情報流出の原因や対策とは? 社員の入退室を管理するシステムについて詳しく解説
【監修】株式会社ジオコード マーケティング責任者
渡辺 友馬
情報流出で企業の機密情報や個人情報が外部に流れてしまい、トラブルが起きる事件が増加しています。企業から流出した情報の内容や規模によっては、多額の損害賠償を請求される場合もあるほか、企業経営や信用性に影響を及ぼすリスクがあります。
この記事では情報流出が起こる主な原因から影響、リスク、具体的な被害事例を解説します。セキュリティを強化し、情報流出の防止に役立つ、社員の入退室を管理するシステムなど効果的な対策も紹介しているのでぜひ参考にしてください。
【2024年】おすすめの入退室管理システム
scroll →
| サービス名称 | 特徴 | 初期費用 | 月額費用 | 導入期間 | サポート体制 | 機能 |
|---|---|---|---|---|---|---|
カギカン
|
|
無料 | 4,500円~ | 最短3日 |
メールサポート 備品無料交換 導入オンラインサポート 製品無料交換 |
|
RemoteLOCK
|
|
100,000円~ | 1,650円~ | 要お問い合わせ | 要お問い合わせ |
|
iDoors
|
|
583,000円~ | 11,000円〜 | 最短1カ月 | サポート窓口あり |
|
| SECURE AC |
|
有料 or デバイスと取付工事により変動 |
10,000円~ | 要お問い合わせ | 要お問い合わせ |
|
| bitlock PRO |
|
無料 | 5,000円~ | 要お問い合わせ | 要お問い合わせ |
|
| Akerun |
|
無料 | 要お問い合わせ | 最短3日 |
24時間サポート 製品無償交換 |
|
| BIVALE |
|
要お問い合わせ | 7,500円~ | 要お問い合わせ | 要お問い合わせ |
|
この記事の目次はこちら
情報流出とは?
情報流出とは企業や組織の機密情報や、顧客や従業員などの個人情報が外部に流出してしまうことです。
次からは情報流出と情報漏えいとの違いも説明し、個人情報に該当する情報や、個人識別符号の概要や特徴についても詳しく記載します。
情報漏えいとの違いは?
情報流出と情報漏えいは意味や使い分けもあいまいで、どちらも同じような意図で使われることが多いようです。
ただし流出と漏えいは意味がやや異なります。流出の方が漏洩(ろうえい)よりも幅広い意味や対象で使われます。流出は、内部のものが流れて出て行ってる状態を指し、情報以外にも技術や人材が別の場所に移動しているケースでも使われます。一方漏えいは、情報など外部に知られてはいけない秘密が漏れている場合を指します。個人情報保護法では漏えいが使用されています。
また情報流出は、情報が自分たちの組織で管理できない場所に流れ出てしまっている状態のみを指すのに対し、情報漏えいは悪用される恐れのある第三者へ情報がすでに渡っている状態のニュアンスを含む表現です。情報流出した情報を第三者が手に入れて利用する前に適切に削除・回収などの対応ができていれば、情報漏えいには当たらないと表現するケースもあるでしょう。
個人情報の流出とは?
個人情報の流出は、企業や組織が収集した個人のプライバシーな情報が外部から閲覧できる状態を指します。一般に、特定の個人を識別できる情報を個人情報と呼びますが、複数の情報を合わせることで個人を識別できるデータも個人情報に分類されます。
個人情報として管理される情報は、以下のような内容が該当します。
| 個人情報 | ・住所 ・氏名 ・生年月日 ・電話番号 ・メールアドレス ・顔写真 ・アカウントID |
「個人識別符号」と呼ばれる情報も個人情報として当てはまるため、取り扱いには注意が必要です。個人識別符号とは、法令や規則で定められた特定の個人を識別するために振り分けられた番号・記号・符号のことで、以下のようなものが含まれます。
| 個人識別符号 | ・顔認証データ ・指紋認証データ ・音声(声紋) ・虹彩 ・パスポート番号 ・基礎年金番号 ・免許証番号 ・マイナンバー ・保険者番号 |
企業の情報漏えいは増加傾向! 事例や動向
企業の抱える重要な情報を狙った情報漏えい事件は年々増加中で、2023年にはこれまでの最多記録を更新(※)しました。漏えいした情報内容や被害の規模によっては多額の損害賠償を請求される可能性もあり、企業に致命的な影響を与えるケースもあります。
ここからは個人情報流出に関する、国内の動向や被害事例、影響などを解説するので管理の強化を検討する際は参考にしてください。
出典:株式会社東京商工リサーチ.「2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」.https://www.tsr-net.co.jp/data/detail/1198311_1527.html ,(2024-7-15).
