情報漏洩が起こる原因とは?実際に起きた事例や社内で取り組むべき対策について解説
情報漏洩は企業にとって深刻な損害を引き起こします。個人情報が悪意を持った者の手に渡れば被害は更に拡大し、情報漏洩を起こした企業も大きな損失を被りかねません。
そのため、情報漏洩への対処は企業にとって不可欠な課題となっています。この記事では、実際に起きた情報漏洩の事例と原因、社内でできる対策について解説していきます。
ぜひ参考にしてください。
実際に起きた情報漏洩の事例
まずは、実際に起きた情報漏洩の事例をご紹介します。
ケース1.野村不動産株式会社
野村不動産株式会社は2022年5月、従業員の不注意によりメール誤送信が発生し、個人情報が漏洩したことを公表しました。従業員がBCCに入力すべきメールアドレスを誤って宛先に入力し、結果としてサービス会員1,023人分のメールアドレスが外部に流出したのです。
発覚後、同社はメールアドレス流出に関するお詫びの電子メールを送信し、再発防止のために本事業に関わる全従業員に対して遵守すべき事項を周知徹底すると発表しました。
参考:電子メール誤送信による個人情報の流出に関するお詫び|野村不動産株式会社
ケース2.厚生労働省
厚生労働省は2021年、メール誤送信が原因で個人情報が漏洩したことを公表しました。メールにはファイル共有サービスのURLが含まれており、1,106人分の個人情報(氏名・生年月日・住所・電話番号)が閲覧可能な状態となったのです。
発生原因は、メール送信時の確認不足と委託事業の仕様書に準拠していないこと、クラウドサービスでの名簿管理でした。
再発防止策として、メールの送受信時とクラウド利用時の留意事項に関する手順書を作成し、社内および関係者に周知・徹底することが発表されています。さらに、従業員に対してはセキュリティ教育計画の策定と実施が行われる予定です。
参考:委託事業における個人情報漏えいについて|厚生労働省
ケース3.森永製菓株式会社
森永製菓株式会社は2022年3月、インターネット回線に設置されていたネットワーク機器の脆弱性が悪用される事態が発生します。原因調査の結果、障害が発生したサーバには第三者による不正アクセスが確認されました。
特に、通信販売事業のWebサイトの顧客情報を保管していたサーバが影響を受けます。攻撃者は、インターネット回線に設置されていたネットワーク機器の脆弱性を悪用して侵入したとみられ、このサーバにはロックされた状態で保存された個人情報が含まれていました。
最大で約164万人分の個人情報が漏洩した可能性があります。
参照元:不正アクセス発生による個人情報流出の可能性のお知らせとお詫び
社内で起こる情報漏洩の原因
個人情報漏洩の要因は何かという問いに対し、以下では個人情報漏洩が引き起こされる主な要因について解説します。
誤操作
メールの送信ミスやシステムの誤操作による情報漏洩もあります。例えば、メールの宛先を誤って入力し、似たような名前の別の人に送信してしまったり、メール送信時に他の宛先メールアドレスが表示されてしまったりするケースが考えられます。
置き忘れや紛失
置き忘れたり紛失したりというのは、誰しもが陥りがちな状況です。USBメモリなどに個人情報が入ったデータを外部に持ち出す際に発生します。
実際、大事なデータを電車やタクシーに忘れてしまったり、外出先で個人情報を含む書類を紛失してしまうなどの事例が報告されています。
盗難
パソコンが盗難されたり、データが抜き取られたりすることによる情報漏洩も発生しています。例えば、パソコンを無施錠のまま離席したり、誰もが出入りできる場所に個人情報を含むデータを保管したりすることで、漏洩のリスクが生じます。
特に、社外での業務やテレワーク中において、軽い油断が原因で置き引きの被害に遭うこともあります。
不正アクセス
第三者がシステムの脆弱性を突いて侵入し、コンピューターを乗っ取ることがあります。パスワード管理が緩い場合、不正な手段でこれらの情報を入手し、サーバーに保存された個人情報を盗み取ることが可能です。
盗んだ個人情報は、さらなる不正行為に利用されるケースもあります。実際に、インターネットバンキングへの不正利用などにつながる事例も報告されています。
内部の悪意ある人物による不正行為
個人情報漏洩は、社員や元社員、業務提携先の社員による不正行為が原因となる場合もあります。彼らは情報を意図的に外部に持ち出し、その目的は個人情報の転売や企業への報復などが挙げられます。
