない環境下で不正行為を働いてしまうというタイプの情報漏えいリスクが増大しているという指摘もあります。
情報漏えいの防止策
情報漏えいの防止策としてまず必要なのは、従業員のセキュリティ意識を高めるための教育や研修です。企業としてのセキュリティポリシーを設定し、業務内容に即したルールやマニュアルを整備して、それらの周知・遵守を徹底する必要があります。
また、同時に従業員の意識に頼らない環境を構築することも重要です。個人情報や機密情報へのアクセス制限、メールの誤送信・誤操作防止ツールの導入、アクセスログの取得と監視、不審なアクセスの検知とアラート、担当者の管理・監督、社内からの不正操作の防御などの多層的な対策を施しましょう。
サイバー攻撃に備えるセキュリティ対策は、アンチウイルスソフトやファイアウォールだけでは不十分です。インシデントは起こるものという前提に立った対策を立てることで、たとえ攻撃を受けたとしても情報漏えいによる被害の拡大を軽減できます。たとえば不正アクセスを受けることを前提としたセキュリティソフトを導入すれば、未知の攻撃にも対応可能です。また、不正なアクセスを受けた場合の手順――ネットワークの切断、機器の電源オフ、設定変更、関係部署への指示などのマニュアルを用意することで、情報の流出を最小限に押し止めることができるでしょう。
情報漏えいは企業に甚大な被害をもたらします。未然に防ぐための対策と、被害を抑えるためのインシデントレスポンスを用意しておきましょう。AppGuardはゼロデイ攻撃を含むサイバー攻撃からシステムを防御するソフトウェアです。攻撃を受けたとしても、システムに害を与える動作を未然に阻止し、安全を確保することができます。サイバー攻撃による情報漏えいのリスクを最小限化するため、ぜひAppGuardの導入をご検討ください。
AppGuard Blog 企業における情報漏えいの原因と防止策とは 参照
https://www.blueplanet-works.com/column/risk-management/information-leak-cause/