情報漏洩とは?
情報漏洩とは、企業が保有している機密情報や個人情報などの重要データが、意図せず不正な手段やミスにより外部に漏れることです。以下で、企業にとって重要なデータとはどのようなものであるかを解説します。
個人情報
個人情報とは、個人情報保護法第2条に定められた、特定の個人を識別できる情報を指します。氏名や生年月日など、単独で個人を特定できる情報だけではなく、他の情報と照合して特定できる情報も含まれます。
また、指紋や顔画像、マイナンバー、パスポート番号などの個人識別符号や、個人の学歴・職歴・病歴も対象です。公刊物や官報、電話帳に掲載されている公開情報でも、個人を識別できれば個人情報とみなされます。
機密情報
機密情報とは、「外部に開示されていない」「秘密として管理されている」「漏洩により損害が生じる」という3つの要件を満たす情報を指します。具体的には、自社の財務・経理情報や人事情報、顧客リスト、契約書、開発中の製品情報、研究データ、クレームの対応記録などが挙げられます。
情報の種類は、業種や業務形態によって異なりますが、いずれも企業活動において重要な意味を持ち、部外秘として厳格に管理されているものが該当します。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード情報漏洩が企業にもたらすリスク
企業が保有する情報資産は、他社に対して秘密にすることでその価値を発揮します。秘密にすべき情報が漏洩すれば、情報の資産としての価値が失われ、回復は非常に困難です。また、企業の経営に致命的な悪影響が及ぶ可能性があります。ここでは、情報漏洩により企業が負うリスクについて解説します。
信用やブランドイメージが低下する
情報漏洩を起こすと、企業は顧客や取引先からの信用を失い、契約解除や取引停止といった事態に陥ります。売上減少や株価の下落など、深刻な経営リスクも招きかねません。特に個人情報や機密情報が流出すると「情報管理が不十分な企業である」という悪いイメージが広がります。
近年は、SNSにより悪評が瞬時に拡散される傾向にあります。社会的信用やブランド価値の回復には、長い時間と多額のコストがかかります。
金銭的な損失が発生する
情報漏洩を起こすと、原因調査や再発防止策の策定と実施、顧客や取引先への通知・説明などの事後対応に多額の費用がかかります。また、情報漏洩への対応を優先せざるを得ない状況では、通常の業務が停滞し、売上が減少したり、営業機会を逃したりもするでしょう。
さらに、被害者からの損害賠償請求や個人情報保護法違反による罰金が科せられる可能性もあります。慰謝料や弁護士費用なども加わり、企業にとって大きな負担となります。
競争力が低下する
情報漏洩により機密情報が流出すると、企業のブランド力や市場での競争力が大きく損なわれます。営業上の機密や新製品の情報、独自のノウハウなどが競合他社に渡れば、優位性が失われます。広告戦略や販売計画にも支障が生じるでしょう。
さらに、漏洩内容によっては、サービスや事業の一時停止を余儀なくされる場合もあり、顧客離れや信頼の低下が加速します。株価の下落や従業員への負担増大も、企業全体の競争力を低下させます。
刑罰や罰金を科せられる
個人情報の漏洩には、個人情報保護法により厳しい罰則が科されます。例えば以下のような場合、行為者個人や法人に対して刑罰が科せられる可能性があります。
・個人情報を提供・盗用した(1年以下の懲役または50万円以下の罰金 )
・個人情報保護委員会に虚偽の報告をした(50万円以下の罰金)
・個人情報保護委員会の改善命令に従わなかった(個人に対しては1年以下の懲役または100万円以下の罰金、法人に対しては1億円以下の罰金 )
また、不正競争防止法や民法、刑法により、個人情報以外の機密情報でも罰則の対象となる場合があります。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード情報漏洩の主な原因
情報漏洩の主な原因は、退職した役員や正社員による営業秘密の不正な持ち出し、個人情報の誤交付や誤配達、メール誤送信、ウイルスなどのマルウェア感染です。ここでは、情報漏洩の原因として多い順に、詳しく解説します。