上場企業の個人情報漏えい・紛失が過去最多に
DX(デジタルトランスフォーメーション)の推進による、デジタル技術を活用した働き方やサービスが増加したこともあり、個人情報漏えいのようなセキュリティ事故が多発しています。
2024年に公表された株式会社東京商工リサーチの調査結果によると、上場企業と子会社が公表した個人情報の漏えい・紛失事故の件数は175件でした。前年よりも6%増加し、2012年に調査を始めてから最多件数となります。
漏えいした個人情報の人数も2023年は、40,908,718人分と過去最多で、前年の約7倍にも上ります。個人情報が流出する経路は不正アクセスやウイルス感染といった外部攻撃が主であり、2023年に生じた原因の半分以上の割合を占めました。(※)
※出典:株式会社東京商工リサーチ.「2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」.https://www.tsr-net.co.jp/data/detail/1198311_1527.html ,(2024-7-15).
情報流出や漏洩の事例を紹介
情報流出や漏えいの有名な事例を2つご紹介します。
まず1つ目は、2021年5月に提訴された内部不正です。通信キャリア間での転職の際に発生した事例で、元社員が辞職を申し出た日から実際に退職する日までの間で内部のデータを持ち出しました。会社用から私用のメールアドレスに170ものファイルを送信するという至ってシンプルな方法です。
元社員は不正競争防止法違反の疑いで逮捕されたとともに、1,000億円規模の損害賠償が元所属会社から元社員と転職先に請求されました。また持ち出したファイルの使用・開示の差し止めと廃棄、内部不正により得た設備の使用禁止を求める訴訟を起こしています。
2つ目ですが、2022年3月に製菓会社が複数のサーバーに対する不正アクセスにより、通信販売事業の顧客情報が流出した可能性があると報告をした事例です。インターネット回線に設置したネットワーク機器の脆弱性が悪用された要因の可能性が高いとのことでした。
こちらでは最大1,648,922人にも及ぶ個人情報が流出した可能性があると報告されています。複数のサーバーが障害を起こしたことで、第三者が不正アクセスをしたことが明らかとなりました。同社は不正アクセスされたインターネット回線の遮断を行い、再発防止に取り組むとしています。
個人情報保護法の改正・施行以降の影響
2024年4月に令和6年改正の個人情報保護法が施行され、個人情報の取り扱いがさらに厳格化されました。
個人情報の流出が発生したことで「個人の権利や利益を害する恐れが大きい」と判断された場合の個人情報保護委員会への報告・本人への通知の対象が拡大されています。個人情報保護法施行規則第7条によると、以下のような事態に該当した際、報告義務が生じます。
- 配慮が必要な個人情報の漏えい
- 財産的な被害が発生するおそれのある個人情報漏えい
- 不正な目的によるおそれがある個人情報漏えい
- 1,000件を超える個人情報漏えい
報告や通知を怠ったり、不正にデータベースを利用したりした企業を含む法人に対しては、法令違反として罰金を命じるなどペナルティの強化も行われています。ウェブスキミング対策のほか、組織的な犯罪を防止するための抑止力となることが期待されています。
情報流出するとどうなる?影響や被害
個人情報や企業情報が流出した場合、実際にはどのような事態が発生するのでしょうか。想定される影響や被害、リスクを解説します。
個人への影響と被害
個人情報が流出すると、本来の利用目的以外の目的で情報が悪用される可能性が生じます。
IDやパスワードなどの情報流出で、アカウントの乗っ取りやなりすましによるサービスの不正利用がされる事態もあります。パスワード情報が流出した結果、クレジットカードなどが不正利用され、個人に金銭的な被害が生じる場合もあります。
個人情報が他の犯罪に利用されることも考えられ、詐欺の標的にされてしまうケースもあります。
企業の法的責任や損害
個人情報を扱う全ての事業者は「個人情報取扱事業者」として個人情報保護法を遵守することが求められます。管理している個人情報が漏えいしたおそれがある場合、個人情報保護委員会に報告・本人へ通知することが2022年4月より義務化されました。
個人情報保護法が定める法令に違反した場合、ペナルティとして罰金が科せられます。
例えば「個人情報データベースなどを不正提供した」個人には1年以下の懲役又は50万円以下の罰金が、法人には1億円以下の罰金が科せられます。また「個人情報保護委員会の改善命令にも違反した」場合、個人には1年以下の懲役または100万円以下の罰金が、法人には1億円以下の罰金が科せられます(※)。
またペナルティによる罰金以外にも、事件の調査・対策における時間や金銭的なコストが嵩むケースが多いです。
※出典:個人情報保護委員会.「個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。」.https://www.ppc.go.jp/all_faq_index/faq1-q11-1/ ,(2024-7-15).
