【事例】個人情報漏えいの対処法・原因・防止策のチェックリストを掲載
人的ミスや外部からのサイバー攻撃などによる個人情報漏えいは、賠償など金銭的な問題だけではなく、企業に対する信頼性の低下など深刻な被害をもたらす危険性があります。そこで今回は、漏えい時の対応フローと、今すぐ実行できる対策について解説します。
この記事で紹介している
サービスはこちら
- 目次
個人情報漏えいが起きる原因「ウイルス感染・不正アクセス」が約6割
株式会社東京商工リサーチの調査によると、2024年の上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の189件におよび、漏えいした個人情報は約1,600万人分におよびました。
また、原因別では「ウイルス感染・不正アクセス」が60.3%と半数以上を占めており、セキュリティ対策の重要性が読み取れます。
出典:株式会社東京商工リサーチ「2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分」
不正アクセスによる情報漏えいの事例
前述の東京商工リサーチの調査では、実際に発生した個人情報漏えい・紛失の事例も紹介されています。
2024年の主な個人情報の漏えい・紛失事故では、東京ガスへの不正アクセス事件での漏えい・紛失人数が最多で、4,163,090人でした。
合わせて、近年はテレワークの普及などにより、利用が拡大しているクラウドストレージなどの「クラウドサービス」への不正アクセスや、外部から社内ネットワークへの不正アクセスなどのケースが増加しています。また、公開範囲の設定ミスなどで情報漏えいが発生しているパターンもあります。
| 社名 | 産業 | 市場 | 理由 | 漏えい・紛失人数 | 内容 |
|---|---|---|---|---|---|
| 東京ガス | サービス | プライム | 不正アクセス | 4,163,090人 | 子会社のネットワークへの不正アクセス |
| 三菱電機 [三菱電機ホーム機器] |
製造 | プライム | 不正アクセス | 2,310,000人 | 情報システムサーバーに外部からの不正アクセス |
| SOMPOホールディングス[損害保険ジャパン] | 金融・保険 | プライム | 不正持ち出し・盗難 | 991,000人 | 保険代理店内で、出向社員による契約者情報が漏えい |
| 東京海上ホールディングス[東京海上日動火災保険] | 金融・保険 | プライム | 不正持ち出し・盗難 | 960,000人 | 保険代理店内で、出向社員による契約者情報が漏えい |
| 積水ハウス | 建設 | プライム | 不正アクセス | 828,168人 | 住宅オーナー向け会員制サイトへのサイバー攻撃 |
| 京葉ガス | サービス | スタンダード | 不正アクセス | 810,000人 | 業務委託先の東京ガスエンジニアリングソリューションズに不正アクセス |
| パーソルホールディングス [パーソルキャリア] |
サービス | プライム | 誤表示・誤送信 | 549,195人 | システム設定の不備 |
| ニデック [ニデックインスツルメンツほか] |
製造 | プライム | 不正アクセス | 402,530人 | 業務システムなどへの不正アクセス |
- ※情報漏えい・紛失件数は「可能性がある」を含む。個人情報の不適切な取り扱いの結果に生じた事例なども対象
出典:株式会社東京商工リサーチ「2024年 情報漏えい・紛失事故 人数上位」
個人情報の管理に十分な注意とコストをかけているはずのプライム市場上場企業でさえ多く漏えい事故を起こしています。そのため、どの企業も徹底したセキュリティ対策が不可欠です。
個人情報漏えいが起きてしまった際の対処方法
セキュリティ対策に「絶対」はありません。最後に、実際に個人情報漏えいが起きてしまった場合の対処方法について説明します。
1.発見
個人情報漏えいの発生を確認したら、まずは情報漏えいの範囲および影響範囲を確認します。また、マルウェア感染など、個人情報漏えいが発生した原因についても調査します。
2.被害拡大防止
被害の拡大を防止するため、システムやアカウントの停止などの緊急対応を速やかに実施します。さらに情報漏えい元が特定できた場合には、サービス提供停止など必要な応急措置を取ります。
3.社内への報告
情報漏えい発見の経緯や、発生原因、実施した被害拡大防止策などについて社内での報告を実施します。また、必要に応じて社内で対策委員会や再発防止委員会を立ち上げます。
4.警察・省庁への報告
個人情報保護法の規定に従い、二次被害を防ぐため個人情報保護委員会などに事実関係および再発防止策などについての報告を行います。
5.被害者への対応
謝罪に加え、個人情報漏えいに対する損害賠償などの対応を行います。また、必要に応じてパスワードの変更、サービス利用の停止などの対策を依頼します。
6.再発防止
同様の被害を防止するため、決定した再発防止策を速やかに実施します。
増加する外部攻撃には6つの個人情報漏えい対策が重要
「不正アクセスによる情報漏えいの事例」で紹介した表にもあるとおり、個人情報が漏えいする理由には「システム設定の不備」など人為的なミスから発生するものもあります。特にマルウェアなどを使った外部からの攻撃を足掛かりとして不正アクセスを受け、個人情報漏えいが発生するケースが増加しています。外部攻撃を防ぐ対策には次のようなものがあります。
1:セキュリティソフトを導入・更新する
最も有効な対策は、セキュリティソフトの導入です。ファイアウォール、WAF、IDS/IPSなどの各種セキュリティ製品により多層防御することで、マルウェア感染、DoS攻撃/DDoS攻撃、SQLインジェクションなど、個人情報漏えいを目的としたサイバー攻撃から自社のネットワークを防御することが可能です。
2:テレワーク利用では強固な認証方式の採用とデバイス制限を行う
近年では在宅勤務など、テレワークを行う機会が増加しました。そのため、社内ネットワークをインターネットから隔離する従来のセキュリティ対策では不十分となるケースも増加しています。社内・社外を区別せず、すべての通信を信頼せず等しく疑って監視する「ゼロトラストモデル」や、セキュリティとネットワークを一体のサービスとして提供する「SASE」(Secure Access Service Edge)などにもとづいたソリューションを導入し、強固な認証方式やデバイス制御によりセキュリティを強化しましょう。
また、無料Wi-Fiは暗号化されていないことが多く、通信内容が漏れ、不正アクセスや、マルウェアに感染するなどの危険性がありますので、外出時にはセキュリティの弱い回線は利用しないようにしましょう。
3:ID /パスワードなどの情報は適切に管理する
多要素認証が普及しつつある現在においても、依然としてID/パスワードの適切な管理は重要です。第三者に教えない、第三者の目に触れるところに放置しない。推測されにくいパスワードを使用する、パスワードの使い回しは避ける、などの対策を取りましょう。また、ファイル共有などを行っている場合には、公開範囲が適切に設定されているかも合わせて確認しましょう。
4:脆弱性チェックとアップデートを定期的に行う
マルウェアなどによる攻撃手段は日々進化しています。自社のシステムに脆弱性がないかを定期的に確認することが重要です。万が一脆弱性が発見され、攻撃を受ける恐れが生じた場合は、システム改修や新たなセキュリティソリューションの導入など、必要な対策を取りましょう。
また、Windowsを始めとする各種OSやアプリケーションでは、既存の脆弱性を塞ぐためのセキュリティパッチが適時公開されています。過去にはセキュリティパッチの適用が遅れたために攻撃を受けた事例も多数報告されています。そのため、アップデートを定期的に漏れなく実施する仕組みを構築しましょう。
5:クラウドサービスのアクセス権限や設定を見直す
各従業員が業務上必要な範囲のデータにのみアクセスできるよう、ユーザー毎に適切に権限を設定しておくことも重要です。万が一、従業員のアクセス情報が悪用されて不正アクセスされた場合にも、被害を最小限に抑えることができます。
誤設定を防ぎ、情報漏えいを避けるためには、CSPM(Cloud Security Posture Management、クラウドセキュリティ態勢管理)の導入も有効です。CSPMはクラウドの設定を継続的に監視し、誤設定を自動的に検出するため、情報漏えいのリスクを低下させることができます。
6:ログ監視と行動制御を導入する
クラウドサーバーには誰が、いつ、どんな操作を行ったかなどの情報が「ログ」として蓄積されています。このログをリアルタイムで監視することで、不正なアクセスをいち早く検知することができます。また、業務に関係のないファイルにアクセス可能となっているような設定ミスやテレワーク下での内部不正なども発見することができます
ログ監視とセットで語られることの多い項目に「行動制御」があります。ログ監視により検出されたアカウントの利用や、アクセス権限を停止したりなどの行動制御により、被害を最小限に抑えることができます。
ログ監視、行動制御は前述したCSPMなどのソリューションで実現できます。
依然として多い人的ミスによる4つの情報漏えい対策
続いて、不注意な行動などの人為的ミスにより発生する個人情報漏えいへの対策について解説します。
1:メール誤送信・添付ファイルミスがないよう仕組み化する
「誤った相手にメールを送信しそうになった」経験は誰にでもあるのではないでしょうか。特に個人情報を含むメールを送信する際には、誤送信を防ぐ仕組みづくりが重要です。
メールの誤送信を防ぐソリューションとして、「メール監視ツール」があります。メール監視ツールには、ポップアップにより宛先のダブルチェックを促す機能、上司の承認を受けてから送信する機能、同一のメールを多数の宛先に送る場合に宛先を「To:」から「Bcc:」に変更する機能などがあります。また、誤送信に気づいた時に取り消せるようメールの送信を一定時間保留する機能、添付ファイルを自動的に暗号化し解凍パスワードを別送する機能などもあります。誤送信・添付ファイルミスを防ぐため、必要に応じてこうしたツールの導入も検討しましょう。
2:端末や資料の取り扱いルールを取り決める
ノートパソコン・社用モバイル端末・個人情報を保存した外部ストレージなどを社外に持ち出すと、紛失や盗難により個人情報が漏えいする恐れがあります。持ち出しを禁止することが一番の対策ですが、やむを得ず持ち出す必要がある場合には上長の許可を得る、持ち出す情報を限定するなど運用をルール化することが必要です。また、遠隔操作でモバイル機器のロックや情報の消去を行うことができるソリューションを導入することも有効です。個人所有の端末や記憶媒体の社内ネットワークへの接続を禁止することも有効な対策です。
3:個人情報を安易に放置しない(物理的な対策)
顧客情報や個人情報が含まれる紙資料は、必ず鍵付きキャビネットや金庫で保管します。
不要になった書類はシュレッダーや溶解処理を利用し、ゴミ箱にそのまま捨てないようにしましょう。過去の漏えい事故では、廃棄書類を第三者が回収し情報が流出する事案が実際に発生しています。
また、カフェ、電車、空港ラウンジなどでは第三者に画面を覗き見されるリスクが高まります。そのため、覗き見防止フィルターをノートPCやタブレットに装着しましょう。
万が一端末を紛失した場合は、遠隔でデータを消去できる運用が有効です。
4:従業員への定期的なセキュリティ教育を行う
個人情報漏えいの防止には、個人情報を取り扱う社員全員で取り組む必要があります。
例えば、個人情報の取り扱いルール、最新の事故事例などの定期的なセキュリティ研修やフィッシングや標的型メールを想定した疑似演習もセキュリティ教育として意識を高めるきっかけになります。
また、「業務上知り得た機密情報の取り扱い」には、第三者へ安易に話さず、日ごろから注意が必要です。IPA(独立行政法人情報処理推進機構)からガイドラインが公開されていますので、これらを積極的に活用しセキュリティ教育を実施しましょう。
個人情報漏えいの対策チェックリスト
外部攻撃や人的ミスから個人情報を守るために、日常的に確認・実施すべき項目をまとめました。個人情報漏えい対策の参考にしてください。
| 分類 | 対策 |
|---|---|
| 外部攻撃による個人情報漏えい対策 | セキュリティソフトを導入・更新する |
| テレワーク利用では強固な認証方式の採用とデバイス制限を行う | |
| ID / パスワードなどの情報は適切に管理する | |
| 脆弱性チェックとアップデートを定期的に行う | |
| クラウドサービスのアクセス権限や設定を見直す | |
| ログ監視と行動制御を導入する | |
| 人的ミスによる情報漏えい対策 | メール誤送信・添付ファイルミスがないよう仕組み化する |
| 携帯端末や資料の取り扱いルールを取り決める | |
| 個人情報を安易に放置しない | |
| 機密情報を不用意に他人に漏らさない | |
| 従業員への定期的なセキュリティ教育を行う |
個人情報漏えいを未然に防ぐサービスを紹介
現在、個人情報漏えいを未然に防ぐための多種多様なソリューションが登場しています。ここでは、その中からNTTPCの提供するサービスをいくつか紹介します。
テレワークにはセキュアアクセスゲートウェイの導入で
外部からのアクセスでも安全・安心・快適なネットワーク環境を実現
NTTPCの「Secure Access Gateway」は、「自社のセキュリティを早期に構築したいが、分からないことだらけ」という中堅・中小企業に向けた、機能も料金も「ちょうどいい」ネットワークの安全対策サービスです。
2019年にGartner社によって定義されたSASE(サシー)のセキュリティモデルにもとづき、ネットワークとセキュリティ機能とを統合し、ゼロトラスト環境に配慮した予防セキュリティ対策をクラウド上で提供します。
クラウドWAFを導入し多層防御でセキュリティを強化する
クラウドWAFセキュリティオペレーションサービス
NTTPCの「クラウドWAFサービス」は、様々な脅威にさらされているお客さまの公開Webサイトのセキュリティ対策を、簡単に手間なく実現するサービスで、コーポレートサイト、ECサイトの運営に従事している企業にお勧めです。
大量トラフィックなどによるDoS攻撃 / DDoS攻撃、OSの脆弱性を狙った攻撃、SQLインジェクション・クロスサイトスクリプティング攻撃など、個人情報漏えいを狙った脅威から自社Webサイトを防御することができます。
まとめ
今回は個人情報漏えいについて解説しました。ひとたび個人情報漏えい事故が発生すれば、事業継続にも直結する問題にも発展しかねません。必要なセキュリティ対策を施す必要があります。
記事内で紹介したとおり、個人情報漏えいの原因には外部攻撃によるもの、人的ミスによるものの2種類があり、それぞれ別の対策が必要となります。
NTTPCでは、個人情報漏えいを防止する支援サービス・ソリューションを多数用意しています。個人情報漏えい対策でお困りのこと、疑問点などがございましたら、是非お気軽に問い合わせください。
※Windowsは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
