ニュースで話題の情報漏洩とは？種類と企業に与える脅威

情報漏洩の種類と企業にもたらす危機

情報漏洩とは、企業や団体が内部にとどめておくべき重要な情報が、外部に流出してしまう事態のことをいいます。情報漏洩が起きると、企業の信頼を失墜させる恐れがあるだけでなく、場合によっては法律で罰せられることもあります。
情報漏洩対策の重要性に関する認識が高まり、多くの企業・組織で具体的な情報漏洩対策の取り組みが行われるようになりました。しかし、公表されているだけでも情報漏洩に関する事故は未だ頻繁に報じられており、対策への意識は高まっているものの、事故の発生件数そのものは減少していないのが実情です。

企業や団体が漏洩させてはならない情報には、大きく分けて「個人情報」と「機密情報」の2種類があります。
公表される情報漏洩事故は、企業・組織が顧客の情報を漏洩してしまう「個人情報の漏洩」が多く、他企業の重要な情報などを漏洩してしまう「機密情報の漏洩」が公表されることはほとんどありません。これは、個人情報保護法において、個人情報を漏洩された本人および個人情報保護委員会への報告が義務づけられているのに対して、機密情報の漏洩については公表義務もなく、企業間の話し合いで解決されるケースが多いためです。従って、公表されている機密情報の漏洩事故が少ないからといって、企業間の機密情報漏洩事故が少ないわけではない点には注意が必要です。漏洩によって企業が受けるダメージはどちらも同様に大きいため、情報漏洩対策が企業において重要な問題であることに変わりはありません。

ここでは、「個人情報」と「機密情報」それぞれがどのような情報を指しているのか、万が一漏洩した場合にどのようなことが起きるのかを見ていきましょう。

個人情報漏洩

個人情報とは、個人情報保護法第2条に該当する情報であり、特定の個人を識別できる情報や個人識別符号が含まれる情報のことを指します。なお、名前などの個人を直接的に特定できる情報だけでなく、ほかの情報と照合すれば容易に個人を特定できるものについても個人情報に含まれる点には注意してください。例えば、以下の情報はいずれも個人情報に該当します。

＜個人情報の例＞

氏名、生年月日、連絡先（住所・電話番号・メールアドレスなど）
学歴、職歴
本人を特定可能な音声録音情報や映像
指紋や虹彩（眼球の色）などの生体情報
銀行口座などの金融機関情報
看護記録や検査記録などの診療情報
各種サービス利用時に使用するID、パスワード、暗証番号
勤務先の社員番号や在籍校の学籍番号

なお、電話帳や官報などに掲載されており、すでに公にされている情報であっても、特定の個人を識別できる情報であれば個人情報に該当します。

＜個人情報漏洩による危機＞

企業などの事業者が個人情報を取り扱うにあたっては、その利用目的を特定することが義務づけられています（個人情報保護法第17条）。また、個人情報を取得する際には利用目的を通知しなければなりません（個人情報保護法第18条）。つまり、企業にとって個人情報を適切な方法で取得・運用・管理することは、必ず守るべき責務とされているのです。

仮に個人情報を漏洩させた場合、個人情報保護法に定められた義務が履行されていないことになるため、個人情報保護委員会による指導が入ります。指導とは、勧告・命令・緊急命令のいずれかのことです（個人情報保護法第148条）。命令や緊急命令に従わない場合、1年以下の懲役または100万円以下の罰則刑が科されます（個人情報保護法第178条）。

また、個人情報を漏洩してしまった場合には、個人または関連する企業・組織への損害賠償が発生する可能性もあります。個人情報の漏洩事故による損害賠償額（慰謝料など）についての事例は、おおむね、発送や送付にかかる経費などを含めて、一人あたり数百円から数万円程度まで幅広く存在しています。

漏洩した情報が個人の機微な情報（あまり他人に知られたくない情報）である場合や、顧客リストとしての価値があり、勧誘電話などがかかってくるなどの被害が発生した場合などには、自主的に被害者一人ずつに対して商品券などを配布する場合もあり、一人あたり1万円の商品券を約5万人に配布し、総額で5億円が必要になったという事例もあります。

機密情報

機密情報とは、新製品の開発情報や営業秘密など、事業運営において他社に秘匿すべき情報のことを指します。外部への開示が予定されておらず、組織内の秘密として管理されている情報であり、かつ流出すれば損害を被る恐れのある情報は、基本的にすべて機密情報と捉えることができます。

＜機密情報漏洩による危機＞

機密情報が漏洩してしまうと、自社にとって本来秘匿しておくべき情報が外部に知られてしまうことになります。その結果、事業の推進やブランド価値を損なうことになりかねないため、機密情報の漏洩は絶対に防がなくてはなりません。

例えば、新製品に関する公開前の情報が競合他社に漏れたことで、自社製品を発売する前に競合他社が同様の製品を販売し始めることもあり得ます。製品の新規性や話題性が著しく損なわれるなど、多大な損害を被る恐れがあります。

「個人情報漏洩」と「機密情報漏洩」のいずれの場合においても、漏洩事故によって全社で対応に追われるような状況になると、日々の業務が滞ってしまったり、最悪の場合にはすべての業務が停止することも考えられます。結果、企業としての機会損失につながり、その影響は金銭面だけにとどまらず、企業としての信用低下につながり、経営自体に悪影響を及ぼすこともあります。

このように、情報漏洩対策が不十分であるために、情報漏洩事故を引き起こしてしまった場合には、経済的な損失に加えて、企業の信用・イメージをも損なう可能性があります。適切な情報漏洩対策は、単に重要な情報の流出・紛失を防ぐためだけでなく、企業そのものを守ることにもつながっていきます。

【2023年】IPA発表の情報セキュリティ脅威事例

IPA（独立行政法人情報処理推進機構）が2023年に発表した、情報セキュリティ10大脅威の中から、この記事に関連する情報セキュリティ脅威をご紹介。

標的型攻撃による機密情報の窃取

標的型攻撃とは、特定の組織（官公庁、民間団体、企業等）を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としている。攻撃者は社会の変化や、働き方の変化に便乗し、状況に応じた巧みな攻撃手法で機密情報等を窃取しようとする。

内部不正による情報漏えい

組織に勤務する従業員や元従業員等の組織関係者による機密情報の持ち出しや悪用等の不正行為が発生している。また、組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケースもある。組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償による経済的損失を与える。また、不正に取得した情報を他組織に持ち込んだ場合、その組織も損害賠償等の対象になるおそれがある。