ニュースを見ていると、時折個人情報漏えいがおきてしまい、企業の代表が謝罪しているものを見たことがあるのではないでしょうか。
「名簿を持ち出した」「お金欲しさに外部企業に情報を流した」など様々な原因が報道されています。
今回はなぜそのような個人情報漏えいが起きるのか、どんな事例があるのか、どのように対策すればよいかを解説します。
「会社でセキュリティ対策の担当になったけど、どうすればいいかわからない」「知識がない」という方は、ぜひこの記事を参考にしてみてください。
また、従業員のセキュリティリテラシーや意識の低さに困っている方へ、情報セキュリティ教育クラウド「セキュリオ」がオススメです。
セキュリティeラーニング、標的型攻撃メール、独自のセキュリティアウェアネスといった多面的な機能で従業員のセキュリティリテラシー・意識を向上します。
個人情報の定義についておさらい
個人情報は個人情報保護法で以下のとおりに定義されています。
「生存する個人に関する情報であって、[中略]当該情報に含まれる氏名、生年月日その他の記述等[中略]により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)[中略]個人識別符号が含まれるもの」
個人情報の保護に関する法律より
ここで見るべきポイントは以下の2つです。
- 生存する個人に関する情報
- 特定の個人を識別できる情報(個人識別符号を含む)
「個人情報」とは、生存する個人に関する情報で、その情報に含まれる氏名や生年月日などによって特定の個人を識別できる情報であり、氏名や生年月日、連絡先(住所・電話番号・メールアドレス等)会社での役職などの情報も個人情報に該当します。
個人情報の定義については、こちらの記事で、より詳細に解説にしているのでご覧ください。
個人情報が漏えいする要因
そもそも、個人情報が漏えいしてしまう原因は一体何でしょうか。
「特定非営利活動法人 日本ネットワークセキュリティ協会」の調査によると、2018の個人情報漏えい事件で、1番多かった原因は、従業員による「紛失・置き忘れ」の116件で、全体の26.2%と4分の1を超えていました。
2番目に多かったのは「誤操作」の109件で、全体の24.6%。こちらもおよそ4分の1です。
3番目に多かった原因が、「不正アクセス」の90件で、全体の20.3%でした。
個人情報流出の多くは内部従業員によるミスであり、4番目に多い「管理ミス」を含めると、全体の6割を占めています。
個人情報の流出と聞くと「悪意ある人物により不正に盗まれる」というイメージが強いと思いますが、不正な持ち出し、盗難は全体の1割程度と想像以上に少ないと思ったのではないでしょうか。
これらの調査結果から、従業員のミスと外部からの不正アクセス被害を防ぐのが最優先で対応するべき事項だということがわかります。
個人情報漏えいによるリスク
個人情報漏えいの原因について解説しました。
個人情報は、内部の人間による気の緩みが引き起こしてしまう可能性と不正アクセスによるものが多いということが分かりましたね。
ですがニュースでは個人情報が漏えいしたと言うことは伝えていても、個人情報漏えいによる被害についてはそこまで語られていませんよね。
次に「個人情報漏えいのリスク」について解説します。
刑事上の罰則
情報漏えいが発覚した場合、個人情報保護法に基づき国からの改善命令が出されます。
改善命令に従わない場合、「6ヵ月以下の懲役または30万円以下の罰金刑」が科されます。
また、不正に利益を得る目的で情報漏えいを故意に行った場合は、加害者に「1年以下の懲役または50万円以下の罰金刑」の他に「会社にも50万円以下の罰金刑」が科されることになっています。
民事上の損害賠償責任
また、個人情報の漏えいは刑事上の罰則だけでなく、民事上も法的責任(損害賠償責任)が発生します。
賠償金額は、ケースによって異なりますが、「1人あたり数千円から数万円」個人情報の漏えいした人数が多くなればなるほど金額が増えるので、規模が大きければ数千万円以上になる可能性もあります。
その他の間接的損害
上記が法律により科される金銭的罰則は賠償責任です。
ですが、個人情報漏えいはこのような金銭的損害よりも、間接的損害の方が大きいです。
その一部を紹介します。
信用低下
一番大きな損害は「社会的信用を失う」ということでしょう。
過去に個人情報を漏えいしている企業へ積極的に仕事を依頼したいという会社は存在しません。
取引が少なくなったり、契約を打ち切られてしまったり、自社商品やサービスの売り上げが減る可能性も高くなってしまいます。
負のコスト増大
個人情報の漏えいが起きると、「なぜそれが起きてしまったのか」「どういう対策をするべきなのか」という検証が必要ですし、それに伴いシステムを見直したり、社内ルールを見直す必要があり、時間とお金がかかります。
ただし、このコストは自社の売り上げに貢献できるコストではありません。
必要なコストでありながら、売り上げの増大には貢献できない「負のコスト」が増えてしまうのは、会社の経営にとって大きな損害となるでしょう。
業務効率の低下
「個人情報を漏えいしてしまった」という情報がニュースやネット上で拡散されると、顧客や取引先等から問い合わせが多数よせられるでしょう。
この場合、問い合わせに対応する従業員たちの業務時間や労力が割かれてしまい、本来行うべき業務の時間が取れず、業務効率が低下してしまいます。