サイバー攻撃によるウイルス感染や不正アクセス
信用調査会社の東京商工リサーチが2023年1月19日に発表した、2022年「上場企業の個人情報漏洩・紛失事故」調査によると、上場企業の情報漏洩事件・事故は前年比1.2倍と、過去最多でした。情報漏洩・紛失事故の原因別では、不正アクセスやウイルス感染などのサイバー攻撃が91件(55.1%)と最多となり、誤表示・誤送信が43件(25.0%)でした。
関連記事
メールの誤送信
プライバシーマークの認証機関である、日本情報経済社会推進協議会(JIPDEC)プライバシーマーク推進センターが、毎年発表している「プライバシーマーク付与事業者から報告された個人情報の取り扱いに関する事故等」の件数は、年々増加する傾向にあります。
2022年度 個人情報の取り扱いにおける事故報告集計結果(JIPDEC、2023年8月)によると、発生事象別では「漏洩」が5,333件(76.1%)と最も多く、次いで「紛失」が681件(9.7%)でした。事象分類別では「誤配達・誤交付」が3,013件(43.0%)、続いて「誤送信」が1,730件(24.7%)、「紛失・滅失・毀損は785件(11.2%)でした。
記録媒体の紛失や誤廃棄
情報漏洩は、電子的データだけではなく、紙の文書やUSBメモリ、SDカードなどの記録媒体の紛失・盗難からも発生します。例えば、個人情報が印刷された文書の置き忘れ、機密データが保存されたUSBメモリやハードディスクドライブなどの紛失・盗難が挙げられます。このような文書や記録媒体が、悪意のある第三者に渡ると、情報を不正に使用される可能性があります。
情報の不正な持ち出し
情報を不正に持ち出して漏洩させる手口も報告されています。内部の人間だけではなく、外部の人間が持ち出すケースも少なくありません。
中途退職者による情報の持ち出し
「企業における営業秘密管理に関する実態調査2020」報告書(IPA、独立行政法人情報処理推進機構、2021年3月)によると、情報漏洩ルートは、役員や正社員などの中途退職者によるものが36.3%と最多でした。
令和4年における 生活経済事犯の検挙状況等について(警察庁生活安全局、2023年5月)によると、不正競争防止法第 21 条第1項及び第3項に該当する事犯の推移は次のとおりです。
検挙事件数は増加傾向にあります。
主な営業秘密の侵害事件や顧客情報の不正流出
- 大手通信会社関連会社の元派遣社員による顧客情報の不正流出
- 税理士らによる営業秘密の領得に係る不正競争防止法違反等事件
- 大手回転寿司チェーン店経営会社元役員らによる営業秘密の領得等に係る不正競 争防止法違反等事件
第三者による持ち出し
第三者経由の情報漏洩とは、委託先や取引先など、外部関係者を通じて情報が漏洩するケースを指します。委託先社員による持ち出しや過失、取引先へのサイバー攻撃、開示した情報の不適切な管理、API経由での不正アクセスなどが原因として挙げられます。
このような経緯での情報漏洩は、企業側が情報管理の実態を把握しにくく、発見や対応が遅れる傾向にあります。また、情報漏洩の発覚後は、取引先の協力がないと、原因究明や再発防止策の実施が難しいという課題があります。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード企業・団体における情報漏洩の事例
ここでは、実際に起きた情報漏洩の事例について解説します。
名古屋港コンテナターミナル
2023年7月に名古屋港統一ターミナルシステム(NUTS)がランサムウェアに感染し、障害が発生しました。システム専用プリンターから脅迫文書が出力されたため、復旧できないことを確認したうえで、愛知県警に通報する事態となりました。
物理サーバおよび仮想サーバが暗号化されており、リモート接続機器の脆弱性を突いた不正アクセスが原因であると判明しています。全ターミナルでの作業再開まで、約2日半を要しました。
JAXA
2023年11月、JAXAはサイバー攻撃により、業務用サーバへの不正アクセスを受けたことを公表しました。原因は、同年6月に修正されたVPN装置の脆弱性を突いた侵入で、侵害はMicrosoft365にも及びました。アカウント情報が窃取され、JAXA職員の個人情報や外部機関との業務情報の一部が漏洩した可能性があるとされています。
