企業の情報漏洩は珍しい事故ではありません。情報漏洩は業種や企業規模を問わず起こる可能性があり、自社でどのような対策を講じるべきか悩んでいる企業も多いのではないでしょうか。この記事では、過去に発生した情報漏洩の事例と、情報漏洩が発生する主な原因について解説し、情報漏洩を防ぐために必要な対策も併せてご紹介します。
情報漏洩の5つの事例
情報漏洩は幅広い業種で起きています。まずは、過去に企業や官公庁で発生した情報漏洩の事例から、被害の規模や情報漏洩の原因、事後対応について見ていきます。
事例1:教育サービス企業A社で発生した個人情報漏洩
情報漏洩は、顧客情報などが不正に売却されることで起きるケースも少なくありません。教育サービス企業のA社は、顧客情報を不正に売却され、顧客の元に身に覚えのないダイレクトメールが届く事態が相次ぎました。
情報漏洩の概要
A社の顧客から、「身に覚えのないIT事業者からダイレクトメールが届いている」との問い合わせが相次ぎ、調査の結果、A社が保有する顧客リストが使われている可能性が高いことがわかり、情報が漏洩していることが判明しました。
被害規模
外部に漏洩した個人情報は約3万件に達し、重大な個人情報漏洩事故として大きく報じられました。結果としてA社の顧客は減少し、特別損失260億円を計上することに。また、金銭的被害だけでなく、多くの顧客の信頼を失ってしまったことがA社にとって重大な損失となりました。
原因や事後対応
一連の情報漏洩事件の発端となったのは、A社がシステム開発・保守を委託していた企業の再委託先に勤務していた従業員でした。この従業員は担当業務のために付与された顧客データベースへのアクセス権限を不正に利用して顧客情報を取得し、名簿業者に売却していました。この事件を受けて、A社では情報漏洩事故調査委員会を発足させ、原因究明と脆弱性評価を行う対策を講じています。また、被害を受けた可能性のある顧客に金券500円を配付したものの、顧客の減少に完全に歯止めをかけることはできなかったのが実情です。
事例2:食品メーカーB社で発生した不正アクセス
サーバーが不正アクセスに遭うことで、顧客情報が漏洩する事例もあります。B社では、運用しているサーバーに障害が発生し、調査を実施したところ不正アクセスが判明しました。
情報漏洩の概要
B社が管理・運用する複数のサーバーにおいて、深夜に障害が発生。原因を調査する過程で第三者による不正アクセスの痕跡が確認されました。トラブルが発覚した時点で一部データがすでにロックされており、顧客情報の流出が疑われました。
被害規模
顧客の個人情報が外部に持ち出された痕跡は確認されなかったものの、漏洩した可能性がある個人情報は最大で160万件余りです。漏洩した可能性のある個人情報には、顧客の名前・住所・電話番号のほか、生年月日や性別、メールアドレス、購入履歴などが含まれていました。
原因や事後対応
不正アクセスの原因は、インターネット回線に設置されていたネットワーク機器の脆弱性にあった可能性が高いと推測されています。顧客情報が漏洩した確証はなかったものの、B社では当該インターネット回線を完全に遮断するとともに、二次被害を防ぐために一連の事態を公表し、個人情報保護委員会への報告ならびに所轄警察書への届け出を行いました。不正アクセスの被害に遭うと、実害の有無にかかわらず、事後対応に追われることを示している事例といえます。
事例3:不動産会社C社で発生したメール誤送信による情報漏洩
従業員の不注意が情報漏洩の原因となるケースもあります。C社のケースでは、メール送信時の操作ミスにより顧客のメールアドレスが漏洩する事態が発生しました。
情報漏洩の概要
C社が提供するサービスの会員向けに送信されたメールにおいて、ほかの会員のメールアドレスが閲覧できる状態になっており、当該メールを受信した会員から指摘を受け、メールアドレスが漏洩している事態が発覚しました。
被害規模
メールを受信した会員が閲覧できる状態になっていたメールアドレスは合計1,023件です。なお、メールは同時送信数に上限が設けられていた関係上、3回に分けて送信されています。
原因や事後対応
本来、送信先である会員の間でメールアドレスを閲覧できないようにするには、メールをBCCで送らなければなりません。本件では、通常の宛先欄に会員のメールアドレスを入力して送信したために、ほかの会員のメールアドレスが閲覧可能な状態となっていました。一連の事態を受け、C社はメールアドレス流出に関するおわびのメールを会員宛てに送信しました。また、情報漏洩が発生した事実を監督官庁へ報告しています。サイバー攻撃など外部からの攻撃を受けるケースだけでなく、業務上のミスによって情報漏洩が発生し得ることを示した事例といえます。
事例4:不適切な情報管理が漏洩につながった官公庁の事例
不適切な情報管理が原因で、顧客情報が漏洩してしまった事例もあります。官公庁で働く事務員が、禁止されているファイル共有サービスを利用したことで、顧客情報の漏洩が発生しました。
情報漏洩の概要
官公庁から業務を委託された事業者が申込者に対して案内メールを送付した際、誤って社内連絡用の文面を送付していました。当該メールにはファイル共有サービスにアクセスできるURLリンクが含まれており、リンク先のファイルには顧客情報が保存されていました。
被害規模
ファイル共有サービスにアップロードされていたファイルには、約1,100名分の顧客情報が保存されていました。漏洩した個人情報は名前・生年月日・住所・電話番号です。
原因や事後対応
この事例においては、情報漏洩の原因が2つあります。1つは、社内連絡用として送信すべきメールを誤って顧客宛てに送付したことです。もう1つの原因は、委託された事業者が、禁止されているファイル共有サービスを利用していたことです。一連の事態を受けて、当該官公庁は顧客情報が二次利用されていないことを確認するとともに、被害に遭った顧客に対して謝罪しました。また、メールの送信や受信に関する手順書を作成するとともに、従業員に対するセキュリティ教育を実施する対策を講じています。
事例5:端末の紛失による情報漏洩が危惧されたD病院の事例
医療機関であるD病院では、院内で使用していたノート型PCを紛失したことが発端となり、情報漏洩が疑われる事態へと発展しました。端末そのものを紛失しているため、PCに保存されていたデータが外部に漏洩した可能性があると判断されました。
情報漏洩の概要
患者の個人情報が保存されているノート型コンピューターを紛失したことを受け、D病院では端末の捜索を進めていました。ノート型PCが見つからなかったことから、紛失発覚から9日後に情報漏洩の可能性があることを発表するに至りました。
被害規模
紛失したPCに記録されていたのは、約2,000名分の患者情報です。患者の名前・性別・年齢・生年月日のほか、患者の特定部位を撮影した画像データ、病室・医師コード・担当医師の名前なども当該情報に含まれていました。
原因や事後対応
D病院が紛失したPCの捜索を進めたものの、発見はされていません。また、PCを紛失した原因も明らかになっていないのが実情です。この事態を受けて、D病院では被害者に対して書面で謝罪するとともに、再発防止に向けて個人情報の扱いへの意識向上を図っていく方針を掲げています。PCや記憶媒体などの紛失が、大規模な情報漏洩につながりかねないことを示唆した事例です。
情報漏洩の原因
ここまでに紹介した事例から、情報漏洩には複数の原因があることがうかがえます。情報漏洩へと発展しかねない4つの要因をまとめました。
紛失・置き忘れ
情報漏洩の原因として、IT機器の紛失・置き忘れが挙げられます。機密情報が保存されたコンピューターやスマートフォン、タブレット、USBメモリなどを紛失したり、置き忘れてしまったりすることが、情報漏洩事件へと発展してしまいます。
例えば、機密情報を保存したUSBメモリを持ち歩いていたところ、ほかの荷物をかばんから出した際に落としてしまい、気づかないまま立ち去ってしまうといったケースが想定されます。または、機密情報を保存したコンピューターを電車の網棚に載せたまま置き忘れてしまう可能性も否定できません。こうした人為的なミスは気をつけていても発生すると仮定し、そもそも重要な情報は端末や記憶媒体に保存しないといった防止策を講じる必要があります。
誤送信や誤操作
メールなどの誤送信や、PCの誤操作といったヒューマンエラーが情報漏洩につながることも想定されます。マニュアルや手順書が整備されていなかったり、整備されていたとしても遵守されていなかったりする場合に発生しやすいです。起こり得る誤送信・誤操作の例として、次のようなものが挙げられます。
情報漏洩につながる誤送信・誤操作の例
- メール送信時に宛先を誤って入力する
- BCCで送るべきメールを通常の宛先に設定する
- 内部情報を誤ってメールに記載したり、ファイルとして添付したりする
- クラウドストレージの公開範囲設定を間違える
- アクセス権限の設定を誤る
こうした誤送信・誤操作は、担当者の注意力の欠如によるものであり、完全に防止するのは困難です。システムやツールを活用し、技術的対策を講じる必要があります。
社内データの持ち出し
本来は社内にのみ保管されているべきデータを、従業員や業務委託先の従業員などによって不正に持ち出され、情報漏洩につながったケースも。社内データの持ち出しが情報漏洩へと発展するケースには2つのパターンが想定されます。
1つは、従業員のセキュリティリスクに対する意識の欠如が情報漏洩につながるパターンです。社内のデータを個人所有のUSBメモリに軽い気持ちで保存したり、持ち出しが禁止されているコンピューターを自宅に持ち帰ったりした際、紛失や置き忘れが発生してしまうことは十分に考えられます。
もう1つは、悪意ある何者かが機密情報を故意に漏洩させるパターンです。勤務している、またはしていた企業に対する恨みや、金銭目的による機密情報の売却などが動機として想定されます。機密情報を安易に社外へ持ち出せない仕組みにすると同時に、万が一情報漏洩が発生した際に原因や発生源を特定できるようにしておくことが重要です。
システムの脆弱性
業務で使用しているネットワークなどシステムの脆弱性が放置されていると、外部から侵入されるリスクが高まります。サイバー攻撃の手口には、こうした脆弱性を突いたものが少なくありません。社内に1台でも脆弱性が残されている端末や機器があれば、組織全体が脅威にさらされてしまいます。
システムに脆弱性が生じる典型的なパターンが、OSやソフトウェアのアップデート漏れです。最新のアップデートプログラムが配布されているにもかかわらず、業務が忙しく時間が確保できないといった理由などからアップデートが行われないケースは十分にあります。OSやソフトウェアのアップデートには、直近で発覚したシステムの脆弱性を修正する目的も多いので、古いバージョンのOSやソフトウェアを使い続けていること自体がセキュリティリスクとなるのです。
情報漏洩を防ぐための対策
情報漏洩を防ぐには、具体的にどのような対策を講じる必要があるのでしょうか。特に重要度の高い3つの対策について見ていきます。
セキュリティソフトウェアの導入
サイバー攻撃や不正アクセスといった外部からの脅威に備える上で、セキュリティソフトウェアの導入は基本的な対策の一つです。セキュリティソフトウェアを活用することにより、不審な通信やデータのやりとりが検知された際にアラート通知されるなど、異変にいち早く気づきやすくなります。セキュリティソフトウェアによっては、異常を検知すると同時に安全性が確認されるまで通信を自動で遮断することも可能です。結果として、情報漏洩に発展する前の段階で攻撃を阻止したり、攻撃の初期段階で通信を遮断することで被害を最小限に食い止めたりすることができます。
サイバー攻撃の手口は巧妙化しています。セキュリティソフトウェアの定義ファイルはサイバー攻撃の動向に応じて更新されていくため、セキュリティソフトウェアを最新の状態に維持することが情報漏洩への有効な対策となります。すでにセキュリティソフトウェアを導入している企業においても、定義ファイルが最新の状態に保たれているか今一度確認しておくことをお勧めします。
社員の意識改革
情報漏洩を防ぐには、システムなど仕組みの面から対策を講じるのと同時に、システムを利用する社員の意識改革を図っていくことも重要です。セキュリティ対策に対する関心が薄かったり、情報漏洩のリスクに対して意識が低かったりすれば、システム面からどれほど対策を講じても防ぎきれないでしょう。一例として、次に挙げるようなルールを設け、周知徹底を図っていく必要があります。
情報漏洩を防ぐセキュリティ対策ルール
- 業務に必要なWebサイト以外にはアクセスしない
- 許可されているソフトウェア以外はダウンロードしない
- 許可なく端末や記録媒体を社外に持ち出さない、社内へ持ち込まない
- 送信元や件名に不審な点が見られるメールは開かない
- メールの添付ファイルは目的が明確なもの以外は開かない
- メールを送信する際には送信先のアドレス、送信内容を十分に確認する
これらの対策に加え、定期的に情報セキュリティ研修や勉強会を開催し、従業員に情報漏洩を未然に防ぐための意識づけをしていくことも大切です。ルールを定めるだけでなく、なぜルールを守る必要があるのかを理解してもらい、従業員の意識改革を行います。
IDとパスワードを適切に管理する
不正アクセスの被害が発生する大きな要因として、ログインIDやパスワードの漏洩が挙げられます。システムへのログインIDやパスワードを口外しないのはもちろんのこと、容易に推測できる文字列にしないことなど、基本的な対策を徹底することが大切です。
また、ログインIDやパスワードを使い回したり定期的にパスワードを変更したりする対策についても従業員任せにせず、管理者が明確な指針を示す必要があります。コンピューターを使い終わったら必ずシステムからログオフし、第三者による不正利用のリスクを抑制することも欠かせない対策です。ログオフのし忘れを防ぐには、一定時間操作されていない端末は自動でログオフする機能を備えたクライアント運用管理ソフトウェアを導入するのも一つの方法といえます。ログインIDやパスワードの適切な管理を徹底すると同時に、システム面においても不正利用を防止していくことが重要です。
情報漏洩を防ぐ安全・安心なセキュリティ対策を
今回ご紹介した事例からもわかるとおり、情報漏洩は日常業務のささいな判断ミスや操作ミスなどによって引き起こされます。情報漏洩につながりかねないリスクの高い行動を把握するとともに、情報漏洩を未然に防ぐための対策を適切に講じていくことが大切です。情報漏洩を防ぐには、サイバー攻撃など外部からの脅威に加え、人為的ミスや内部不正といった内部の脅威にも備えていく必要があります。組織内外の脅威に適切な対策を講じたい事業者様には、Sky株式会社のクライアント運用管理ソフトウェア「SKYSEA Client View」の導入がお勧めです。
「SKYSEA Client View」は、サイバー攻撃など外部からのリスクへの備えとなるのはもちろん、人為的なミスや内部不正にも対策を講じられるセキュリティ機能を備えています。例えば、ファイル共有ソフトなど許可していないアプリケーションのインストールや、社内データの外部への持ち出しなどを検知したりすることが可能です。また、業務に不要なWebサイトの閲覧を禁止したり、指定したWebサイトのみの閲覧を許可したりすることもできます。あらかじめ指定した枚数以上の印刷が一度に行われた場合に、アラートで通知する機能もあるので、データに限らず、紙媒体での情報持ち出しのリスクについても軽減できます。
セキュリティ対策を強化し、情報漏洩のリスクに備えたい事業者様は「SKYSEA Client View」をぜひご利用ください。
お問い合わせ・カタログダウンロード
「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから