情報漏洩の8割は〇〇?

昨今SNSが普及し、個人の声が絶大な力を持つようになり、企業としての振る舞いも一挙手一投足見られています。 そこで重要なのが企業としての信頼性です。 個人情報を多く抱える企業はその取扱い方を間違えると、信頼性を失い潜在的な顧客を逃すだけでなく、金銭的な損失を被る可能性もあります。 今回は情報漏洩の原因とその対策を実例を踏まえて紹介していきます。

情報漏洩と聞いてどのようなものを想像するでしょうか。 実は情報漏洩の8割が内部起因によるもので、 内部の人間による盗難や出張で持ち出したデータを出先でなくすといった内部要因がほとんどです。 つまり、情報漏洩に対してより効果的な方法は実は内部への対策を徹底するということになります。 情報漏洩には2種類あり、ニュースでよく取り上げられるのが、企業が顧客の情報を漏洩してしまう「個人情報の漏洩」です。 これとは別に他企業・自社の秘密情報を誤って漏らしてしまう「機密情報の漏洩」もあります。 ここでは実例を紹介しつつ、その対策方法について解説します。

2022年1月、A社の従業員は転職に合わせて、個人情報を含む64件の顧客情報を持ち出して、逮捕されました。 転職先の会社にとって有益な情報のため持ち出して転職後の地位を確立するという、いわゆる手土産転職は非常に多く発生しています。 反対に、所属していた企業に対して怨恨を持っていて、悪意を持って持ち出してインターネットなどにばらまくというケースも存在しています。 これを防ぐためには、多くの企業でも採用されている、業務に関わる情報の持ち出し制限やアクセス権限を制限したりする方法が一般的ですが、限界があります。 出張や設備機器メンテナンスといった業務上やむを得ない持ち出しに加えて、テレワークが浸透したこともあり、「正当な持ち出し」が圧倒的に増加したためです。 こういった情報漏洩を完全になくすことは不可能ですが、これまでの持ち出し制限に加えて、新たに社内環境を充実させたり、社員のコンプライアンス意識の向上を徹底させたりする必要があります。

スニーカーのネット販売をおこなっていたS社では、データベースに対して不正アクセスが行われ、ユーザーの氏名やメールアドレス、住所を含めた詳細な個人情報が約275万件漏洩してしまいました。 基本的にハッカーや不正なリクエストなどのサイバー攻撃は、改善してもまた別の方法で不正アクセスされてしまうという、いたちごっこになるケースが多いです。 ですが、セキュリティホールと呼ばれるシステムの脆弱な部分を減らすことは可能です。 大企業でなくてもデータを取られる可能性があるということを念頭に置いて、セキュリティ対策を万全にしておく必要があります。

データの取扱ミスは非常に多く、ケースも様々です。 例えば2022年の12月の大きなケースを見ても、データを保存していたUSBや記録端末を紛失したのが2件（合計約2000件の個人情報漏洩）、メールの誤送信により個人情報を漏洩したのが1件（約1000件の個人情報漏洩）と、ひと月だけ見てもこれだけの情報漏洩をしてしまっています。 ニュースにもならない取扱ミスも非常に多いことでしょう。 社用スマホを電車や居酒屋に置き忘れてしまったり、メールアドレスを間違えてA社宛のものをB社に送ってしまったりといったものです。 情報漏洩は企業としての信頼性を失うだけでなく、世間の評価が下がり、今後の売上の減少なども考えられるため適切で迅速な対応が求められます。 機密情報が入ったものを持ち出しする際には申請を必要にしたり、メールの送信前に複数人でダブルチェックを行う仕組みを取り入れたりして、できる限り情報漏洩する可能性を減らすことが重要です。

世間的にニュースになるのは主に個人情報の漏洩についてで、営業秘密の漏洩については言及されにくいです。 営業秘密とは法律にも定められており、平たく言えば、業務マニュアルや事業計画などがあたります。 そのなかでも特に技術上、営業上重要とされるものや、秘密として管理されているもの、また、公然には知られていないものは不正競争防止法において保護されています。 2021年に起きた高速通信規格の５G技術に関連する営業秘密を転職先に不正に持ち出した件は大きな話題になりました。 不正に持ち出した男は、2022年12月末に罰金100万円、懲役2年執行猶予4年の有罪判決が出されました。 こちらもいわゆる手土産転職に該当しており、本人には善悪の判断も深く考えなかったと供述しています。 情報持ち出しを防ぐためには、機密ファイルのアクセス権を社用PCに限定するなどが考えられます。 それでも正当な権限を持つ人物の持ち出しは防ぎようがなく、限界があります。 現在の日本では、営業秘密の漏洩は上記の通り実刑判決が下される程の罪とされています。 いくら転職先にアピールをしようとしても捕まってしまうのでは意味がありません。 このような事実と会社として毅然とした対応をするということを社内で周知することで不正持ち出しを減らすことができるでしょう。 企業としては転職してきた従業員が不正持ち出しされた「お土産」を持ってきた場合、いくら有益だとしても断ることも重要です。 そういった小さな行動が、レピュテーションリスクの減少にも繋がります。

ここで紹介した以外にも数え切れないほどの種類のパターンがあります。 みなさんも新人のころ、メールの送り先企業を間違えそうになったことはありませんでしょうか。 日常のメール一つとっても情報漏洩の可能性は潜んでいます。 チェックを怠って個人情報を漏洩し、企業としての信頼を失うのと、チェックの回数を増やしたり、従業員のコンプライアンス意識を徹底して漏洩を防ぐのとどちらが有益かは一目瞭然です。 情報漏洩の8割は内部起因なので、体外的なセキュリティ対策よりも遥かに重要です。 セキュリティ対策を万全にするのも重要ですが、一度意識を内側に持っていき、日々の情報漏洩の意識を見直すきっかけになれば幸いです。