情報漏洩とは？ 大きな被害が起こる原因や知っておくべき対策を解説！

情報漏洩とは？

情報漏洩とは、組織の情報資産が外部に漏れてしまうことです。情報資産の内容には、顧客の個人情報や従業員の個人情報、企業情報およびノウハウなどの機密情報が該当します。

情報漏洩の原因は、従業員の誤操作と過失や意図的な盗難、外部からの不正アクセスなどさまざまです。

情報漏洩による被害が大きい情報として、顧客や従業員の個人情報が挙げられます。個人情報が流出した場合、情報セキュリティの管理責任が問われるとともに社会的信用が失われ、事業継続性に大きな影響を与えるでしょう。

また、IDやパスワードといった資格情報が漏れることも、大きな被害につながります。漏洩した一つの資格情報からどんどん権限の高い資格情報まで獲得していき、最終的に組織の機密情報を盗む事例も発生しています。

情報漏洩による被害

ここからは、情報漏洩によって起こる被害について、実際の事例を交えながら解説します。

機密情報の流出による被害

機密情報の流出には、企業の信用を損なうリスクがあります。たとえば、情報処理推進機構 （IPA）が公開する「中小企業における情報セキュリティ対策の実態調査」では、メールに含まれる機密情報の流出によって、社会的信用が失墜した事例が紹介されています。

ある加工食品の会社にて役員のPCがウィルスに感染し、過去の電子メールが外部に漏洩する事故が発生しました。メールには自社および取引先の重要な情報が含まれており、取引先からクレームが寄せられて、謝罪はしたものの信用を失ったという事例です。

個人情報や顧客情報の流出による被害

個人情報や顧客情報の流出によって、対応に多大な手間と時間を要することもあります。たとえば、尼崎市では個人情報を含むUSBを紛失し、多数の対応工数が発生しました。

尼崎市の「個人情報を含むUSBメモリーの紛失事案について」によると、業務委託先の社員が住民の個人情報を含むUSBメモリーを持ち出して飲食を行い、帰宅後に紛失が判明しました。USBは発見され、漏洩の事実は確認されていないものの、事件に関する社会への説明や問い合わせ対応、本件から派生した詐欺への注意喚起等の通常業務へ影響を与える対応業務が発生してしまいました。

情報漏洩が起こる原因

情報漏洩が起こる原因は、大きく「過失」によるものと「故意・悪意」によるものに分類されます。それぞれの原因について、詳しく見ていきましょう。

過失による原因

過失による原因としては、誤操作や管理ミスが挙げられます。

誤操作

誤操作で起こる情報漏洩の代表格は、メールの誤送信です。取引先の情報を含む書類を添付したメールを誤った宛先へ送信してしまい、情報漏洩になるケースは非常に多いです。
また、本来BCCで送るべきところを全てTOで送信してしまい、大量のメールアドレスが流出する事例もよく見られます。セミナーの案内のような、多数の宛先へ一斉送信するメールで起こりやすいミスです。

管理ミス

情報資産の管理ミスとして、誤廃棄がよく挙げられます。誤廃棄とは、重要情報が入った記憶媒体をデータを消去せず廃棄したり、重要情報が記載された書類をシュレッダーにかけず廃棄したりすることです。

特に、記憶媒体は通常の操作で削除しただけでは、データは完全に消去されていません。正規の手順を踏まず廃棄したために、復旧が可能な状態の記憶媒体から情報が漏洩した事例があります。

故意や悪意

故意や悪意による盗難やマルウェア、フィッシング・スキミングも、情報漏洩が起こる原因となります。

盗難

盗難や紛失によって、重要情報が漏洩してしまう恐れがあります。ノートパソコンやスマートフォンなどのモバイル端末を不正に持ち出し、外出先で盗難や紛失に遭う事例がたびたび報告されています。

また、オフィスであっても入室管理が正しく行われていない場合は、同様のリスクが存在します。デスクに置き放しのノートPCが何者かによって盗難、後日転売されていることが確認された事例もあるため、注意が必要です。

マルウェア

マルウェアとは、情報収集や侵入、破壊など利用者の意図に反するように作られたプログラムやスクリプトのことです。ウィルスやワーム、ランサムウェアなど、さまざまな種類のマルウェアがあります。

