企業内で情報漏洩が発生してしまうと、大きな損害をもたらすだけでなく、顧客からの信用を失ってしまいます。しかし、情報漏洩に対する具体的な対策・行動をとっている企業は、案外少ないのではないでしょうか。この記事では、情報漏洩を防ぐために企業が行うべき施策や、実際に起きてしまった事故事例について紹介します。個人情報や機密情報に触れる機会がある方はぜひ参考にしてください。
情報漏洩の原因とは
情報漏洩の主な原因は、「外部要因によるもの」と「人為的ミスによるもの」の二つです。外部要因の例として、従業員のパソコンがマルウェアに感染してしまい、外部の第三者が社内ネットワークに不正アクセスするといった事例が挙げられます。人為的ミスとしては、従業員の誤操作や管理ミスによって外部に情報が漏れるケースが代表的です。また、内部犯罪によって情報の意図的な持ち出しや流出が行われる場合もあります。
情報漏洩対策の基本
情報漏洩を防ぐためには、日頃から従業員全体で意識を高めることが必要です。ここからは、社内の情報を外に漏らさないための基本対策について解説します。
持ち込まない
情報漏洩を防ぐためには、私物のパソコンやスマホを持ち込んで業務に使用しないようにすることが大切です。私物のパソコンは社内のパソコンと比べてセキュリティが甘いことが多く、情報が漏れてしまう危険性があります。また、社内のネットワークに属していないため、会社で統括管理ができない点もリスクのひとつです。
持ち出さない
社用のノートパソコンやスマホを外に持ち出すと、紛失や盗難などによって情報が漏洩するリスクが高まります。原則として、職場からの不要な持ち出しを禁止するようなルールを作りましょう。やむを得ず持ち出さなければいけない場合は、「上司の許可を取る」「持ち出しは最低限の端末に限定する」といった社内ルールを設けることをおすすめします。
教えない
情報漏洩を防ぐには、社内の機密情報や個人情報を安易に他人に教えないことが大切です。何気ない日常会話のなかでも、重要な情報を漏らしてしまうことがあります。社外で業務内容や従業員の個人情報に関する話題を話す際には十分に注意しましょう。カフェで行うWeb会議や飲み会時の雑談など、気が抜けやすい状況は特に注意が必要です。
安易に破棄しない
破棄したデータから社外に情報が漏れる場合があります。「不要な書類はシュレッダーにかけて読めないようにする」「データ消去ツールを使用する」「ハードディスクやパソコンは物理的に破壊する」など、復元できない状態にしてから破棄することが大切です。また、機密書類が記載された書類は裏紙として使用しないように注意しましょう。
報告する
「社内のパソコンがマルウェアに感染してしまった」「重要なデータが入ったUSBを紛失してしまった」など、万が一情報漏洩のリスクが発生した場合はすぐに職場に報告しましょう。早急な対策を行うことで、被害を最小限に抑えられる場合があります。
企業が整えるべき情報漏洩対策とは
企業は情報漏洩のリスクに備えて、日常的に対策を行う必要があります。ここからは、企業が整えるべき情報漏洩対策を解説します。
セキュリティに関する教育を行う
人為的ミスによる情報漏洩を未然に防ぐためにも、日頃からセキュリティに関する教育を実施しておきましょう。セキュリティ教育は機密情報を扱うことが多い役員だけでなく、派遣社員やアルバイトを含めた全従業員に行う必要があります。セキュリティに関する意識を向上させることが情報漏洩の防止につながります。
守秘義務に関する契約を締結する
企業と取引を行う際は、相手先と秘密保持契約を締結するようにしましょう。秘密保持契約とは、取引や業務によって知り得た機密情報を外部へ漏洩したり、事前に決められた目的以外で利用したりすることを禁止する契約のことです。事前に契約を結んでおけば、仮に相手方の過失で自社の機密情報が漏洩した場合、損害賠償請求を起こすことが可能になります。
何重にも防御を施す
万が一外部から自社ネットワークに侵入された状況を想定し、事前に何重にも防御を施しておくことが重要です。近年ではハッカーの手口が巧妙化しており、ひとつのセキュリティ対策だけでは容易に突破されることもあります。社内の機密情報にアクセスされないためにも、多層防御を心がけましょう。セキュリティシステムの更新や機能のアップデートをこまめに行うのも重要です。