金銭の収受や不満からくる企業への報復を果たすために、個人情報が悪用されるケースもあります。これにより、企業側に甚大な被害が生じることもあります。
内部の人間による不正行為や情報の持ち出しは、高度なITスキルがなくても比較的容易に行えるため、企業にとっては監視が難しいのが特徴です。彼らは監視が厳重でないタイミングを見計らって、USBメモリにデータをコピーしたりするなどの手法を用いて不正を行います。
社内で取り組むべき情報漏洩への対策
ここからは社内での対応に焦点を当て、内部要因による情報漏洩を防ぐ手段について解説します。
業務用機器の持ち出しを禁止する
ノートパソコンを使用する際、セキュリティワイヤーを活用することで、特定の座席から機器を移動できないようにすることが可能です。同様に、設置された機器のUSBポートに制限をかけてデータのUSB出力を防ぐ方法もあります。
また、持ち出す必要が生じた場合は、上司の承認を得なければ端末を持ち出せない体制を整えるなど、物理的な対策と組織内の制度整備の双方で、機器の持ち込みや持ち出しを防ぐための環境を整えることが肝要です。
誤送信対策を徹底する
メールの誤送信を防ぐための対策は、セキュリティ対策の基本です。誤送信を予防するためには、社内で情報セキュリティへの意識向上を促進するための教育体制や研修の実施が非常に重要です。
また、他社へのメール送信時には上司などの承認が必要なシステムを導入するなど、ミスを削減するための手段も有効です。
社員へ向けた「個人情報に関する教育」を行う
セキュリティポリシーや実施要領を策定するとともに、社員へ向けた研修を行うことは、効果的なセキュリティ対策の一環となります。
社内教育を定期的に行い、他社で発生した事例を具体的に紹介した上で、KYT(危険予知トレーニング)を導入することにより、従業員のセキュリティ意識を向上させることが期待できます。
ツールを導入する
情報漏洩の防止策として、端末の紛失時に有効な手段の1つがMDM(モバイルデバイス管理)です。MDMには「リモートロック」機能や「リモートワイプ」機能があり、これらを利用することで、端末を遠隔でロックしたりデータを削除したりできます。
これにより、端末が紛失した場合でも情報漏洩を未然に防ぐことができます。
セキュリティソフトの導入を検討する
不正攻撃からの保護には、セキュリティソフトの導入が効果的です。セキュリティソフトには挙動監視やサイバー攻撃の感知、ソフトの脆弱性の診断などさまざまな機能があります。
適切なソフトを選ぶには、自社の導入目的に合ったものを選定することが重要です。また、導入したソフトを定期的に最新状態にアップデートすることで、最新のウイルスや攻撃手段に対する対策を確保できます。
専門家による脆弱性対策を実施する
Webサイトやソフトの脆弱性に対処するためには、不正検知システムを取り入れることが有益です。その理由は、不正アクセスが主にWebサイトやソフトの脆弱性を標的にするからです。
不正感知システムは、カード決済時に不正行為を検知する仕組みで、これを導入しているのは主にクレジットカード会社や通販企業、ECサイトなどです。
脆弱性に関しては専門的な知識や技術が必要となります。社内に知見のある技術者がいない場合には、専門会社に依頼するのがおすすめです。
依頼には一定の費用がかかりますが、情報漏洩の被害額の方がはるかに大きいため、決して無駄な出費ではないと言えるでしょう。
日頃から定期的に脆弱性を確認し、対策を行うことで、企業の信頼を守ることにも繋がります。
まとめ
情報漏洩が発生すると、企業は損害だけでなく社会的信用も喪失します。これを防ぐためには、企業は事前に情報漏洩を防ぐための体制や規約を策定し、強固なネットワーク構築が必要です。
しかし、セキュリティが整った環境であっても、人間側のセキュリティ意識が低いと効果が薄れます。社員一人ひとりがセキュリティ知識と意識を向上させることが、すべてのセキュリティ対策の基盤となります。
「社員一人ひとりのセキュリティ意識向上」や「情報漏洩の防止環境整備」を望む企業の情報システム部門担当者の方は、ぜひ一度インフォシールドへお問い合わせください。
NEW
-
ランサムウェア対策の優先順位と狙われやすい社内システムとは?
2025/07/25 -
ランサムウェア攻撃の標的はオフィシャルサイトか社内システムか?
2025/07/25 -
「小中高生向けホワイトハッカー講座の狙いと効果」
2025/07/21