企業が知っておきたい情報漏洩の5つの対策方法と調査・対応の流れ

そもそも「情報漏洩」の定義とは？

情報漏洩とは、企業や団体の機密情報などの重要なデータが外部に流出することを指します。現代のデジタル社会によるインターネットの普及により、社内の重要なデータはパソコンやクラウド上で管理するようになっています。情報漏洩はその管理体制が不十分なことが原因で起こるため、現代において企業の情報を守るためのセキュリティー対策は必須といえます。

事例から学ぶ、企業の情報が漏洩するリスク

情報漏洩が起きてしまう要因は企業内に溢れています。事例を参考にリスクを確認し、対策を行いましょう。

1．なりすましや不正利用の発生により社会的な信用が低下する

企業の情報が漏洩すると、第三者がその企業を名乗って情報を不正に活用するという危険性があります。

情報漏洩により、情報を手にした第三者が企業になりすまし、偽のメールを利用者に向けて送るという行為が確認されています。このように企業が意図しない行動を取る可能性があるため、ステークホルダーに悪影響を及ぼすことも。さらに、社会からの信用を失うリスクが生じます。

2．不正アクセスによるWebサイト改ざんが起こる

情報漏洩の中には、Webサイトへのログイン情報も含まれます。Webサイトへアクセスするための情報が外部に漏れることで、第三者が簡単に不正アクセスでき、表示されている情報などを改ざんされる恐れがあります。

不正アクセスが発覚した場合、企業情報だけに留まらず、企業が扱う個人情報の流出につながる場合があります。

3．顧客データが流出した場合、顧客に対する損害賠償が発生する

前述した不正アクセスや何らかの形で顧客データが流出した場合は、個人情報を漏えいすることで、企業に課せられる罰則や、顧客に対する損害賠償が発生します。行政から業務改善命令の指導が入り、再発防止策の報告が命じられます。

情報漏洩が起きてしまう主な4つの原因

株式会社東京商工リサーチの調査によると、2021年は120社、137件、574万9,773人分の漏洩・紛失があったとしています。これは2012年の調査開始以来、最多になります。情報漏洩の件数が年々増えているため、起きてしまう要因を確認し対策を講じましょう。

参考：上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分（2021年）

1．不十分な管理体制

情報の管理体制が十分でなく、簡単に情報を持ち出せる状態だと漏洩のリスクが大幅に増加します。従業員が情報を外に持ち出し、意図せず誤って漏えいしてしまうこともあります。

情報の取扱いに関して不安要素がある企業は、従業員の持ち出しの禁止などガイドラインの制定や、管理体制に対して必要な処置の見直しをする必要があります。社内で管理体制の構築に対する知識がない企業は、外部の力を借りたセキュリティーの構築などをおすすめします。

2．誤操作など人的ミス

意図した行動でなくても情報漏洩のリスクは十分に考えられます。例えば、本来外部に共有すべきではない情報を、誤操作により取引先や関連企業にメールなどで送ってしまうのも情報漏洩の原因になります。

誤操作による情報漏洩は、全体の多くの割合を占めており、特に多いのがメールの誤送信です。送信先を誤って設定してしまい、関係のない企業などに送ってしまうことにより情報漏洩が発生します。このようなミスを防ぐために、ダブルチェックの徹底が重要です。

3．紛失・置き忘れ

リモートワークの普及により、自宅をはじめコワーキングスペースやカフェなど社外から企業の内部情報にアクセスする機会が増えました。情報を外部に持ち出した分、情報を記したメモなどの紛失や置き忘れが生じる可能性も高まります。リモートワーク環境下での情報には、ルールづくりなどによる厳重な管理が必要です。

4．不正アクセス・マルウェアへの感染

第三者による不正アクセスで、情報を持ち出される可能性があります。このような外部からの不正アクセスには、セキュリティーサービスの導入で対応できます。まずは、現状のセキュリティー状況を確認しましょう。そして、不正アクセスを未然に防ぐために必要なサービスの導入を検討したり、すでに導入している場合はサービスの更新をチェックしたりするなど、セキュリティーの見直しもおすすめです。

マルウェアは、スパムメールやセキュリティーが不十分な怪しいWebサイトへのアクセスが感染経路です。感染すると、企業内部の顧客情報の流出やWebサイトの改ざんなどあらゆるリスクに晒されます。セキュリティーを十分に施しているつもりでも、高度な技術でサイトやセキュリティーの穴に侵入してしまうこともありますので、細心の注意が欠かせません。

情報漏洩を防止する5つの対策方法

情報漏洩を未然に防ぐためには事前準備が重要です。どのような対策が必要か確認し、被害を最小限に抑えられる体制づくりを徹底しましょう。ここでは、情報漏洩を防止する5つの施策を紹介します。対策が不十分だと感じている場合は、企業全体で実施できるよう参考にしてみてください。

1．企業情報の管理におけるガイドラインを制定・徹底する

企業情報は、社内全体で管理についてのルールが必要になります。中でも、昨今のテレワーク導入などの働き方改革で情報を外部に持ち出す機会が増えたため、管理におけるルールの策定と周知徹底が重要です。また万が一情報漏洩が発生した場合は、早急な対応が必要です。従業員が事前に把握しておくためにも、ガイドラインに対処方法などをまとめておきましょう。

2．情報の持ち出しを禁止する

社内情報などの持ち出しなど、漏洩のリスクになる事象を一つひとつつぶしていけば、リスクを最小限に抑えられます。例えば、上記のガイドラインに閲覧場所などの規定を設けておけば、不要な持ち出しは未然に防ぐことができます。機密性の高い情報が入ったパソコンやUSBメモリは、なるべく家に持ち帰らずに社内でのみ業務を行うなど、情報の持ち出しに対してのガイドラインを定めましょう。

