企業において、情報漏洩におけるコンプライアンスが重要視されています。重視される背景として、情報漏洩の発生により、企業が大きなダメージを受けることが考えられます。
本記事では、これまでに情報漏洩のコンプライアンス違反があった実際の事例をご紹介します。発生原因や企業ができる対策についても解説するので参考にしてみてください。
目次
情報漏洩によるコンプライアンス違反とは
企業にダメージを与えかねない、情報漏洩によるコンプライアンス違反について解説します。
情報漏洩とは
情報漏洩とは、会社の内部に留めておかなければいけない個人情報や、企業機密などの重要なデータが外部に漏れることです。情報漏洩は、人的ミスや悪意のある不正な手段によって生じるケースが多いです。
関連記事:情報漏洩とは?原因やリスクと企業が取るべき対策をわかりやすく解説
コンプライアンスとは
コンプライアンスとは、遵守を意味しています。法律を遵守するという意味以外にも、企業においては就業規則やルールを守るという意味として用いられることが多いです。また、道徳や社会の規範、倫理観からかけ離れていないか、という意味でも使われます。
企業におけるコンプライアンスの定義は、範囲が広く不明瞭であり、変化を伴うため明確なイメージを持つことは難しいでしょう。
情報漏洩にコンプライアンスが必要な理由
情報漏洩に対してコンプライアンスが必要な理由として、コンプライアンスを守らなければ顧客や従業員をはじめ、社会からの信用を失ってしまうことが挙げられます。インターネットの普及により、情報漏洩をはじめとするコンプライアンス違反をしたことを社会に知られやすくなりました。
コンプライアンス違反によって信頼を失うと、回復に多くの時間を要する上、多大な損失が生まれる可能性があります。そのため、社内全体でコンプライアンスを遵守するという高い意識を持つことが欠かせません。
情報漏洩によるコンプライアンス違反が起こる理由
情報漏洩によるコンプライアンス違反が発生する主な原因を紹介します。
情報の持ち出し
「企業における営業秘密管理に関する実態調査2020」報告書では、2020年の中途退職者による情報の持ち出しは36.3%にものぼっており、情報漏洩が起きる原因として多くの割合を占めています。
持ち出した情報は他者に売却されたり、再就職先で利用されたりしており、金銭を目的として持ち出されるケースが多いです。
参考:「企業における営業秘密管理に関する実態調査2020」報告書について | アーカイブ | IPA 独立行政法人 情報処理推進機構
情報の取り扱い事故
情報の誤配達・誤交付・誤送信など、情報の取り扱い事故も情報漏洩の原因です。特にメールの誤送信は、情報漏洩事故の原因としてトップを占めています。
情報の取り扱い事故は、従業員のうっかりミスであるケースがほとんどですが、漏洩した情報が悪用されてしまうケースもあるため、ミスの削減を目指す取り組みが欠かせません。
関連記事:メールによる情報漏洩の原因は誤送信とマルウェア感染だった!必要な対策を解説
ウイルス感染や不正アクセス
東京商工リサーチの発表によると、上場企業の情報漏洩事件・事故は2023年に過去最多となっており、年々増加傾向にあります。
また、ウイルス感染・不正アクセスが情報漏洩の原因として半数以上の割合を占めています。2023年においては、ランサムウェア感染が多発しました。ウイルス感染や不正アクセスによって、情報が漏洩しないためにも、サイバー攻撃に対する対策が不可欠です。
参考:2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分 | TSRデータインサイト | 東京商工リサーチ
情報漏洩のコンプライアンス違反によって生じるリスク
企業が保有する個人情報や企業機密などの重要な情報が漏洩すると、従業員や外部からの企業イメージが悪化するリスクが発生します。社会的な信用を失う可能性もあるでしょう。顧客や取引先から契約を切られることで、業績の悪化につながるおそれもあります。
また、流出した情報によっては、損害賠償が発生するケースもあります。1件あたりの損害賠償が高額になるケースはもちろん、金額は小さくても件数が多い、漏洩した情報が第三者に悪用されたなど、トータルで高額になることもあるでしょう。
情報漏洩によるコンプライアンス違反の事例
情報漏洩によるコンプライアンス違反が生じた事例を3件紹介します。
日本年金機構
日本年金機構では、2015年5月に公的機関では史上最大となる125万件もの個人情報が漏洩しました。個人情報が漏洩したのは、ウイルスメールによる不正アクセスが原因と報告されています。
不正アクセスを受けた原因として、情報セキュリティポリシーを制定・改定してきたが、改定に遅れがあったことや記載が不足していたこと、訓練や研修がなされていなかったことなどが挙げられています。
参考:不正アクセスによる情報流出事案に関する調査結果報告について│日本年金機構
ベネッセコーポレーション
ベネッセコーポレーションで勤務していた外部委託のエンジニアが、大量の顧客情報を不正に持ち出したことで情報が漏洩しました。顧客情報が保管されているデータベースへのアクセス権を利用し、約4,800万人分の情報が流出しました。
情報が漏洩した顧客に対して損害賠償を支払うとともに、経済産業省からも個人情報保護法に基づいた体制の明確化を求める勧告処分が出されています。
参考:事故の概要 | お客様本部について | ベネッセお客様本部
量子科学技術研究開発機構の病院
量子科学技術研究開発機構の病院での情報漏洩は、医師がパソコンにUSBメモリを接続したまま離席し、戻ったときには紛失していたことで起きています。このUSBには、同病院の患者のうち3,311名分の情報が記録されていました。
患者の氏名・生年月日・住所・病名・治療内容などの個人情報が記録されていたことが確認されており、USB内の情報は暗号化をはじめとする対策はされていませんでした。
参考:個人情報を含むUSBメモリの亡失について – 量子科学技術研究開発機構
情報漏洩のコンプライアンス違反が生じたときの対応
情報漏洩によるコンプライアンス違反が起きた場合に、企業が行うべき対応を解説します。
被害者への対応
情報漏洩が起きた際、情報が漏洩した人物に対して「情報漏洩があった」という報告をしなければなりません。個人情報保護法には、個人情報保護委員会と本人への通知義務が記載されています。
また、漏洩した情報によっては被害からの相談窓口の設置や、損害賠償の支払いなどが必要となるケースもあり、適切な対応が求められます。
加害者への対応
情報を漏洩した加害者に対しては、損害賠償を請求できます。不正競争防止法において、営業上の利益を侵害された場合、侵害を停止・予防するための差止請求権が認められています。
また、情報漏洩を行った加害者の行為が、悪質で刑事罰の対象となる場合は、刑事告訴・告発を検討してもよいでしょう。
社内への対応
情報漏洩が起きた場合、なぜ情報漏洩が発生したのか、原因を調査する必要があります。また被害状況の把握や、被害の検証、セキュリティシステムや従業員のセキュリティ意識の確認を行う必要があります。対策チームを設置し、早急な対策方針のプランニングを行うことが大切です。
情報漏洩のコンプライアンス違反に関連する法律
情報漏洩によるコンプライアンス違反に関連する法律を紹介します。
民法
民法上、情報漏洩が起きても原則として他社に対する責任は発生しません。しかし、業務委託契約で他者から預かっていた情報や、秘密保持契約の対象となる情報を漏洩した場合は、民法415条により、秘密保持義務違反による損害賠償責任を負うこととなります。
また、個人情報が漏洩した場合は、民法709条で不法行為に基づく損害賠償責任を負わなければなりません。
刑法
刑法には、情報漏洩に関する直接の規定はありません。しかし漏洩した情報や状況によっては、刑法252条1項の横領罪、刑法253条の業務上横領罪、刑法247条の背任罪に該当するおそれがあるため、注意が必要です。
業務上横領罪は10年以下の懲役、背任罪は5年以下の懲役または50万円以下の罰金に処される可能性があります。
不正競争防止法
不正競争防止法上の「営業秘密」に該当する情報漏洩は、不正競争行為や営業秘密侵害罪となる可能性があります。損害賠償をはじめとする民事的措置に加え、刑事罰の対象にもなる可能性が高いです。
個人情報保護法
個人情報の不正な利益を得る目的で情報を提供・盗用した場合は、個人情報保護法に基づき、1年以下の懲役または50万円以下の罰金刑が科される可能性があります。また、企業に対しては1億円以下の罰金となるケースも考えられます。
不正アクセス禁止法
不正アクセス禁止法とは、不正アクセス行為や、不正アクセス行為につながる行為の予防に向けた法律です。情報漏洩を引き起こした場合、3年以下の懲役または100万円以下の罰金となる可能性があります。
情報漏洩によるコンプライアンス違反の予防方法
情報漏洩によるコンプライアンス違反を予防する方法を解説します。
従業員への研修を実施
従業員による情報漏洩を防止するには、従業員1人ひとりのコンプライアンス意識を向上させることが大切です。コンプライアンスに関して求められる知識は時代によって異なるため、定期的に研修を実施する必要があります。
どのような行為によって情報漏洩が起き、コンプライアンス違反となるのかを理解させることが大切です。
ガイドライン・マニュアルの設定
研修以外にもガイドラインやマニュアルを作成し、社内にコンプライアンスを浸透させることが重要です。ガイドラインやマニュアルにより、コンプライアンスに関する周知や教育がしやすくなります。
従業員に浸透させるには、まず経営層がガイドラインやマニュアルに従ってコンプライアンスを守ろうとする姿勢を見せる必要があります。
監視体制の整備
ITシステムの管理体制の強化も、情報漏洩の防止につながります。情報漏洩が起きたことを発見しやすい環境づくりが欠かせません。送受信されたメールや操作ログなどの調査も有効です。メール経由での情報漏洩対策ツール・システムを導入してもよいでしょう。
また、物理的に持ち出せないようにする仕組みとして、社内の座席配置やレイアウトの工夫も検討してみてください。
労働環境の改善
情報漏洩は金銭目的であることも多いため、ワークライフバランスを推進することで防止できる可能性があります。
また、社内でのコミュニケーションを促進したり、社内表彰を行ったりして従業員の仕事に対するモチベーションを維持することも対策として有効です。
まとめ
情報漏洩によるコンプライアンス違反は、年々増加傾向にあります。また、ウイルス感染や不正アクセスは、情報漏洩が起きる原因の半数以上を占めているため、従業員のセキュリティ意識向上に加えて対策に取り組まなければいけません。
サイバーソリューションズでは、メールに関するセキュリティサービスをご提供しています。日本企業向けの機能がオールインワンとなった「Cloud Mail SECURITYSUITE」やメール環境を問わず常に最新のセキュリティ環境を整える「MAILGATES Σ」を低価格で提供しています。報漏洩の対策にぜひご活用ください。
