個人情報などの機密情報が漏洩する事件が毎日のように報道されています。不正アクセスや人的ミスなど、情報漏洩にはいくつかの原因がありますが、ひとたび情報漏洩が発生してしまうと、なかったことにはできません。この記事では情報漏洩によって発生する影響や対策方法について詳しく解説します。

情報漏洩とは、機密情報や個人情報など企業が保有している重要データが外部に漏れてしまうことです。

インターネット上では、SNSやWebアプリケーションが利用できますが、それらはIDとパスワードによって認証されています。認証を行うことで、それらのWebサービスに保存されている情報へのアクセスを制限しているわけですが、不正アクセスなどの原因で、第三者に情報が流出してしまうことがあります。

つまりネットワークの利用で顧客データの保存や管理が容易になった反面、管理する情報の量や情報を扱う人も増え、漏洩するリスクも増大してしまったのです。

情報漏洩の原因は不正アクセスのような悪意のある攻撃だけとは限りません。「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏洩インシデントにおける漏洩原因の第1位は「紛失・置忘れ」で26.2%、「誤操作」が24.6%で第2位、「不正アクセス」は20.3%で第3位です。

つまり情報漏洩の原因の上位を占めているのが、うっかりミスなどによる人的ミスによるものなのです。

企業において管理されるべき情報が漏洩することで発生する影響は甚大です。特に以下の2つは企業活動において大きな影響を与えます。

これら2つの影響について詳しく見ていきましょう。

企業は業務を行う上で、膨大な量の個人情報や機密情報を取り扱っています。特に個人情報については「個人情報の保護に関する法律」で保護されるような重要な情報です。

そのような重要な情報を取り扱っている企業から、情報漏洩が発生したらどのような影響が発生するのでしょうか。情報流出の規模にもよりますが、企業は非常に高額な損害賠償を行わなければならないケースがあります。

これはあくまでも法律上の罰則規定です。
実際に個人情報を流出させてしまった場合、民事上の損害賠償責任が発生します。状況によって異なりますが、1人あたり数千円から数万円程度の金額にもなることがあります。

企業ではなく個人単位で管理している情報が漏洩した場合でも、クレジットカード不正利用などで金銭的な被害が発生する可能性があります。

例えばプライベートで利用しているECサイトに不正アクセスされて、身に覚えのない買い物をされたり、ネットバンクで自分の口座から他人の口座へと不正送金されたりしてしまうなどのケースです。

情報漏洩が原因で発生する金銭的被害の金額は予測困難です。特に企業においては金銭的被害に加えて、次で紹介する社会的信用の失墜も無視できません。

企業で情報漏洩が発生すると、テレビやネットニュースなどで大きく取り上げられることがあります。その際、自社の名前が情報漏洩を起こした企業として大きく報道され、会社のイメージが大きく損なわれます。

もしそうなってしまうと、自社の商品やサービスの売上が大きく下がったり、取引先から取引や契約を打ち切られたりする可能性があります。
そのような企業では、業務員が情報漏洩に関する対応に業務時間が奪われるため、通常の業務にも大きな影響が発生してしまいます。

一度失った社会的信用を取り戻すのは難しいでしょう。情報漏洩発生後の対応のまずさで、さらに事態を悪化させているケースも少なくありません。

現在、情報漏洩は様々な企業で発生しており、原因についてもいくつかのパターンがあることがわかっています。そのため、予測可能な原因については予め対策やマニュアルを用意しておくことで効果的な対策が実施できます。

例えば以下のような情報漏洩の事象が予測されます。

これら3つの原因について見ていきましょう。

ここからは情報漏洩事件の事例を3点紹介します。

セブンイレブンが2019年7月1日に開始したQRコード決済システムの「7pay」で発生した不正アクセス事件です。この事件では7payのシステムのセキュリティ上の欠陥が話題となりました。

例えば、7payで認証に使われるIDが誰でも乗っ取られる仕組みになっており、クレジットカード情報などの金融情報を取り扱っているにも関わらず、2段階認証にも対応しておらず、パスワード変更に必要なはずの生年月日の入力を省略できるなどのずさんさが露呈しました。

結局、7payの利用は停止させられたまま、2019年9月30日をもってサービスを修了することになりました。

2020年9月にNTTドコモが提供しているドコモ口座を経由して、地方銀行の口座から預金が不正に引き出される事件が発生しました。攻撃者は、他人名義のドコモ口座を開設し、開設したドコモ口座と被害者の銀行口座を紐づけ、その銀行口座から攻撃者が解説したドコモ口座へとチャージする形で不正に送金させていました。

ドコモ口座事件では「リバースブルートフォース攻撃」というサイバー攻撃が使われたことも話題となりました。通常のブルートフォース攻撃では、特定のIDに対してパスワードを総当たりで攻撃する手法が用いられますが、リバースブルートフォース攻撃では、パスワードを固定にした状態で、複数IDに対して総当たりを仕掛ける手法が使われています。これにより、シンプルでわかりやすい暗証番号を使用していた場合、認証が突破され、被害者の銀行口座へと不正アクセスされてしまいました。

株式会社カプコンが2020年11月16日、同社グループシステムが保有する顧客情報、従業員情報、採用応募者情報などの合計35万件が外部流出した可能性があると発表しました。

カプコンの発表によると、この情報漏洩事件の原因は、ランサムウェアを用いた標的型攻撃でした。この情報漏洩ではクレジットカード番号の流出はなかったとされていますが、氏名や住所、電話番号、メールアドレスなど内容の個人情報が流出した可能性があると発表されています。

情報漏洩は企業活動において重大なセキュリティ事故です。記事中でも紹介したように、情報漏洩の理由の多くは人的ミスによるものです。情報漏洩への対策では、従業員に対するセキュリティ意識を高める教育に加えて、技術的な対応策の導入なども合わせて取り組むことが効果的です。

ISMS取得できるのか？いつまでに取れそうか？どれくらいの費用がかかるのか？
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。