更新日:2024/07/19
情報漏洩のリスクとは? 発生理由や原因、企業が行うべき対策を徹底解説
【監修】株式会社ジオコード マーケティング責任者
渡辺 友馬
情報漏洩はさまざまな情報を取り扱う企業にとって、避けるべき事態です。社内のセキュリティを適切に強化するためにも、情報漏洩により生じるリスクについて広く正しく知っておくことが大切です。
この記事では情報漏洩によって起こるリスクや影響を解説します。情報漏洩の主な原因や実際の事例、対策やマネジメント方法も網羅して説明しているので、社内の情報セキュリティ強化を検討する際に参考にしてみてください。
【2024年】おすすめの入退室管理システム
scroll →
| サービス名称 | 特徴 | 初期費用 | 月額費用 | 導入期間 | サポート体制 | 機能 |
|---|---|---|---|---|---|---|
カギカン
|
|
無料 | 4,500円~ | 最短3日 |
メールサポート 備品無料交換 導入オンラインサポート 製品無料交換 |
|
RemoteLOCK
|
|
100,000円~ | 1,650円~ | 要お問い合わせ | 要お問い合わせ |
|
iDoors
|
|
583,000円~ | 11,000円〜 | 最短1カ月 | サポート窓口あり |
|
| SECURE AC |
|
有料 or デバイスと取付工事により変動 |
10,000円~ | 要お問い合わせ | 要お問い合わせ |
|
| bitlock PRO |
|
無料 | 5,000円~ | 要お問い合わせ | 要お問い合わせ |
|
| Akerun |
|
無料 | 要お問い合わせ | 最短3日 |
24時間サポート 製品無償交換 |
|
| BIVALE |
|
要お問い合わせ | 7,500円~ | 要お問い合わせ | 要お問い合わせ |
|
情報漏洩とは?
情報漏洩(じょうほうろうえい)は、企業が社内に留めておかなければならない重要な機密情報や個人情報が、外部に漏れてしまう状況を指します。
情報が外部に漏れることで、企業間や顧客からの信用の低下は避けられません。また漏洩した情報の内容や規模次第では、高額な損害賠償請求をされる場合もあります。損害賠償の支払いや信用回復のための事後対応などにより経営が圧迫され、倒産に追い込まれる可能性も考えられます。
そのため情報漏洩によって生じる影響・被害などのリスクや、セキュリティ対策強化の重要性を充分に理解し、万全な対策を講じる必要があります。
漏洩を避けたい3種類の情報
企業が抱える情報の中でも特に漏洩を避けたい情報は、個人情報・顧客情報・機密情報の3種類です。
2022年4月から個人情報保護法により「個人情報が漏洩した」または「漏洩した恐れがある」場合は、個人情報保護委員会への報告と本人への伝達が義務化されるようになりました。
一方で新製品の開発情報や企業秘密など、機密情報の漏洩は公表する義務は発生しないため、新製品を発表する前に、競合他社が自社の情報を基に作成した類似品を先に発表してしまうケースも起こり得ます。万が一漏洩が発覚した際は、企業間の話し合いで解決を計るケースが多いですが、損害はかなり大きなものになるでしょう。
個人情報も企業秘密もどちらも漏洩した際の被害は甚大であるため、それを踏まえて十分な情報セキュリティ対策を講じる必要があります。
情報漏洩件数が昨今増加傾向
デジタル技術を活用した働き方やサービスが増加したことによって、2023年の「個人情報漏えい・紛失事故」の件数は、過去最多の175件を記録しました。2022年よりも6.0%増加した結果です。流出・紛失した個人情報も約4,090万人分と過去最多であり、前年よりも大幅に増えました。
東京商工リサーチによると2012年の調査開始時から2023年までの調査で合計約1億6,662万人分の個人情報が漏洩・紛失した恐れがあるとされています。
2023年に報告のあった漏洩事故の多くは、不正に大量の個人情報を従業員が持ち出し、第三者に対して流出させたことが原因でした。社内における管理体制の構築や内部統治の徹底が焦点となっています(※)。
※出典:株式会社東京商工リサーチ.「2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」.https://www.tsr-net.co.jp/data/detail/1198311_1527.html ,(2024-7-15).