ガイドラインと運用ルールの策定
情報漏洩が起こる前に、社内でガイドラインを策定しておくことを推奨します。国内外で情報セキュリティに関するさまざまなガイドラインが発行されているため、それらを参考にしながら機密情報の運用ルールを設けてみましょう。
情報漏洩してしまった場合の対処方法
万が一情報漏洩が発生してしまった場合、被害の拡大を防ぐためにも迅速な対処が必要です。ここでは、社内情報が外部に漏れた際の対応について解説します。
情報漏洩の状況を把握する
情報漏洩が発生した場合、まずは実態を把握することが大切です。現状を正しく理解することで、その後に適切な対処を行いやすくなります。流出してしまった情報の内容や規模、影響を及ぼす範囲を確認し、可能であればシステムの緊急停止などの応急処置を行いましょう。
情報漏洩の発生原因を突き止める
情報漏洩による被害が拡大しないように、情報が流出してしまった原因を突き止める必要があります。発生原因が外部要因によるものか、人為的ミスによるものかによって行うべき対策が異なるため、できるだけ早く正確に原因を追求することが求められます。
対象者に事実を公表する
流出してしまった個人情報は、本人・取引先など、情報漏洩によって影響を受ける対象者に事実を通知します。また、ホームページやマスコミ等に対する公表を検討しましょう。もしも情報漏洩の原因が外部からの不正アクセスや内部犯罪などの場合、警察に届け出ることになります。
再発防止対策を実施後に公表する
情報漏洩の原因が判明したら、根本的な再発防止対策を検討・実施しなければいけません。このほかに、調査報告書の作成、被害者に対する損害補償、該当する従業員の処分などを行う必要があります。これらの対策が完了したあと、必要に応じて情報を開示します。
情報漏洩の事故事例
日本の大手企業でも、情報漏洩による事故がしばしば発生しています。他社の事例を学び、同じ事態にならないように対策することが情報漏洩の防止につながります。ここでは、実際の事故事例について紹介します。
メルカリ・不正アクセス
株式会社メルカリでは、2021年5月に不正アクセスによる情報漏洩が発生しています。不正アクセスを受けたのは機能改善などに利用していた外部の計測ツールで、約28,000件の情報が流失しました。流失したのは氏名や口座情報などの個人情報や、同社のスマホ決済サービスの加盟店情報などです。メルカリは当該のツールの利用を取りやめ、情報が流出した顧客にはそれぞれ対応の案内を行いました。
LINE・業務委託
2021年3月、LINE株式会社は「業務委託先の中国の関連会社に勤務する従業員が、LINE利用者の個人情報を閲覧できる状態であった」と公表しました。関連会社には違反内容などに関する分析ツールの開発を委託しており、従業員が閲覧できたのは個人情報のほかにトークの履歴や画像が含まれています。LINEの運営陣は情報漏洩や不正利用はないと説明したものの、ユーザーへの説明が不十分だったとして謝罪を行いました。
ベネッセ・内部漏洩
株式会社ベネッセコーポレーションでは、2014年6月に個人情報が外部に流出していることが判明しました。情報漏洩が発覚したのは、会員から「ベネッセとは無関係の企業からダイレクトメッセージが届くようになった」との問い合わせがあったことがきっかけです。社内調査の結果、約29,000件の個人情報が流出していることが明らかになりました。個人情報の管理を委託していた企業の派遣社員が個人情報を持ち出し、名簿業者などに転売を行ったことが流出の原因です。ベネッセはお詫びとして会員に図書カードや電子マネーギフトを配布し、それらの費用によって総額約136億円の赤字を被ることになりました。
まとめ
情報漏洩を防ぐためには、日頃から職場全体でセキュリティ対策を実施しておくことが必要不可欠です。事前にガイドラインや運用ルールを設定し、いざという時に迅速な対応ができるように備えておきましょう。実際に起きた情報漏洩の事故事例を参考に、自社の取り組みを見直すことをおすすめします。