2020年1月25日、ソフトバンク社の元社員が不正競争防止法違反の容疑で警視庁に逮捕されました。通信設備を構築するための作業手順書など内部情報を1回20万円の報酬でロシア側に渡したとされています。また、少し前の2014年に起きたベネッセコーポレーションの顧客情報漏洩事件では、おわびにかかる費用など260億円の特別損失を計上し、同社のこの年の連結決算は136億円の最終赤字になっています。
企業に信用失墜や巨額の賠償金等のリスクをもたらす情報漏洩。DX(デジタルトランスフォーメーション)の進展やテレワークの増加で事故を未然に防ぐ必要性はますます高まっています。
今回は情報漏洩リスクとは何かを確認し、情報漏洩が起きる原因を調べ、どのような対策が可能なのかを取りまとめてみました。情報漏洩の全体像を俯瞰して、自社に不足している部分には早急に対策を講じてください。
目次
1. 情報漏洩がもたらすリスクとは
2. 情報漏洩の大型事例
3. 情報漏洩の3つの要因
4. 要因から見る情報漏洩の9つの対策
5. まとめ
1. 情報漏洩がもたらすリスクとは
国内での2016年の個人情報保護法の改正や、取引のある日本企業にも影響する欧州版の個人情報保護法といえるGDPR(General Data Protection Regulation:一般データ保護規則)の2018年の施行など、企業の情報保護に対する関心が高まっていました。
この流れは、2020年に入り新型コロナウィルスの感染拡大に伴うテレワークの急速な拡大や、それに伴って加速を余儀なくされているDXの採用拡大によって、ますます加速しています。
取り扱うデータ量が増えれば、万が一の情報漏洩時のリスクもそれだけ高くなります。まずは情報漏洩が会社や社員にもたらすリスクについてみてみましょう。
1-1. 会社信用の失墜
いうまでもなく、情報漏洩を起こした企業の信用は失墜します。
先に挙げたベネッセの例でも主力商品であった通信講座「進研ゼミ」や「こどもちゃれんじ」の会員減で苦戦することになりました。(2014年7月31日付日経新聞記事)
1-2. 賠償金と対応の負担
情報漏洩事故の発生は金銭的にも企業に多大な損害をもたらし、財務上の大きなリスクとなります。
冒頭でご紹介したように、2014年に起きたベネッセの会員情報の流出では260億円が、また2015年、日本年金機構がにサイバー攻撃を受け加入者情報が流出した際の影響額は120億円以上に上ると試算され、約10億円の対策費用と合わせると、130億円以上の影響があったと言われています。(2016年12月16日付毎日新聞記事)
1-3. 社員の負担や不安
さらに、情報漏洩事故は当事者となった社員への懲戒等の処罰の他、経営陣、総務・法務・広報などの部門の職員を中心に、会社全体に様々な負担や不安をもたらします。
例えば、2014年のベネッセの例ではその後も情報漏洩の被害者から訴訟(2020年3月25日付朝日新聞記事)が続くなど、長期間にわたって対応を強いられる事にもなっています。
2. 情報漏洩の大型事例
企業が守るべき秘密情報には冒頭のソフトバンクの例のような技術情報や経営情報、取り扱う個人情報などがあります。
その中で個人情報の例でみると、NPO法人日本ネットワークセキュリティ協会(JNSA)の調べによれば、2017年には386件、2018年には443件の情報漏洩インシデントが発生しています。
【表:2017年/2018年の個人情報漏洩件数】
(出典:2018年情報セキュリティインシデントに関する調査結果(JNSA))
既にベネッセ、日本年金機構の事例に触れましたが、ここで国内の情報漏洩事故の事例について、その内容を見ておきたいと思います。
2-1. ベネッセコーポレーションにおける会員情報流出
岡山県岡山市に本拠を持ち教育事業を展開する同社において、関連会社で働く派遣社員が教育事業等の会員情報を持ち出して売却した事件。
・時期:2014年7月発覚
・漏洩情報:氏名、生年月日、住所などの顧客情報約3,504万件分(同記事)
・原因:従業員(派遣社員、システムエンジニア)による持ち出し
・損失等:冒頭のようにその年の決算で関連費用260億円の損失(2014年7月31日付日経新聞記事)。その後の裁判費用なども合わせると総額は300億円を超えるとも言われる。
詳細については親会社のベネッセホールディングスのお客様本部の記事等や、千葉商科大学会計ファイナンス科樋口 晴彦 氏による論文「ベネッセ顧客情報漏えい事件の事例研究」等もご覧ください。
2-2. 日本年金機構における加入者情報流出
社会保険庁が担っていた公的年金に係る一連の運営業務を担う特殊法人である日本年金機構が、サイバー攻撃(標的型メール)を受け、不信メールによる不審な通信を検知しながらも、最終的に情報の流出を防ぎぎれず、大量の年金加入者の情報を流出させてしまった事故。
・時期:2015年5月発生
・漏洩情報:約125万件の年金加入者情報
・原因:サイバー攻撃(標的型メール124通)
・損失等:影響額約120億円、対策費約10億円計130億円(下記会計検査院報告)
詳しくは同機構の調査委員会による「不正アクセスによる情報流出事案に関する調査結果報告について」(平成27年8月20日)、会計検査院の「年金個人情報に関する情報セキュリティ対策の実施状況及び年金個人情報の流出が日本年金機構の業務に及ぼした影響等について」(平成28年12月)もご参照ください。
2-3. ソニー・プレイステーションネットワーク加入者情報流出
同社が運営するオンラインゲームの会員情報サーバーに「侵入者は高度な技術を持っており、攻撃も巧妙なもの」(同社平井副社長(当時))とされる不正侵入による利用者の個人情報・クレジットカード情報流出事件。
・時期:2011年4月
・漏洩情報:7700万人分の個人情報とクレジットカード番号、米子会社のPC向けオンラインゲームの利用者2460万人分の会員情報
・原因:ハッカーによる不正侵入
・損失等:140億円(2011年5月同社見通し)
詳細については当時の同社記者会見等の記事(株式会社角川アスキー総合研究所記事所、株式会社インプレス記事)をご覧ください。
3. 情報漏洩の3つの要因
前項でも取り上げたNPO法人日本ネットワークセキュリティ協会(JNSA)のレポートでは2018年の漏洩原因の主なものは下の円グラフのような内容となっており、それらは
①社員/管理者などの人為的なミス
・紛失・置き忘れ 116件 26.2%(1位)
・誤操作 109件 24.6%(2位)
・管理ミス 54件 12.2%(4位)
・設定ミス 16件 3.6%(6位)
②内部者による不正行為・持ち出し
・内部犯罪・不正行為 13件 2.9%(7位)
・不正な情報持ち出し 10件 2.3%(8位)
・目的外使用 3件 0.7%(11位)
③外部からの犯行
・不正アクセス 90件 20.3%(3位)
・盗難 17件 3.8%(5位)
・バグ・セキュリティーホール 8件1.8%(9位)
といった要因に分類されます。
(目的外使用は関係先など外部による場合、バグは内部要因とも考えられますがここでは社内/外部にそれぞれ分類。)
【グラフ:漏洩原因:2018年単年データ(件数)】
(出典:2018年情報セキュリティインシデントに関する調査結果紹介ページ(JNSA))
またこのレポートの中では情報漏洩を媒体・経路別でも分析していて、2015年以降は紙媒体による流出からインターネット、電子メールによる流出に急速に変化していることなども述べられています。
4. 原因から見る情報漏洩の9つの対策
企業の大きなリスクの一つである情報漏洩への対策。
企業のリスクマネジメントについては世界的ISO規格のアップデートの流れの中で、日本でも2019年にJIS規格の改定(JISQ31000(2019))が行われたりしているのですが、非常に奥が深く難しいものになっていますので、ここでは先の情報漏洩の原因に対してよりダイレクトに対策を考えていきます。
前項で見たように、情報漏洩の原因は大きく3つの要因に分けることができます。
①社員/管理者などの人為的なミス
②内部者による不正行為・持ち出し
③外部からの犯行
これに対して主に二つの側面、すなわち人的・組織的な対策とシステム的な対策の面から講じておくべき対策を見ていきたいと思います。また、それでも情報漏洩事故が起きてしまった場合についても触れておきます。
4-1. 人的・組織的な対策
まず、社員等の個々人で、或いはその集合体としての組織として情報漏洩を発生させないための対策について整理してみます。そのうえで、次項に挙げるシステム的な対策と併せて、最適な対策を構築していきます。
対策1. 自社が取り扱う機密情報(漏洩が起きるリスクのある情報を特定する)
まず自社が取り扱う様々な情報の中で、どんな情報に漏洩リスクがあるのかを確認します。例えばホームページやカタログ/パンフレットなどで既に公開している情報については、基本的には漏洩問題の対象にはなりません。
対策2. 情報漏洩が起きる可能性のある部署/場面を想定する
次に、漏洩にリスクがある情報はどのような部署がどのような業務で取り扱っているのかを確認します。またその際にどのような形で漏洩する可能性があるかを想定します。
重要な情報/被害の大きい情報であればあるだけ、後で「想定外でした」ということが無いように慎重に確認し、リスクケースを想定します。
対策3. 情報漏洩対策の基本的な方針を策定する
自社で取り扱う情報とその取り扱い状況を確認し、それに伴う漏洩リスクを想定したら、情報に対する基本的な方針を作成します。
基本的には情報漏洩を起こさないのが原則ですが、重要でないもの、被害額が小さいものに対しては、費用対効果や社員の負担の観点も考慮する事も必要になります。
対策4. 情報漏洩対策としての情報の取り扱いルールを定める
情報の取り扱いに関する基本的な考え方や方針が決まったら、実際に取り扱う部署での業務を念頭に、情報漏洩を起こさない、未然に防止するための具体的な取り扱いのルールや手順を決めます。
例えば、独立行政法人情報処理推進機構セキュリティセンター(IPA)が発行している「情報漏洩対策のしおり」では、「企業(組織)で働くあなたへ・・・7つのポイント」として
①「持ち出し禁止」:企業の情報資産を、許可なく、持ち出さない
②「安易な放置禁止」: 〃 未対策のまま目の届かないところに放置しない
③「安易な廃棄禁止」: 〃 未対策のまま廃棄しない
④「不要な持ち込み禁止」:私物の機器類やプログラムのデータを許可なく持ち込まない
⑤「鍵をかけ、貸し借り禁止」:個人に割り当てられた権限を許可なく貸与、譲渡しない
⑥「公言禁止」:業務上知りえた情報を許可なく公言しない
⑦「まず報告」:情報漏洩を起こしたら、自部で判断せずにまず報告
といった項目を挙げています。
これらを参考にしながら、自社の情報取り扱いのルールを設定するとよいでしょう。
また、関係先などの外部と情報のやり取りをする場合には契約書等で情報の守秘や取り扱いのルールを確認するとともに、場合によっては相手先社内で情報管理の実施状況までも課k人することも検討します。
対策5. ルールを徹底する
最後にルールが徹底されるように組織設計や教育・啓蒙を行います。
情報の管理者を置いたり、管理者も含めた社員に漏洩リスクや漏洩対策の概要、決めているルールの重要性と具体的な内容について、定期的に、さらに必要に応じて都度、教育の機会や情報共有の機会を持ちます。
4-2. システム的な対策
パソコンやコピー機などのOA機器ととそれをつなぐインターネット、さらにスマホなどのモバイル端末の普及に伴い、業務の多くがネットワーク上で行われるようになりました。
先に挙げた人的・組織的な対策の多くの部分も、システム的に対処することで社員の負荷を低減しつつ、より的確に対策することも可能になっています。
対策6. 信頼性の高いシステムを構築する
企業の中にネットワークを構築する場合、ネットワークの入り口には外部との通信を管理するファイアウォールをきちんと設定し、その管理をきちんとアップデートしておく必要があります。また使用する全ての端末にきちんとセキュリティーソフトを導入するなどします。
必要に応じて誤送信の防止ソフトや暗号化ソフト、信頼のおけるクラウドサービスの利用など、業務の形態と費用対効果から、最適な信頼性のシステムを構築します。
対策7. OSやセキュリティーソフトなどのバージョンをきちんとアップデートする
サーバーもパソコンも、或いはネットワーク機器にも、基本ソフト(OS)やセキュリティーソフト、ユーティリティ等のソフトウェアがインストールされています。
各種のアップデートは、世界中のユーザーにおいて、外部からの攻撃に対する脆弱性や設計上のバグなどが見つかった場合に行われます。
バージョンをきちんとアップデートすることで、世の中では既知となっている脅威のかなりの部分については(情報漏洩の)リスクを低減することができます。
対策8. 適切な権限設定をする
部署や職位、或いは担当業務によって端末やデータへの不要なアクセス権限を付与しないなど、適切な権限設定を行うことも重要です。IT担当者のマンパワー不足などから、全ての社員に全ての権限が付いた端末を付与するなどということが無いよう、適切なチューニングが必要です。
対策9. ログ監視ソフトなどで機器の適正な使用を担保する
OSにも各機器の一定期間の特定のログ(操作記録)の保存は行われるものが少なくありませんが、たとえ少ない台数でも、個別のログをすべて検証していくのは困難です。
近年は「ログ監視ソフト」と呼ばれるソフトウェア―を導入しておくことで、決められた操作を逸脱している端末や特異な操作を行っている場合のアラート機能を備えたものが比較的安価に導入できるようになりました。
ログ監視ソフトの導入は監視される側にとって窮屈な面もありますが、逆に万が一の漏洩事故の場合に不正を行っていない事を示す根拠になったり、外部からのやむを得ない不正アクセスであった事を示す根拠として社員を守る際にも利用できますので、積極的に導入を検討する必要があります。
4-3. 情報事故の発生時の対応を決めておく
人的・組織的にも、またシステム的にも情報漏洩対策を行っていても、不測の事態が生じてしまう場合があります。
その様な場合のために、基本的な対応のルールまでも決めておきます。
1.すぐ報告する
万が一に情報漏洩のインシデント(事故になりそうな事態)や実際の事故が発生したらその際の報告・共有の流れを決めておきます。
2.事故の発生・拡大・2次被害を防止する
例えば不正アクセスを受けていることが判明した場合には当該端末やネットワークの利用をシャットダウンしたり遮断するなど、情報漏洩事故の発生や拡大、2次被害の防止を最優先に検討します。
3.原因や被害状況を確認する
情報漏洩のインシデントやアクシデントがどのような原因で生じたのか、また被害が起きている場合にはどの程度になっているのかを確認します。場合によっては外部の専門家やさらには公的な機関などにも協力を依頼する必要がある場合もあります。
4.通報や公表の手順を決めておく
万が一にも情報漏洩事故が起きてしまった場合、さらにはその漏洩による顧客等への被害が予想される際には、警察等への通報と、被害が予想される利用者等への公表が必要となります。被害を拡大させないためにも、予め手順を決めておく必要があります。
5. まとめ
新型コロナウィルスの感染拡大に伴い、テレワークが急速に拡大しました。今後も一定程度はテレワークが定着していくと考えられています。また経産省が「2025年の崖」と呼ぶ情報を活用した企業の競争力の確保のために、ますますでデジタルトランスフォーメーション(DX)による情報活用も求められています。
一方で、テレワークやDXの拡大によって、一歩間違えば企業の信用を一気に失墜させ、顧客離れからの売上げ低下や損害賠償や訴訟費用などの多大な損失をもたらす情報漏洩のリスクも高まっています。
ピンチをチャンスに変える意味で、ここで一度自社の情報漏洩対策の見直し、必要に応じて再構築したうえで、多様な働き方で活き活きと働く社員と、情報資源を積極活用で競争力向上を進めてはいかがでしょうか。
【この記事を読んだ方に人気のサイト内の関連記事】