被害は一般業務用のサーバに限定され、機微情報は含まれていなかったと説明されています。
鹿児島大学
2023年2月、鹿児島大学はメーリングリストのアドレス登録ミスにより、学内外829人分の個人情報が誤送信されたと公表しました。本来は「@gmail.com」と入力すべきメールアドレスを「@gmai.com」と誤登録したことが原因でした。この誤りにより、2020年6月から2022年11月までの約2年半、702件のメールがドッペルゲンガードメイン宛てに送信されていました。
送信メールには教職員や学生、学外関係者の氏名、学籍番号、メールアドレスが含まれていました。
情報セキュリティ10大脅威 2024 解説書|独立行政法人情報処理推進機構セキュリティセンター(IPA)
NTTビジネスソリューションズ株式会社
2023年10月、NTTビジネスソリューションズは、元派遣社員が約120万件の顧客情報を不正に持ち出し、名簿業者に販売していたことを公表しました。元派遣社員は2013年から2023年までコールセンターシステムの運用保守業務に従事しており、同システムに管理者アカウントで不正にアクセスしました。
顧客の氏名、住所、電話番号、生年月日(一部)などをUSBメモリにコピーして販売し、1,000万円以上の対価を得たとして逮捕されました。
お客さま情報の不正流出に関するお詫びとお知らせ|西日本電信電話株式会社
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード情報漏洩に関連する法律・法令
情報漏洩は、事業活動や経営に悪影響が及ぶだけではなく、法的責任を問われて、処罰や罰金を科される場合があります。ここでは、情報漏洩を起こした際に適用される法律について解説します。
民法
秘密保持契約を締結している情報や、業務委託契約に基づいて他社から預かった情報を漏洩した場合は、民法第415条により秘密保持義務違反として損害賠償責任が生じます。また、個人情報の漏洩があった場合には、民法第709条において不法行為とみなされ、被害を受けた個人に対して損害賠償義務を負います。このように、故意または過失による個人情報の漏洩に対しては、企業が法的責任を問われます。
刑法
刑法には、情報漏洩そのものに対する処罰は定められていません。しかし、漏洩の手段や情報の内容によっては、他の罪が適用されます。例えば、紙媒体やUSBメモリなどの不正持ち出しは、刑法252条の横領罪(5年以下の懲役刑)、253条の業務上横領罪(10年以下の懲役刑)、235条の窃盗罪(10年以下の懲役刑または50万円以下の罰金)などに該当する可能性があります。
また、自己や第三者の利益のために持ち出すと、247条の背任罪(5年以下の懲役刑または50万円以下の罰金)として処罰を科せられる可能性もあります。
不正競争防止法
不正競争防止法の目的は、不正行為の規制と公正な競争の確保です。不正競争防止法において、企業の営業秘密を不正に取得・使用・開示する行為は「不正競争行為」と定められています。営業秘密の漏洩があった場合、加害者には損害賠償や差止請求などの民事責任だけではなく、刑事罰が科されることもあります。
営業秘密を不正に取得した者に加え、不正であると知りながら受け取った第三者にも、損害賠償責任が及ぶ可能性があります。
個人情報保護法
個人情報保護法では、不正な利益目的で個人情報を提供・盗用した場合、1年以下の懲役または50万円以下の罰金が科せられます(179条)。例えば、退職者が在職中に得た顧客名簿を転職先に提供するといったケースです。 違反が法人の利益につながった場合、法人にも1億円以下の罰金が科せられる可能性があります(184条)。
同法は、事業者に対して個人情報の取得や利用、保管、第三者への提供に関するルールなどを定めています。一方で、個人には開示請求や訂正、利用停止を求める権利が認められています。
不正アクセス禁止法
不正アクセス禁止法は、ネットワークやパソコンなどへの不正アクセス行為に関わる法律です。他人のID・パスワードを無断使用してネットワークに接続する行為や、セキュリティホールを悪用して不正に侵入する行為などを禁じています。
