個人情報漏洩とは何か？

個人情報漏洩とは、大小の規模に関わらず個人情報が第三者によって窃取されること、また個人情報保有者の意図に反して外部に公開されてしまうことを言います。

過去の事例では、名前・メールアドレス・住所・電話番号・クレジットカード番号・ログインIDなど様々な情報が漏洩しています。

個人情報とは？

氏名、メールアドレス、住所、電話番号、DNAなど特定の個人を識別できる情報をまとめて個人情報とすることが多いです。

また、勤務先の情報や納税者番号、社会保険番号なども個人を一意に特定できるため、個人情報として扱われます。

個人情報はどんなときに漏洩してしまうのか？

重要な内容ばかりの個人情報ですが、実際に漏洩してしまうのはどんなときなのでしょうか？

いくつか知っている方も、全く知らない方も、一般的なものからあまり聞き慣れないものまで原因を見ていきましょう。

持ち出し端末の紛失

まず最初は「持ち出し端末の紛失」です。これは、会社に通勤する人なら身近にある原因の一つかと思います。

営業先でのプレゼンテーションに使用するためPCを持ち出したり、自宅で資料作成や対応を続けるため持ち帰ったり、といったことは普段から発生するイベントですよね。

こんな時に疲れていたら、電車やバスの車内で居眠りをしたり、網棚に置き忘れてしまったりということが起きやすいんです。

また、疲れているときだけでなく、飲み会帰りにぐっすりと眠ってしまうと置き引きに遭う可能性も高くなります。

個人情報を抜き取る場合もあれば、端末を中古買取ショップで売却される場合もあります。

誤操作による漏洩

従業員の誤操作でも情報漏えいは発生します。

業務で頻繁に使用するメールは、間違った宛先に送ってしまうと取り返しのつかないことになるのです。

具体的には見積書や請求書の金銭に関わる文書、キャンペーンや受験などの応募者情報、患者のカルテや予約受付情報など多岐にわたっており、宛先に含める関係者を間違えたり添付するファイルを間違えると社会的責任を問われる場合があります。

また、リモートワークも普及している会社のコミュニケーションツール利用時に、資料の共有先を間違えることで契約外の情報を第三者へ共有してしまう場合もあります。

例えばオンラインミーティングを実施する際、宛先を絞って共有すべき資料にも関わらず、閲覧させてはいけない協力会社に提供してしまう場合もあります。

マルウェア感染による漏洩

不正なサイトへの接続やメールの添付ファイルからマルウェアに感染するケースがあります。

マルウェアは様々な機能を持つことができ、犯人による遠隔操作にてLAN内の情報収集やファイルの収集が行われます。

集められた情報は犯人の任意のタイミングで回収され、最終的には痕跡を残さず立ち去ってしまう場合もあるでしょう。

これらの被害を受けるとインターネット上で不正に情報を公開されたり、第三者へ売却されてしまう場合があります。

不正アクセスによる漏洩

マルウェアに感染する場合でも不正アクセスをされる場合がありますが、本項ではWebページやECサイトなどを運営するサーバに不正アクセスされた場合を前提として解説します。

セキュリティに問題のある(脆弱な)状態のWebページやECサイトを放置したことで、攻撃者によってサイト乗っ取りの被害に遭うケースがあります。

乗っ取られてしまった後は顧客情報などが入るDBサーバから情報を抜かれたり、サーバ上に保管されている財務情報や企業内の機密文書などがターゲットにされ、窃取・情報の不正公開という事例が複数あるのです。

意図的な情報流出

従業員による意図的な情報流出にも気を配る必要があります。

「顧客の情報は正当な理由なく持ち出さないこと」という規則を設けるのが一般的ですが、従業員が会社に対して不満を持っている場合や退職時などに情報の持ち出しと流出が発覚する事例が報告されています。

持ち出した情報を転売、転職先で情報を流用する、といった目的で情報持ち出すケースもあるようで、「簡単に持ち出せる環境」や「自社に限ってそのようなことを行う従業員はいない」といった認識の甘さが意図的な情報流出を助長しているのかもしれません。

個人情報漏洩のリスクを減らすためにできること

個人情報漏洩のケースからどのような会社でも発生しうることがご理解いただけたかと思います。

それでは、どのような対策を行えば個人情報漏洩を防げるのでしょうか。

結論、完全に防ぐことは不可能です。しかし、情報漏洩発生のリスクを減らすことは可能です。

ここでは個人情報漏洩のリスクを減らすためにどのようなことができるのか、具体的なポイントを確認していきましょう。

従業員の教育

個人情報漏洩のリスクを減らすためにできることの１つ目は「従業員の教育」です。

セキュリティ対策の基本を抑えつつ、以下のように従業員の教育を行うことが重要となります。

• 情報セキュリティポリシーの策定と周知徹底
• 被害事例と対策の教育
• 定期的な教育実施とフォローアップの実施

会社がどのような方針で事業を継続するか、従業員に示していく必要があります。まずは情報セキュリティポリシーを策定し社内外に周知・徹底していくことが重要です。

そのうえで、被害事例の紹介やどのような対策を取るべきかといった教育を従業員に行います。この時、裁判により損害賠償請求が認められた事例を取り上げると、より身近な話として理解が深まると考えられます。

そして、1年に1回程度、理解が足りない従業員にフォローアップ研修を実施することで、会社全体のセキュリティ意識を高めていくことができるのです。

情報機器のHDD/SSD暗号化

情報セキュリティの教育を定期的に実施しても、情報漏洩を完全に防ぐことは難しいです。

過去には、従業員が情報端末を持ち出した際に紛失、盗難されたものから情報が流失した事件も発生しています。一部の情報機器に詳しい第三者が、オークションサイトやフリマアプリなどで端末を入手し、HDD内の情報を復元し名簿業者などに転売してしまう可能性があるのです。

また、情報機器の入れ替え時などで古い機器の情報消去が甘い場合にも、同様の情報流出が発生すると考えられます。

これらの二次被害を防ぐため、情報機器のHDD/SSDは暗号化を行い、万が一紛失や盗難に遭っても影響を最小化するように努めることも重要です。

許可のない外部ストレージ接続を許可しない

従業員による情報持ち出しはUSBやHDDなどの外部ストレージでも可能な場合があります。

業務に必要なストレージは会社内で厳重に管理を行い、必要な時/必要な権限で使用させるなどのルールを取り決めることが重要です。

デバイスの接続を端末に導入したソフトウェアで制御する製品もあるため、ルールおよび環境の合せ技によって不正な情報持ち出しのリスクを減らす工夫もできます。

まとめ

今回は個人情報漏洩の原因とリスクを低減するための対策について解説しました。ヒト人の過失や故意で漏洩が起きやすいのだと理解できたと思います。

仕組みや環境だけでは防ぎきれないことを踏まえて従業員の教育に取り組み、個人情報の取り扱いに関して全社的なリテラシーの向上に少しでも役立てば幸いです。