損害賠償請求のリスク
顧客や従業員の個人情報が漏えいすることで、損害賠償を請求されるリスクが発生します。流出した個人情報の内容や規模によっては、高額な損害賠償を請求される可能性は留意しておきましょう。
実際に顧客データに不正アクセスされたことで、顧客の資産が不正に外部へ送金され、高額な損害賠償が発生したケースもあります。
一人当たりの損害賠償が数百円~数万円であっても、漏えいした人数が膨大である場合は、総額が大きく膨らんでしまうことにもなります。
多額の損害賠償を支払わなければならないことで、経営が圧迫されて倒産してしまう致命的なリスクも覚悟しておく必要があります。
社会的な被害や事後対応も山積み
個人情報を流出させてしまうと、社会的信用の低下も避けられません。安心して契約・サービスを利用するためには、企業への信用は不可欠です。信用を失うことにより、ビジネス機会の損失はもちろん、顧客の減少・契約の打ち切りなどさまざまな損害が発生する可能性が考えられます。
漏えい後の事後対応に追われることによる業績の悪化や損害も懸念されます。採用活動も応募者が増えないなど、新入社員の採用にも影響を及ぼすでしょう。
また情報漏えいした企業の多くが、株式評価の低下という事態を招いています。情報漏えいが発生すると、信頼回復まで企業内でも多くの被害や対応が求められるため、企業にとっても大きなリスクを背負うことになります。
情報流出の主な原因
情報が流出してしまう主な原因を3つ紹介します。情報漏えいを引き起こさないためにサイバーリスク低減や原因別の対策として考えられるものも合わせて記載しているので、参考にしてください。
内部関係者の不正
情報流出の代表的な原因の一つとして、内部関係者の不正があります。企業の内部関係者(従業員、業務委託先、取引先含む)が入手した情報を不正に持ち出したり、退職者が社内情報や企業機密を盗み、転職先に流用したりすることが内部不正にあたります。情報の消去・破棄・破壊・悪用も内部不正に該当します。
内部不正による情報漏えいは、意図的に行われることが多いです。目的としては自身の利益・評価のためや、企業に対する報復であることが考えられます。
内部不正を防止する対策は、アクセスログを監視することに加え、アクセス権限の最小化も有効です。内部不正のアラート通知や入退室管理ツールの導入も防止に繋がります。
人的ミス(ヒューマンエラー)
人的ミス(ヒューマンエラー)も情報流出の一因です。内部不正の漏えいとは異なり、人的ミスの場合は、意図せず情報が漏れてしまうケースを指します。
メールの宛先を間違える、CCとBCCを間違えるなどのシンプルなミスでも、機密情報を送信してしまうと、情報漏えいになります。他にも会社のパソコンやスマートフォン、USBなどを紛失したり、飲食店や電車に置き忘れたりすることも人的ミスに含まれます。
従業員へのセキュリティ研修・教育の実施は、情報漏えい対策として有効な方法の一つです。他にも情報ガイドラインの策定やデータ暗号化・パソコンの持ち出し禁止など物理的な施策も効果があるでしょう。
外部攻撃による被害
外部攻撃には、ハッキングやマルウェア感染などのサイバー攻撃が該当します。マルウェアとは「悪意あるソフトウェア」の総称であり、感染して情報が漏えいした事例は年々多くなっています。
マルウェアへの感染経路はさまざまですが、攻撃もセキュリティの脆弱性を狙った攻撃や、ばらまき型と呼ばれる不特定多数を狙った攻撃、特定の標的を狙う標的型の攻撃など、多岐に渡ります。
外部からの攻撃を防ぐには、セキュリティソフトウェアや侵入検知システムの導入を実施することが有効です。また従業員へのセキュリティ意識を向上させることも感染防止対策になります。不審なメール・URLは開かないことなどのルールを徹底する、OSやソフトウェアをこまめにアップデートする指導も、予防に繋がります。
情報流出を防ぐ対応策:社員の入退室管理ツール
上記で紹介した情報流出の主な原因の中から、特に企業の内部不正や人的ミスによる情報漏えいの対策として有効なツールを紹介します。情報漏えいを防ぐためのツールを導入しようと検討している方は、参考にしてください。