不正アクセス行為そのものだけではなく、ID・パスワードの不正提供など、不正アクセスにつながる間接的な行為も処罰の対象です。違反すると、3年以下の懲役または100万円以下の罰金が科せられる可能性があります。
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、国全体でサイバーセキュリティ施策を総合的・効果的に推進することを目的とした法律です。深刻化するサイバー脅威に対応し、国民が安心して暮らせる社会を実現するとして、2015年に施行されました。国や自治体、重要インフラ事業者の責務を明確にして、戦略本部の設置、人材育成、研究開発、国際連携などの基本方針を定めています。具体的な対策は、他の関連法に基づいて実施されます。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード企業が行うべき情報漏洩の防止策
情報漏洩の防止策として、企業はどのような取り組みを進めればよいのでしょうか。ここでは、情報漏洩を防止するための具体的な防止策について解説します。
メール受信時に多層防御をする
メールは、ビジネスにおいて重要な連絡手段であるものの、同時にウイルスなどのマルウェア、迷惑メール(スパム)、なりすましメールやビジネスメール詐欺といった、さまざまな脅威が企業に侵入する経路になっています。受信するメールから脅威を取り除くためには、複数のセキュリティ対策を組み合わせた多層防御で対処します。
受信メールの多層防御
・迷惑メール(スパムメール)対策
・ウイルス・マルウェア対策
・フィッシング対策
・なりすましメール対策
・サンドボックス
・受信メールのPPAP対策
メール送信時に複合的なチェックをする
メールによる情報漏洩を防ぐには、属人的な対策では限界があります。送信するメールを複合的にチェックする仕組みを導入することで、メールの誤送信やメールによる情報漏洩を防ぎます。
メール送信時の複合的な対策
・セルフチェックによる自己承認
・送信保留
・上長などの第3者によるチェックと承認
・機密情報や個人情報が含まれていないかメール文面のチェック
・添付ファイルの分離配送
・多数に送るメールのBCC強制変換
POP3でのメール受信を禁止する
POP3(Post Office Protocol version 3)は、メール受信者が利用しているPCやタブレット、スマートフォンなどの端末に、メールメッセージをダウンロードする仕組みです。そのため、端末に保存されたメールの情報や添付ファイルを介した情報漏洩のリスクがあります。
メール受信にPOP3を利用している場合は、POP3受信を無効化する方法として、Exchange OnlineやGmailの設定画面からPOPを無効にする手順があります。利用しているメールサービスの管理画面やヘルプを確認しましょう。
情報漏洩防止のリテラシーを高める
情報漏洩は日々の業務で発生するため、ミスを防ぐ注意啓発が必要です。具体的には、情報漏洩の事例、秘密情報の管理の実践例、情報漏洩事案に対する社内処分などの具体例を周知します。
また、ゼロトラストの認知啓蒙も欠かせません。最近の詐欺メールは精巧に作られているため、本物であるか偽メールであるかの識別が難しい傾向にあります。そこで、「はじめから信頼せずに、慎重に確認する」という、セキュリティ分野での考え方である「ゼロトラスト」の啓発が重要です。
ファイルを暗号化する
暗号化ファイルシステム(Encrypting File System:EFS)も、情報漏洩対策として有効です。EPSとは、Windowsに標準で搭載されている、無料で使える暗号化機能です。フォルダやファイル単位の暗号化である(EFS:Encrypting File System)やMicrosoft Office ファイルへのアクセス管理(利用制御)とファイル暗号化により、万が一ファイルが流出しても、その利用を制限します。
参考情報
ファイルの暗号化 – Win32 apps | Microsoft Learn
Information Rights Management を使用してブックへのアクセスを制限Excel – Microsoft サポート
Word でInformation Rights Managementを使用してドキュメントへのアクセスを制限する – Microsoft サポート
Information Rights Management を使用してプレゼンテーションへのアクセスを制限PowerPoint – Microsoft サポート
エンドポイントのセキュリティ対策を強化する
エンドポイントのセキュリティ対策とは、PCやサーバのほか、スマートフォンやタブレットといった機器に関する対策を指します。PCやタブレットの紛失・盗難時に、不正に利用されないようにする、紛失HDD暗号化、ウイルスやマルウェアの検知、振る舞い検知、ID管理、私物端末からのアクセス時の検疫機能などがあります。
脆弱性(セキュリティホール)への対策をする
脆弱性(セキュリティホール)とは、ハードウェア、ソフトウェアなどの設計上のミスや不具合などによる欠陥です。脆弱性はサイバー攻撃において狙われやすいため、セキュリティホールとも呼ばれます。脆弱性を狙ったサイバー攻撃により情報漏洩が発生するリスクがあります。脆弱性を修正したプログラムを速やかに適用することが、情報漏洩を防ぐ対策となります。
送受信メールや端末の管理を強化する
送受信される全てのメールを保管するメールアーカイブを導入することで、メールのトラブルの発生時に事実関係を確認できる状態にします。また、エンドポイント端末の操作内容を記録する操作ログの管理も有効です。操作ログを用いて不正操作を検知し、アクセスブロックなどの対策ができます。情報漏洩発生時には、不審なメールや不正なパソコン操作、情報アクセスの特定により被害拡大を防げます。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロードメール経由での情報漏洩対策ソリューション
メールを介した情報漏洩への有効な対策について、具体的に解説します。
クラウドでのメールセキュリティ対策を実現
Cloud Mail SECURITYSUITE(CMSS)は、Microsoft 365、Google Workspace に対応したオールインワンのメールセキュリティサービスです。脅威防御・標的型攻撃対策、誤送信・個人情報漏洩対策、メールアーカイブをワンストップで提供します。月額200円から、メールセキュリティの目的や必要な対策に応じて、機能を選んで導入できます。
Cloud Mail SECURITYSUITEの詳細を確認する
メールセキュリティの多層防御を実現するクラウドサービス
MAILGATES Σ(メールゲーツ・シグマ)は、オンプレミス製品とMicrosoft 365やGoogle Workspaceなどのクラウドサービスにも対応できる、クラウドメールセキュリティサービスです。アンチスパムやアンチウィルスなどの受信対策や、添付ファイルの暗号化、PPAP対策や誤送信防止などの送信対策を選択して導入できます。
メール誤送信への対策は、月額200円、添付ファイル暗号化&分離送信は月額100円で導入できます。
eDiscovery (eディスカバリー)に対応したメールアーカイブ
eDiscovery(eディスカバリー)とは、米国民事訴訟における米国の電子証拠開示制度です。開示対象の証拠として、メールを含むビジネス上の連絡や、その他のデータが含まれ、日本の企業も対象です。対象企業が国内に保存しているデータも開示対象になります。
サイバーソリューションズが提供する、Enterprise Audit(エンタープライズ オーディット)は、電子情報開示(eDiscovery)の手順であるEDRM(電子情報開示参考モデル)のフローに従って監査業務をする機能を搭載した、メールアーカイブ製品です。
アーカイブ対象は、Exchange ServerやGmailといった各種システムのメール、Microsoft Teamsのチャットです。詳しくは、Enterprise Auditの詳細をご覧ください。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード
