個人情報の漏洩対策とは？流出事例と対策について解説 | 見積も可能な脆弱性診断を行っている業者は情報発信にも力を入れております

近年の高度化したサイバー攻撃により、企業の情報漏洩が懸念されています。漏洩が発生した場合の対策や情報管理の難しさに対する不安が広がっています。

実際に過去に起きた情報漏洩の事例を学び、得られた教訓を活かして自社の対策を強化することが不可欠です。

この記事では、個人情報の漏洩事例とその中から得られる重要な教訓、そして取り組むべき対策について解説します。
 

個人情報が漏洩する原因と企業に与える損害とは？

まずは、データ漏洩の要因と、それによって企業がどれほどの損害を被るかについて解説します。
 

個人情報が漏洩する原因

情報漏洩の主な原因は、外部からの不正アクセスやサイバー攻撃ではなく、意外にも内部の人間のミスによって引き起こされています。具体的な要因としては、誤操作・管理ミス・紛失や置き忘れなどが挙げられます。

誤操作には、Webサービスの誤った設定やメールの宛先ミスが含まれます。実際、個人情報が誤って公開され、顧客のプライバシーが漏洩するケースも報告されています。

管理ミスでは、情報管理の誤りにより廃棄すべき資料が残ってしまい、それが漏洩の原因となったり、社員がデータを外部に持ち出してしまうなどの事例が発生しています。

また、データを含むUSBメモリやHDDの紛失や置き忘れも、情報漏洩の要因として非常に多く見られます。

このように、人為的ミスの事例は多数報告されています。
 

個人情報の漏洩件数や賠償額

日本ネットワークセキュリティ協会の報告によれば、2017年時点での情報漏洩は、確認されたケースだけで386件、漏洩した情報は約520万件に達しています。また、想定される損害額は約1900億円と推定され、企業が一度の情報漏洩によって被る損害は相当深刻であると言えます。

しかし、一方で、情報漏洩の発生件数自体は減少傾向にあります。この減少の主な要因は、情報を紙媒体で管理する企業が減少したことが挙げられています。
 

個人情報漏洩によって企業の信頼が下がる

情報漏洩が引き起こす影響は、単にシステムの改修や被害者への補償といった金銭的な損失にとどまりません。

情報漏洩を経験した企業は、取引先や顧客からの信頼を失い、これが取引の中断やサービスの解約に繋がることがあります。

個人情報の漏洩は、企業にとって致命的な打撃となりかねません。
 

個人情報の漏洩事例

ここからは、実際にあった企業による個人情報の漏洩事例をご紹介します。
 

株式会社ベネッセコーポレーション

2014年7月、株式会社ベネッセコーポレーションは、クライアントの個人情報が外部に漏れたことを公表しました。漏洩の原因は、システム開発および運用を担当する関連会社の元社員による不正行為でした。

元社員は仕事で得たアクセス権限を悪用し、顧客情報データベースに侵入して不正に顧客情報を名簿業者に販売していました。この問題が判明したきっかけは、顧客からの「提供していない企業からのメール・電話がある」といった問い合わせが急増したことでした。

これに対応してベネッセコーポレーションは調査を開始し、情報漏洩の事実を確認、警察による捜査が始まりました。漏洩した個人情報は約2,895万件に及び、ベネッセコーポレーションは被害を受けた可能性のある会員に対して500円の金券などで補償を行いました。

しかし、会員数の減少と特別損失の増加に直面し、その特別損失は260億円に上りました。再発防止策として、ベネッセコーポレーションは外部専門家を含む「個人情報漏えい事故調査委員会」を設立し、事実関係の調査体制を強化し、情報解明の速度と質向上に取り組んでいます。

さらに、外部のセキュリティ専門会社による脆弱性評価も実施される予定とのことです。
 

森永製菓株式会社

2022年3月、森永製菓株式会社は、管理運用する複数のサーバにおいて不正アクセスが確認され、これによって顧客情報が漏洩した可能性があると公表しました。

障害が発生したサーバについての原因調査の結果、第三者による不正アクセスが明らかになります。特に通信販売事業のWebサイトの顧客情報を保管していたサーバが影響を受けていました。

このサーバにはロックされた状態で個人情報が含まれた情報が保存されており、最悪の場合約164万人分の個人情報が漏洩した可能性があります。

発表によれば、攻撃者はインターネット回線に設置されていたネットワーク機器の脆弱性を悪用して侵入したと見られています。
 

野村不動産株式会社

2022年5月、野村不動産株式会社で発生したメール誤送信により、個人情報が漏洩しました。社員がメール送信時に、BCC入力すべき箇所を誤って宛先に入力し、送信したことが原因です。