内部不正の情報流出とは
上記で解説したように、内部不正による情報流出はデータの持ち出しや退職者による窃取・漏えい、消去・破棄、破壊・悪用などが考えられます。
退職者が転職先から得られる利益や高評価のためにデータを盗むケースや、社内の人間関係トラブルや不満を理由にデータを持ち出すなど、内部不正を行う動機は多様です。背景としては本人の金銭問題や、会社への復讐心があることが推測できます。
内部不正や人的ミスに起因する情報漏えい対策は、情報セキュリティの強化が必須です。契約時に秘密保持契約を締結することも、対策として取り入れられることが多いです。
またIT資産管理ツールやMDMツール、入退室管理ツールを導入することも有効な対策です。
- IT資産管理ツール…ハードウェアやソフトウェア、通信回線などのライセンスやアカウントなど、IT関連の資産を管理するツール
- MDMツール(モバイル端末管理ツール)…仕事で利用するパソコンやスマートフォンを一元管理するツール
- 入退室管理ツール…利用者や利用日時なを一元管理するツール
企業間や顧客からの信頼を失うリスクを避けるためにも、情報漏えい対策に有効なツールを導入するのがおすすめです。
社員の入退室をツールで管理
「いつ」「誰が」「どこに入退室したか」「滞在時間はどのくらいか」を管理できるツールを導入することで、企業のセキュリティレベルの飛躍的な向上が期待できます。
入退室管理システムは社員の勤怠管理にも使用できますが、入退室状況の管理・追跡や利用可能な人物・日時の制限、権限付与のコントロールが可能です。社員以外の人物による不法侵入を防ぐことに加え、社員でも許可されていない時間・場所への入退出を制限・管理できるため社内のセキュリティ対策を強化できます。さまざまな企業や施設での導入が進んでるシステムです。
情報が流出したことが判明した時点で、すぐに情報が保管されている場所の入退室履歴を確認が可能なため、早めに対応すれば被害を最小限に留めることに期待できます。
サービスによっては、顔認証システムを導入しているシステムもあるため、顔写真を記録として残すことで内部不正に対する心理的なハードルを上げ、防止することに繋げられます。低コストで導入できるサービスも増えているため、情報漏えいが発生するリスクや被害と比較して導入を検討するのがおすすめです。
情報流出させないために十分な対策を
個人情報や企業情報を流出させると、甚大な影響や被害が発生します。漏えいした内容や規模によっては損害賠償を請求されることもあり得ます。自社のセキュリティレベルを見直し、万全な対策を講じましょう。
内部不正のような内部要因の情報流出を防ぐには、社員や部外者の入退室を管理・制限するシステムの導入がおすすめです。複数社のサービスを比較・検討して、自社に合った入退室管理ツールを採用してください。
【2024年】おすすめの入退室管理システム
scroll →
| サービス名称 | 特徴 | 初期費用 | 月額費用 | 導入期間 | サポート体制 | 機能 |
|---|---|---|---|---|---|---|
|
カギカン
|
|
無料 | 4,500円~ | 最短3日 |
メールサポート 備品無料交換 導入オンラインサポート 製品無料交換 |
|
|
RemoteLOCK
|
|
100,000円~ | 1,650円~ | 要お問い合わせ | 要お問い合わせ |
|
|
iDoors
|
|
583,000円~ | 11,000円〜 | 最短1カ月 | サポート窓口あり |
|
| SECURE AC |
|
有料 or デバイスと取付工事により変動 |
10,000円~ | 要お問い合わせ | 要お問い合わせ |
|
| bitlock PRO |
|
無料 | 5,000円~ | 要お問い合わせ | 要お問い合わせ |
|
| Akerun |
|
無料 | 要お問い合わせ | 最短3日 |
24時間サポート 製品無償交換 |
|
| BIVALE |
|
要お問い合わせ | 7,500円~ | 要お問い合わせ | 要お問い合わせ |
|