3．私物の機器を持ち込ませないよう指導する

私物のパソコンで業務すると、社内情報が流出する危険性が高まります。企業内で厳重にセキュリティを強化していても、私物のパソコンなどの機器でのセキュリティーが十分でない状態では情報漏洩を防げません。万が一に備えて、私物の機器の持ち込みなどの禁止を社内ルールに取り入れることをおすすめします。

4．むやみに権限を譲渡しない

重要な企業情報にアクセスできる権限を持つ社員を最低限に絞り、流出経路を少なくすることで情報漏洩のリスクは減少します。権限の整理を行えば必然的にセキュリティーの強化にもつながるため、社内での権限整理をおすすめします。

権限の譲渡はもちろん、パスワードなどの情報を見聞きできる状態にしないように気をつけなくてはいけません。

5．セキュリティーソフトの導入・更新を行う

セキュリティーソフトを導入しいるから問題ないと見直しをしなかったり、報漏洩の対策を後回しにしてしまってたりすると、思いもよらないところからセキュリティーの穴からの情報漏洩が起きることが考えられます。セキュリティーは常に最新・安全の状態を保つように徹底が必要です。またセキュリティーソフトを扱う人の選定も重要です。セキュリティに対して苦手意識や知識不足がある人を担当にするのはリスクがあります。社内に任せられそうな人がいない場合は、外部の企業への委託をおすすめします。

情報漏洩していないか調査する方法

情報漏洩が起きていないかを調査する方法としては、主に「ソフトウェアの利用」と「外部の企業への依頼」の2つがあります。ソフトウェアは導入することにより、パスワードの流出などが発生していないか確認できます。企業に依頼すると、ヒアリングのうえ、マルウェアの感染確認など細かいところまで調査してくれます。

情報漏洩が発覚した場合の対応の流れ

情報漏洩が発生した場合には迅速な対応が求められます。対応が遅れると二次被害を誘発し、顧客データの流出などにより企業の信頼喪失につながります。情報漏洩が起きた場合は管理職だけでなく企業全体で対応を確認し、的確かつスピーディーな対応を取れるようにしましょう。対応の流れは7つに分けられます。

STEP1．情報漏洩を発見・報告

情報漏洩を発見したら、関係各所に報告し、今後の動きについて社内で明確に取り決めます。事実をあやふやにし対処が遅れると二次被害につながるため、正確な情報共有・報告の徹底が重要。情報漏洩の兆候を確認した場合は、責任者に報告し初動対応の準備が必要です。業内でできる適切な処置を行える態勢を整えましょう。

STEP2．初動対応を行う

情報漏洩の初動対応としては対策本部を設置し、対応方針を決定します。被害拡大の防止のために必要な応急処置を行いましょう。情報が外部からアクセスできる状態や、被害が広がる可能性がある場合には、これらを遮断する措置として情報の隔離やサービスの停止などを行います。

STEP3．事実関係の確認・調査

初動対応後は、冷静にいつ、どこで、誰が、何を、なぜ、どうしたのかという観点で事実関係の確認および調査を行いましょう。具体的には、事実関係を裏付ける証拠を確保します。この事実関係が曖昧だと必要な処置を必要な箇所に施せず、異常事態が発生している状態を長時間にわたって放置してしまう恐れがあります。二次被害を防ぐためにも、事実確認とスピーディー調査をスピーディーかつ丁寧に行いましょう。 

STEP4．起きている事象やトラブルの報告

事実確認を行ったうえで、これまで起きている事象とトラブルを関係各所に報告します。ただし、事実確認を行わない状態で大々的に報告すると、現場を混乱させてしまうリスクもあります。事態の把握ができたら、漏洩した情報に関係する個人情報や取引先、マスコミなどへ通知しましょう。そして、もしも情報の紛失や盗難のほかに脅迫などの犯罪性のある事象の場合は、警察への届出が必要です。

STEP5．リリースなどを用いた企業外部への広報対応

重大な情報漏洩は企業内にとどめず、外部への周知が必要です。隠した状態でさらに被害が広がるとステークホルダーや顧客への影響がより大きなものとなってしまうためです。とはいえ、周知するタイミングの見極めも大切です。被害の拡大を招く恐れも考えられるため、公表する対象や時期を検討しましょう。

STEP6．被害拡大防止の措置

起きた被害を拡大させないためにも措置を行いましょう。情報漏洩が起きたシステムやサービスの停止はもちろん、利用者がサービスを利用しないように周知徹底させるなどです。その後、専用の相談窓口を設置し、さらなる被害が発生した場合に、素早く対応ができるような態勢を整えましょう。

STEP7．再発防止策の実施

事態が落ち着いたら、最後に二次被害や今後の発生を抑えるために、再発防止策を実施します。企業内の再発防止策でまず行いたいのは、セキュリティーソフトの導入や更新、情報の保管に関するルールの再定義などが当たります。必要な事後対応として、被害者がいる場合は損害補償などについての必要な措置を行います。情報漏洩の責任の所在についても十分な検討を行い、必要な処分の手続きを行います。

情報漏洩のリスク・原因を認識し、正しい対応で被害を最小限にとどめよう

いつ、どこで情報漏洩が起きるかわかりません。自社の情報を守るためには、管理体制を整えて、対処法をガイドラインに落とし込み周知する必要があります。

万が一、情報漏洩しても正しく対応すれば被害を最小限に抑えることが可能です。今回紹介した、対策方法と調査・対応の流れを参考に情報漏洩のリスクに備えましょう。