誤送信は受信者からの指摘により判明したのですが、サービス展開中の1,023人の会員のメールアドレスが漏洩し、他の会員のメールアドレスが見える状態となりました。
 

株式会社JTB

2022年10月、株式会社JTBはクラウドサービスの管理・運用業務において、アクセス権限の誤設定が原因で個人情報漏洩が発生したと発表しました。

元々は自社の申請書にのみアクセスできるはずが、誤ってログイン権限を有する他の間接補助事業者同士が情報を閲覧できる状態で設定されてしまったのです。

このアクセス権限の誤設定により、最大で11,483人分の個人情報を含む1,698件の申請書類や補助金交付申請書などが漏洩しました。
 

個人情報の漏洩を防ぐ対策とは？

企業が個人情報の漏洩を防ぐための対策について解説します。
 

セキュリティの導入と強化

企業が最優先で考慮すべきなのは、セキュリティの導入と強化です。ウイルスやハッカーはセキュリティが低いパソコンやサーバーを優先的に標的にします。

もし現在利用しているパソコンのセキュリティが不十分であれば、今この瞬間でも攻撃の標的にされている可能性があります。もしかしたら、すでに個人情報が漏洩しているかもしれません。

セキュリティの導入と強化には、以下のような手段があります。

・セキュリティソフトの更新
・セキュリティ機能の高い記憶媒体やサービスの導入

企業であれば、各社員のパソコンにセキュリティソフトを導入していると考えられますが、定期的な更新がないと新たなウイルスへの対応ができません。今以上のセキュリティ機能を備えた記憶媒体やサービスを導入することも検討すべきです。
 

個人情報保護について社内教育を行う

個人情報の流出を防ぐためには、社内で個人情報保護に関する教育を実施することが非常に重要です。これは、従業員が個人情報の取り扱いに対する認識を高め、慎重に取り組むようになるためです。

一般的に、多くの人が個人情報の定義を正しく理解できていません。個人情報は、個人情報保護法によれば、以下の2つの要素を満たす情報とされます。

・個人に関する情報であること
・特定の個人を識別できること

たとえば、氏名だけでも個人を特定することができますし、氏名に住所や勤務先、顔写真が加われば、特定の個人を識別することが可能です。また、住所や電話番号だけでなく、DNAの配列や声紋、指紋や掌紋なども挙げられます。

これらの情報は厳重に管理する必要があります。個人情報保護の重要性を社員が理解し、具体的な情報の例を挙げて周知することが大切です。

個人情報保護に関する教育は、月に1度などの頻度で社内で行うことが推奨されています。
 

守秘義務について書面を取り交わす

個人情報や守秘義務に関して、書面で全社員と取り決めを行うことは非常に有効な手段です。書面を通じて取り交わすことで、社員の認識が変わりやすくなります。

具体的な契約内容には、罰則が盛り込まれることもあります。これにより、契約に反する行為があれば処罰の対象となり、社員は慎重な態度を保つようになります。
 

Webサイトやシステムの脆弱性の確認する

システム、ソフトウェア、アプリケーションなどの脆弱性を標的に不正アクセスが行われ、個人情報が漏洩するケースがあります。この脆弱性を未然に防ぐためには、システムの場合は脆弱性を定期的にチェックし続けることが必要です。

一方、ソフトウェアやアプリケーションの場合は、定期的なアップデートを実施することが重要です。これらの対策により、脆弱性を低減させ、不正アクセスなどのリスクに対処することができます。

ただし、脆弱性の対策には専門的な知識とスキルが必要です。したがって、不安のある方は専門家に依頼するのが良いでしょう。

→自社の脆弱性について相談してみる
 

まとめ

今回は個人情報の漏洩に焦点を当て、その発生原因と実際の事例、そして個人情報漏洩を未然に防ぐための対策について解説しました。

個人情報の漏洩事故が発生すれば、事業継続に直結する潜在的な問題となります。特に多くの個人情報を扱う事業に従事する企業にとっては、自社の個人情報漏洩対策を再評価することが重要です。

ぜひ一度、対策の見直しを行うことをお勧めいたします。インフォシールド合同会社では、プロの脆弱性診断士による診断やセキュリティに関するアドバイスを行っております。

お気軽にご相談ください。