情報漏洩の主なリスク
情報漏洩が発生した場合に考えられる主なリスクを5点にまとめて解説します。情報漏洩するとどのような事態になるのか、具体的な影響や被害の詳細を知っておくことでトラブルを避けることに繋げられるでしょう。
情報の悪用による被害のリスク
情報漏洩によって第三者にIDやパスワード、メールアドレスなどの個人情報が渡ると、悪用されるリスクが発生します。具体的にはクレジットカードの不正利用やアカウント・サービスの不正利用をされる恐れがあります。金銭的な被害が生じると、被害が、注意が必要です。
別の犯罪に利用されることもあり、オレオレ詐欺や架空請求の標的にされてしまうリスクも考えられるでしょう。
企業情報を利用した、企業のSNSアカウント乗っ取りの発生や、なりすましによるメールの拡散などのリスクが懸念されます。Webサイトの脆弱性を攻撃して不正ログインされることで、内容を勝手に改ざんされてしまう被害の発生も考えられます。ユーザーをマルウェア感染させるWebサイトに変更されるケースもあり、被害を広げないためにも情報セキュリティの強化が必要です。
企業の機密情報が漏洩した場合のリスク
企業の営業戦略や開発中の製品に関する情報が外部に漏れることで、自社が企画していた商品の類似品を先に作成されてしまう可能性があります。性能はもちろん、発売日や価格、広告戦略なども競合企業に有利な形で出し抜かれてしまうリスクもあります。
個人情報は報告や通知が必要になるのに対し、企業の機密情報が漏洩した場合の報告義務はありません。よって企業機密の漏洩が発覚した場合は、企業間の話し合いで解決させることがほとんどですが、ダメージは甚大です。
事後対応に時間やコストが発生するリスク
個人情報や企業情報の漏洩が発覚した場合、被害を拡大させないために対策本部を設置し、事故の調査や対策を講じる必要があります。本来の業務を停止して事後対応に追われるリスクも想定されます。
原因の究明にかかる費用だけでも高額になることが多く、数十万~数百万円程度の費用が必要になります。さらに再発防止対策にも多大な時間や費用、人員が必要になり、人的・金銭的コストが嵩むリスクが生じます。
外部への報告や謝罪の方法などを適切に行うためのコンサルティングを依頼する場合は、コンサルティング費用も発生するでしょう。他にもコールセンターの設置やDM作成・発送、法律相談、被害範囲の調査費用などが必要になる可能性もあります。
賠償など金銭的損失や刑事罰の発生のリスク
2024年4月に施行された改正個人情報保護法では、情報漏洩などが発生したときの個人情報保護委員会への報告義務と本人への通知義務の対象が拡大されています。
2022年からは情報漏洩した際の措置命令とペナルティが強化されています。個人情報保護委員会からの措置命令を守らなかった場合、個人であれば1年以下の懲役または100万円以下の罰金、企業は1億円以下の罰金が科せられることもあります。
また漏洩した情報の内容や規模によっては高額な損害賠償を請求される可能性があります。一人ひとりへの損害賠償が少額だった場合でも、漏洩した規模によっては莫大な金額を支払わなければならないこともあるため、注意が必要です。
社会的な信用低下などの二次リスク
企業が情報を漏洩させてしまうと、顧客や取引先からの信用が低下することは避けられません。セキュリティ対策が不十分で、情報管理を任せるのは危険な企業だと判断されてしまうと重要な顧客が離れてしまい、取引ができなくなる事態を招くこともあります。
漏洩したことや対応の遅れなどがSNSで評判になると、顧客や取引先以外からのイメージも悪化してしまい、株価が低下することも懸念されます。多くの人が利用しているSNSでは、情報があっという間に広がるでしょう。
社会的な信用の低下は従業員の不安や不信につながり、企業の業績悪化や存続が危ぶまれるといった二次リスクも発生します。情報漏洩が発生した時は初動対応を誤らないことが肝心です。
情報漏洩の主な原因
どのような経路で情報は漏洩してしまうのでしょうか。対策を講じる際に参考になる主な情報漏洩の原因を、大きく4つに分けて解説します。
外部からの被害(サイバー攻撃、ウイルスやマルウェア、盗難など)
サイバー攻撃やウイルス・マルウェア感染、盗難などの外部からの悪意ある攻撃によって、情報が漏洩してしまうケースが増えています。単独犯や組織による攻撃など、犯人や動機はさまざまです。金銭問題が原因の場合もあれば、社内への不満が原因の場合なこともあります。
外部からの被害の中でも、一般的に行われている攻撃は以下のとおりです。
- ウイルス・マルウェア感染
- サイバー攻撃による不正アクセス
- フィッシング被害、盗難など
ウイルス・マルウェアへの感染は、メールやチャットなどに添付されているファイルを開くことで感染するのが一般的です。
不正アクセスはサーバー攻撃の一種で、サーバーの脆弱性を利用して情報システムに侵入し、情報を盗んだり改ざんしたりします。
フィッシングは、偽サイトを使用してしまうことで情報を抜き取られてしまうという手法です。紙やUSBなどの媒体を盗まれてしまう盗難も外部被害の一つです。
サイバー攻撃手法は、ますます巧妙化しているため、常に最新情報を把握しておく必要があります。
内部からの被害(内部不正、無断持ち出しなど)
内部からの被害とは、従業員や関係者などが意図的に情報を外部に持ち出すことで情報漏洩が発生することです。顧客や従業員の個人情報を売却したり、企業の内部情報を競合他社に渡したりする無断持ち出しや、会社用から私用のメールアドレスへ情報を送る内部不正などで情報が漏れてしまうケースがあります。
内部不正や無断持ち出しは発覚すると社会的な影響が大きく、顧客や取引先のみならず社会からの信頼の失墜などリスクが甚大です。
内部からの被害が発生する理由として、個人の経済的な困窮や企業への不満があったことが主に挙げられます。企業への不満を募らせた結果、報復として情報漏洩を行ったケースも発生しています。他社の機密情報や技術・知識を入手するために送り込まれた産業スパイによる犯行であるケースもあります。
ヒューマンエラー(誤送信や誤操作、紛失や置き忘れなど)
ヒューマンエラー(人為的なミス)は誤送信や誤操作、誤投稿など、情報を取り扱う人の不注意や知識不足などが原因のものであり、故意による漏洩ではありません。しかし情報漏洩が起きてしまう主な原因の一つです。
従業員や関係者によるパソコンやUSB、SD、紙などの情報が記録されている媒体の紛失・置き忘れといった、不注意や管理ミスによって発生することもあります。担当者がデータの破棄・消去を怠ったまま廃棄したことで、情報が流出してしまうケースもあるため、廃棄するときはデータを完全に削除できたのかの確認が重要です。
システム管理の不備や情報セキュリティ対策不足も要因になるため、社内の情報共有や教育体制の改善など、早めかつこまめな対策実施が必須となるでしょう。
共連れ
共連れとは入退室の許可を得ている人がドアやゲートを開けたタイミングで、立ち入りを許されていない人が同時に入退室する行為を指します。情報漏洩を含むセキュリティ対策の観点からも問題視されている不正侵入行為です。
共連れには意図的に許可のない第三者を招き入れる場合と、第三者が勝手に侵入する場合があります。許可のない第三者の入退出状況は記録として残らない中で、情報漏洩やシステムの不正操作を招く危険性もあるため、徹底した共連れ防止策が必要です。
対策としては、セキュリティゲートや防犯カメラの設置、アンチパスバックという退室を強化したシステムや入退室管理システムの導入が効果的です。
情報漏洩の事例
情報漏洩の主な原因別に、実際に起きた事例を紹介します。情報漏洩を未然に防止するため、事例を確認することで、自社でも似たような事故が起きる可能性がないか確認できます。
【内部不正】情報漏洩の事例
2023年に、ある自治体からの業務委託でパスポート発行窓口の受付業務を行っていた職員が、業務中に知り得た個人情報を付箋に書き写して外部に持ち出して逮捕されたという事件が発生しました。持ち出された情報は約1,900人分で、付箋以外にも録音やコピーなどを利用した可能性もあります。個人情報が第三者に流出したという確認はされていません。
業務委託業者による持ち出しだったため、契約時に個人情報管理について徹底することに加え、入退室管理が徹底されていれば防げていた事態であり、途中で発覚しても特定も早かったことが考えられます。
【外部攻撃】情報漏洩の事例
2023年、ある研究機関が数か月に渡りサイバー攻撃を受けたことで、研究機関が管理する技術に関する貴重な情報が閲覧された可能性があることが判明した事例があります。
不正アクセスされたことに関連する一部のネットワークの遮断を行ったうえで、機密性が高い情報が漏洩した可能性は低いと報告しています。
研究機関のネットワークを一元管理しているサーバーが不正アクセスを受けたことで、攻撃者が幅広い内部情報にアクセスができたのではないかとされています。
【人的ミス】情報漏洩の事例
2023年に、ある企業が運営・管理するサービスやアプリに登録している利用者や取引先企業、従業員、採用候補者の個人情報を含んだファイルが、インターネット上で閲覧できる状態になっていたことが判明しました。最大で93万人以上の個人情報が漏洩した可能性がある事例です。
誤操作により1,369件のファイルに対して、リンクを知っているユーザー全員がそれらのファイルを閲覧可能な設定にしてしまっていたことが原因だと報告されています。
情報漏洩を防ぐための対策
情報セキュリティ対策や、マネジメントをするうえで参考になる対策を紹介します。サイバー攻撃手法の巧妙化や悪質化が進み、企業に悪影響を与えるリスクは高まっています。サイバーリスクを低減させ、セキュリティの向上や厳重な対策を検討中の方はぜひ参考にしてください。
情報セキュリティ教育の充実
情報漏洩が起こる原因のうち、多くの割合を占めているのは従業員の人為的なミスです。情報漏洩に対する知識の少なさや、意識の低さが原因だと考えられます。
人為的なミスによる情報漏洩を減らすには、情報漏洩に関する最新情報や知識、リスクを全ての従業員が理解し、セキュリティ意識を高めることが重要です。
社内の情報セキュリティ教育を充実させることが有効な対策です。eラーニングによる教育や情報セキュリティ研修・コンプライアンス研修などをこまめに行うことで、従業員一人ひとりの意識向上を狙えるでしょう。
セキュリティ対策ガイドラインを徹底する
中小企業であれば、IPA(独立行政法人情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」の最新版を常に社内で共有することも有効な対策の一つです。ガイドラインは、経営者編と実践編の2部編成で、セキュリティ対策を行う手順や理解しておくべき指針が記載されています。
テレワークを安心して遂行するためのポイントや、サイバー攻撃を受けたり、情報が流出してしまったりした際の対応も明記されています。
最新情報に合わせて、改訂や追加が頻繁に行われているため、セキュリティ対策のガイドラインの最終版を共有できていない企業は、早めに確認しましょう。セキュリティ対策ガイドラインに合わせて、社内ルールを徹底・全員が正しく知識をアップデートできるようにする仕組み作りもおすすめです。
社員の入退室をツールで管理
情報が漏洩した場合でも、「いつ」「誰が」「どこに入退室したか」「滞在時間はどのくらいか」を管理できるツールを導入していれば、入退室のログを確認できるため、早めの対策を講じることができます。原因の特定が早くできるため、更なる被害の拡大を防止することも可能です。
社員の勤怠管理として主に使用されることが多い入退管理システムですが、入退室状況の管理も可能です。部屋を利用できる人物や日時を制限できるため、何かトラブルが生じた場合は疑わしい人物の入退室履歴の確認が可能になります。
社員以外の人物が部屋や建物に不法侵入することを防いだり、許可されていない時間・場所へ社員が入退出することも防止できるため、社内におけるセキュリティ対策の強化が期待できます。内部不正に対する心理的なハードルも上げることが可能です。
顔認証システムを導入しているサービスであれば、入退室した人物の顔写真を記録として残すため、さらなるセキュリティレベルの向上が期待できます。
情報漏洩リスクには万全の対策を
情報漏洩の発生原因の多くは人為的なミスによるものです。従業員の情報漏洩によるリスクの知識を深め、セキュリティ対策に対する意識を向上させましょう。社内規定のこまめな見直しと改正や、サイバー攻撃に対する対策もガイドラインに従って適切に行う必要があります。
情報の持ち出しや内部不正による情報漏洩を防ぐためには、社員や外部の入退室を管理するシステムの導入がおすすめです。複数社のサービスを比較して、自社に合った入退室管理ツールを検討してください。
【2024年】おすすめの入退室管理システム
scroll →
| サービス名称 | 特徴 | 初期費用 | 月額費用 | 導入期間 | サポート体制 | 機能 |
|---|---|---|---|---|---|---|
|
カギカン
|
|
無料 | 4,500円~ | 最短3日 |
メールサポート 備品無料交換 導入オンラインサポート 製品無料交換 |
|
|
RemoteLOCK
|
|
100,000円~ | 1,650円~ | 要お問い合わせ | 要お問い合わせ |
|
|
iDoors
|
|
583,000円~ | 11,000円〜 | 最短1カ月 | サポート窓口あり |
|
| SECURE AC |
|
有料 or デバイスと取付工事により変動 |
10,000円~ | 要お問い合わせ | 要お問い合わせ |
|
| bitlock PRO |
|
無料 | 5,000円~ | 要お問い合わせ | 要お問い合わせ |
|
| Akerun |
|
無料 | 要お問い合わせ | 最短3日 |
24時間サポート 製品無償交換 |
|
| BIVALE |
|
要お問い合わせ | 7,500円~ | 要お問い合わせ | 要お問い合わせ |
|