ウィルスに感染したファイルは、パソコン内部のデータの消去や改ざん、ほかのパソコンへの感染拡大を意図的に引き起こします。感染経路はダウンロードしたファイルやメールに添付されていたファイル、USBメモリーなど複数ありますが、ウィルス対策ソフトによって保護することが可能です。

フィッシングやスキミング

フィッシングとは、ECサイトや銀行のサイトなど正規のWebサイトになりすまして、口座番号やクレジット番号を盗む詐欺行為です。WebサイトへのリンクはメールやSMSで送られてくる場合があり、正規のメールアドレスと似たメールアドレスで送られてくるフィッシングメールは、見分けることが困難です。

フィッシングの攻撃対象は個人のみに留まりません。組織のサイトに似せたWebサイトから資格情報を詐取する標的型の攻撃で用いられることもあります。

情報漏洩を起こさないための対策

ここからは、情報漏洩を起こさないための対策について、解説します。

誤操作への対策

誤操作のなかでも多いメールの誤送信に対しては、誤送信対策ツールの導入が効果的です。

また、メールに限らず社外とやり取りを行うチャットを含めたコミュニケーションツールの利用手順やルールの作成も必要でしょう。たとえば、社外向けにファイルを送る際、上長の確認を必須とすることや多数の宛先に送信する際はメーリングリストを用いることが挙げられます。

過労などが原因で健康面に支障がある従業員は、誤操作の危険性が高まります。ツールやルールだけでなく、社員が健康的に働ける労働環境への配慮も有効な対策です。

管理ミスへの対策

管理ミスへの対策としては、まず情報の廃棄方法を策定して徹底しましょう。社内情報が記載された書類はシュレッダーをかけたうえで廃棄する、記憶媒体を処分する際は消去ソフトを利用する、または専門業者へ消去を依頼するといったルールを作り、従業員に遵守させます。

また、基本的に組織の情報資産の持ち出しは禁止とします。ノートパソコンや社用携帯が必要な場合は、上長の許可を得たうえで持ち出すといった制限を設けましょう。持ち出す端末は紛失や盗難に遭うリスクを考慮し、パスワードロックや暗号化などのセキュリティ対策が必須です。

オフィス内でも第三者が侵入する危険があるため、社用端末は鍵付きのロッカーに保管するなど、情報資産の保管場所を明確にしましょう。

内部不正への対策

内部不正は、従業員が会社の方針や規定を知らないことが原因の場合があります。まずは、組織内で情報セキュリティ方針や規定を策定し、周知しましょう。

また、健全な職場環境の整備や社員のメンタルケアも大切です。パワハラやモラルに反した行動が黙認されるような職場環境では、不満やストレスから内部不正が起こりやすくなります。

方針の周知や職場環境の整備は一時的な実施ではなく、定期的かつ継続的に教育を行うことが重要です。実施計画を立てて職務や役割に応じた教育カリキュラムを立案し、実施後には効果測定も行いましょう。

外部からの攻撃への対策

外部からの攻撃に対して必ず実施すべき対策は、OSやソフトウェアを最新バージョンに更新することです。古いまま放置されていると、脆弱性を狙ったウィルスへの感染や不正アクセスの攻撃対象になってしまいます。

また、ウィルス対策ソフトの導入も必須です。ウィルス対策ソフトは既知のマルウェアや不審な動作を検出し保護する働きがありますので、常に最新バージョンを利用するようにしましょう。

また、私物機器の持ち込みは制限することをおすすめします。私物USBを社用パソコンに接続した結果、マルウェアに感染する事例が多く報告されています。

情報漏洩についてのまとめ

情報漏洩とは、組織の情報資産が外部に漏れてしまうことです。情報漏洩は企業にとって、社会的な信用の失墜や多大な対応業務の発生など、大きな被害をもたらしかねません。

情報漏洩は故意や悪意によるものだけではなく、過失によっても起こり得ます。情報管理の責任者の方は、情報漏洩を未然に防ぐために自社に合った対策だけではなく、社員への教育を怠らないようにしてください。