【事例あり】個人情報漏洩を防ぐ10の対策と流出原因を紹介
近年急激に増加している「個人情報漏洩」問題。株式会社東京商工リサーチの調査によれば、2021年の上場企業の個人情報漏洩・紛失事故は調査開始以来最多を記録したとのことです。そこで今回は、個人情報漏洩の傾向と対策、対処方法について説明します。
この記事で紹介している
サービスはこちら
- 目次
人為的ミスで起こる個人情報漏洩の対策
「個人情報」とは、氏名、生年月日、住所など、特定の個人を識別できるような重要な情報を指します。
「個人情報漏洩」は企業が保有する個人情報が意図せず第三者の手に渡ることを指し、万一発生した場合には個人情報保護法による罰則を受ける可能性があるほか、社会的な信用が低下したり、顧客に金銭的補償を行う等、近年では事業の存続を脅かす可能性があるセキュリティリスクとして知られています。
では、個人情報漏洩を防止するには、どのような対策が必要なのでしょうか。まずは、不注意な行動など人為的ミスで発生する個人情報漏洩の対策について説明します。
メール誤送信・添付ファイルミスが無いよう仕組み化する
「誤った相手にメールを送信しそうになった」経験は誰にでもあるのではないでしょうか。特に大量の個人情報を含むファイルを添付する場合には、ただ「宛先に注意して確認する」という対策では不十分です。誤送信に気づいた時に取り消せるようメールの送信を一定時間保留する、重要なメールを自動でフィルタリングして上長の承認を得る、などのメールシステムを導入して仕組み化することが有効です。
ノートパソコン、スマホの不要な持ち出し・持ち込みを禁止する
ノートパソコンやスマートフォンを外部に持ち出すと、紛失や盗難により個人情報漏洩が発生する恐れがあります。持ち出しを禁止することが一番の対策ですが、やむを得ず持ち出す必要がある場合には上長の許可を得る、端末を限定するなど運用をルール化することが必要です。また、遠隔操作でモバイル機器のロックや情報の消去を行うことができるソリューションを導入することも有効です。また、私有の端末や記憶媒体は社内ネットワークに繋げないようにしましょう。
個人情報を安易に放置しない
例えば、顧客ファイルなどの情報を、社員の誰もがアクセスできる場所に無施錠で放置されていたとしたらどうでしょう。意図しない移動や不適切な破棄などにより、個人情報漏洩が発生する恐れがあります。また、逆に誰の目にも触れにくい場所に収納してしまうと、万一紛失した場合の発見が遅れるというデメリットが生じます。中身の見えるキャビネットに施錠して保管するなどの対策が必要です。
また、外出時、飲食店など公共の場所でリモートワークを行う際は、電話やトイレ等でPCを置いたまま離席してしまうとPCごと盗難されたり、USBなどでデータを抜き取られたりする可能性がありますので置いたままにしないように注意しましょう。さらに、モバイル端末にはデータを残さない運用が有効です。
機密情報を不用意に他人に漏らさない
何気ない日常会話の中にも個人情報漏洩の危険性は潜んでいます。「〇〇さんのログインパスワードは自家用車のナンバーなんだね。よほど車が好きなのかな」「そう言えば、〇〇さんの家ってこの近くだったな」などの他愛ない会話が重大な個人情報漏洩につながる可能性もあります。「業務上知り得た機密情報の取扱い」には、日ごろから注意が必要です。
従業員への定期的なセキュリティ教育を行う
個人情報漏洩の防止には、個人情報を取扱う社員全員で取り組む必要があります。「鎖の強さは一番弱いつなぎ目で決まる」という「最も弱い環の原則」の通り、社員全体のセキュリティ意識の底上げが重要です。IPA(情報処理推進機構)からガイドラインが公開されていますので、これらを積極的に活用してセキュリティ教育を実施しましょう。
外部攻撃で起こる個人情報漏洩の対策
個人情報漏洩は、人為的なミスから発生するものばかりではありません。近年では、特にマルウェアなどを使った外部からの攻撃により、個人情報漏洩が発生するケースが増加しています。
セキュリティソフトを導入・更新する
最も有効な対策は、セキュリティソフトの導入です。ファイアウォール、WAF、IDS/IPSなどの各種セキュリティ製品により多層防御することで、マルウェア感染、DoS攻撃/DDoS攻撃、SQLインジェクションなどといった個人情報漏洩を目的としたサイバー攻撃から自社のネットワークを防御することが可能です。
テレワーク利用では強固な認証方式の採用とデバイス制限を行う
近年では在宅勤務など、テレワークを行う機会が増加しました。そのため、社内ネットワークをインターネットから隔離する従来のセキュリティ対策では不十分となるケースも増加しています。社内・社外を区別せず、全ての通信を信頼せず等しく疑って監視する「ゼロトラストモデル」や、セキュリティとネットワークを一体のサービスとして提供する「SASE」(Secure Access Service Edge)などに基づいたソリューションを導入し、強固な認証方式やデバイス制御によりセキュリティを強化しましょう。
また、無料Wi-Fiは暗号化されていないことが多く、通信内容が漏れたり、不正アクセスやウィルス感染の危険性がありますので、外出時にはセキュリティの弱い回線は利用しないようにしましょう。
ID / パスワードなどの情報は適切に管理する
多要素認証が普及しつつある現在においても、依然としてID / パスワードの適切な管理は重要です。みだりに第三者に教えない、第三者の目に触れるところに放置しないことはもちろんですが、合わせて簡単に推測されにくいパスワードを使用する、パスワードの使い回しは避ける、などの対策を取りましょう。また、ファイル共有などを行っている場合には、公開範囲が適切に設定されているか合わせて確認しましょう。
システムに脆弱性がないか定期的に確認を行う
残念ながらマルウェアなどによる攻撃手段は日々進化しています。定期的に最新の攻撃に関する情報を収集し、自社のシステムに脆弱性がないかを確認することが重要です。万一脆弱性が発見され、攻撃を受ける恐れが生じた場合には、システム改修や新たなセキュリティソリューションの導入など、必要な対策を取りましょう。
アップデートを定期的に行う
Windowsを始めとする各種OSでは、既存の脆弱性を塞ぐためのセキュリティパッチが適時公開されています。過去にはセキュリティパッチの適用が遅れたために、攻撃を受けた事例も多数報告されていますから、OSのアップデートについては社内ルールを定め、定期的に漏れなく実施する仕組みを構築しましょう。
OS以外でも、ブラウザを始めアプリケーションやテレワークに使用しているソフトウェアなどは、アップデートを定期的に行い常に最新の状態に保ちましょう。
個人情報漏洩が起きる原因「ウィルス感染・不正アクセス」が約5割
株式会社東京商工リサーチの調査によると、2021年の上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件に及び、漏えいした個人情報は約547万人分に及んだとのことです。
また、原因別では「ウィルス感染・不正アクセス」が49.6%と約5割を占めており、セキュリティ対策がいかに重要なものかお分かりいただけるかと思います。
参考:株式会社東京商工リサーチ「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」
個人情報漏洩を未然に防ぐサービスを紹介
現在、個人情報漏洩を未然に防ぐための多種多様なソリューションが登場しています。ここでは、その中からNTTPCの提供するサービスをいくつか紹介します。
テレワークにはセキュアアクセスゲートウェイの導入で
外部からのアクセスでも安全・安心・快適なネットワーク環境を実現
NTTPCの「Secure Access Gateway」は、「自社のセキュリティを早期に構築したいが、分からないことだらけ」という中堅・中小企業に向けた、機能も価格も「ちょうどいい」ネットワークの安全対策サービスです。
2019年にGartner社によって定義されたSASE(サシー)のセキュリティモデルに基づき、ネットワークとセキュリティ機能とを統合し、ゼロトラスト環境に配慮した予防セキュリティ対策をクラウド上で提供します。
クラウドWAFを導入し多層防御でセキュリティを強化する
クラウドWAFセキュリティオペレーションサービス
NTTPCの「クラウドWAFサービス」は、さまざまな脅威にさらされているお客さまの公開Webサイトのセキュリティ対策を、簡単に手間なく実現するサービスで、コーポレートサイト、ECサイトの運営に従事している企業にお勧めです。
大量トラフィック等によるDoS攻撃 / DDoS攻撃、OSの脆弱性を狙った攻撃、SQLインジェクション・クロスサイトスクリプティング攻撃など、個人情報漏洩を狙った脅威から自社Webサイトを防御することができます。
個人情報漏洩・紛失事故の事例
前述の東京商工リサーチの調査では、実際に発生した個人情報漏えい・紛失の事例も紹介されています。
2021年の主な個人情報の漏えい・紛失事故では、ネットマーケティング社の不正アクセス事件での漏えい・紛失件数が最多で、171万1,756件でした。
また、137件のうち、クレジットカード情報が漏えいした可能性を公表した事故は10件(構成比7.2%)ありました。クレジットカードの不正利用発覚をきっかけに個人情報の漏えいが明らかになったケースもあり、犯罪と個人情報の漏えいが密接に繋がっている点を認識すべきでしょう。
| 社名 | 産業 | 市場 | 理由 | 漏えい・紛失件数 | 内容 |
|---|---|---|---|---|---|
| ネットマーケティング | サービス | 東証1部 | 不正アクセス | 1,711,756件 | 当社提供の恋活・婚活マッチングアプリ「Omiai」を管理するサーバーが不正アクセスを受け、会員情報の一部が流出 |
| ANAホールディングス [全日本空輸] |
運輸 | 東証1部 | 不正アクセス | 1,000,000件 | 国際航空情報通信機構(SITA社、スイス)のシステムに対する不正アクセスでマイレージ情報が流出 |
| 日本航空 | 運輸 | 東証1部 | 不正アクセス | 920,000件 | 国際航空情報通信機構(SITA社、スイス)のシステムに対する不正アクセスでマイレージ情報が流出 |
| 新生銀行[アプラス] | 金融・保険 | 東証1部 | 誤表示・ 誤送信 |
475,813件 | 会員向けページのログインID・パスワード情報を委託業者に誤って提供 |
| ライトオン | 小売 | 東証1部 | 不正アクセス | 247,600件 | 公式オンラインショップに対して外部からの不正アクセスで顧客情報が流出 |
| リニカル | サービス | 東証1部 | 不正アクセス | 222,022件 | 本社および台湾拠点のサーバーに対して不正アクセス。株主情報や採用応募者などの個人情報が流出 |
| 日本郵政 [日本郵便・ゆうちょ銀行] |
サービス | 東証1部 | 紛失・誤廃棄 | 214,000件 | 投資信託取引などに関する「金融商品仲介補助簿」、払込取扱票などの控え書類の社内紛失 |
東京商工リサーチ調べ「2021年 情報漏えい・紛失件数上位」より
セキュリティ対策にかなりのコストを割いているであろう大企業や関連会社においても被害が発生していることがお分かりになるかと思います。
個人情報漏洩が起きてしまった際の対処方法
セキュリティ対策に「万全」はありません。最後に、実際に個人情報漏洩が起きてしまった場合の対処方法について説明します。
個人情報漏洩の実態確認、応急処置
まずは情報漏洩の範囲および影響範囲を確認します。さらに情報漏洩元が特定できた場合には、サービス提供停止など必要な応急措置を取ります。
二次被害の防止
続いて、個人情報漏洩の被害を受けた当事者に対して連絡を取り、パスワードの変更、サービス利用の停止など二次被害を防ぐための対策を依頼します。
原因究明、情報公開
さらなる被害の拡大を防ぐため、原因究明を行います。また、同様の被害を防止するため、対策が判明した場合には速やかに情報公開を実施します。
関係省庁への報告
個人情報保護法の規定に従い、二次被害を防ぐため個人情報保護委員会等に事実関係および再発防止策等についての報告を行います。
まとめ
今回は個人情報漏洩について、その発生原因と対策、被害の傾向および個人情報漏洩を未然に防ぐサービスなどについて紹介しました。
ひとたび個人情報漏洩事故が発生すれば、事業継続にも直結する問題にも発展しかねません。特に個人情報を多く扱う事業に従事している企業の方には、いま一度自社の個人情報漏洩対策について再考することを強くお勧めいたします。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