このように、個人情報を漏えいしてしまうと会社が傾きかねないほど、多大なリスクが発生してしまいます。
個人情報の保護には、適切な対策が必要です。
個人情報漏えいの事例
個人情報の漏えいについて解説しました。
では、実際に個人情報漏えいをしてしまった場合、どのような対応を企業は行っているのか。
実際に個人情報が漏えいしてしまった事例を紹介します。
パナソニック、不正アクセスのサーバーに個人情報
2021年6月~11月にあった不正アクセスで、アクセスされたファイルには個人情報が含まれていることが判明したケースです。
実際に流出したかどうかは不明ですが、応募者の個人情報が閲覧された可能性があります。
このように閲覧できる状態になってしまった場合も「個人情報の漏えい」と捉えられます。
ライトオン、不正アクセスにより個人情報24万7600人分流出
2021年11月4日に、外部から不正なアクセスを受け、顧客の個人情報24万7600人分が流出したと発表。
ライトオンのネット通販や店舗の会員登録に使う氏名、電話番号、住所、生年月日、性別、メールアドレスといった個人情報が流出してしまったという大規模な情報流出となっています。
専用窓口の解説や対応の声明発表、株価の下落など、個人情報流出による悪用被害こそ報告されませんでしたが大きな損害を出しました。
トヨタ、販売会社で個人情報の不適切な取り扱い 9社で3318人分
2021年8月19日、販売店の従業員が、車両注文書やアンケートに記載された個人情報を本人の同意を得ないまま登録し、トヨタへ提供していたことが判明。
2021年3月に福岡トヨペットで、本人の同意を得ずに共通ID発行のために登録していたのをきっかけに判明したとのことで、トヨタの個人情報に対する取り扱いの姿勢が問題視されました。
このように、実害が特になくても「この会社は本当に大丈夫なのか」「信頼に値する会社なのか」という点で会社に大きな損害が出てしまいます。
また、近年重大なセキュリティリスクとしてIPAの情報セキュリティ10大脅威にも常連となっている「標的型攻撃メール」の事例・サンプルをまとめたpdf資料を無料で配布しています。オリジナルの解説もついています。情報セキュリティへの備えとしてご利用いただければ幸いです。
こちらからDLできます。
個人情報漏えいに対する対策
実際の事例を紹介しました。
誰もが聞いたことがあるような企業でも、不正アクセスや社内意識の低さにより個人情報が雑に扱われていたりなど、様々な要因で個人情報の漏えいが起きてしまっていることが分かったかと思います。
個人情報漏えいが起きてしまってから対応していては、会社の信頼を損なってしまいます。
重要なのは、「個人情報漏えいをそもそも起こさない」事です。
個人情報漏えいを起こさないための対策について紹介します。
情報取扱方法のルール化
まずは、情報管理方法について社内で「ルール化」する必要があります。
「誰が」「どんな方法で」「情報を管理する」
このポイントを明確にしておき、このルールからそれた運用が行われないようにしましょう。
ルールを明確にすることで、個人の裁量による方法の差を無くすことができます。
罰則を受けないためにも、自社内できちんと個人情報取扱方法を定めましょう。
アクセス権の制限
社内の人間が、誰でも個人情報にアクセスできる状態では、「いつ」「誰が」情報漏えいをしてしまうかわかりません。
極端な例でいえば、悪意ある人物がアルバイトで入社して意図的に個人情報を盗む場合も考えられます。
その対応として「アクセス権を制限」するのが効果的です。
一定の役職や決まった部署の人物しか情報にアクセスできないようにしたり、データにIDやパスワードの設定をして、特定の人物しか見ることができないよう制限しましょう。
またデータだけでなく、書類も同様に鍵付きの棚に分離して保存する必要があります。
ネットに繋がない
個人情報が不正アクセスで漏えいするリスクを完全に無くす方法として、ネットに接続しないパソコンを用意するという方法もあります。
IT用語では「スタンドアロン」といい、データを保存するためだけに存在するPCならば、インターネットに不正アクセスされる可能性はありません。
運用が面倒になってしまうなど、デメリットこそありますが効果的な対策と言えます。
持ち出し困難な状態にする
従業員による情報の持ち出しを防止するため、そもそも情報を持ち出すことが困難な環境にするのも1つの方法です。
例えば、USBメモリやパソコン等、データを保存できる物を社内に持ち込まないように禁止したり、データを暗号化して、持ち出しても特定の方法を使わなければ、解読できないように設定することも効果的です。
漏えいが発覚しやすい環境を作る
どんな対策も100%は存在しません。
万が一、漏えいが発覚した際には即座に対応できるようにしておくのも重要です。
事実、事例で紹介した企業3社はいずれも当日中に声明を発表しています。
これは普段の業務に「不正アクセスがないかログをみる」を組み込んだり、怪しい人物がいないか監視カメラを設置したりなど、「漏えいしたという事実に気づかなかった」という最悪な事態を避ける環境づくりも重要です。
言い逃れできないようにする
不正行為が行われた際には、従業員が虚偽の申告をして責任を逃れようとする場合があります。
そこで、あらかじめ、言い逃れできない状況を作ることが大切です。
個人情報が含まれている資料に、「マル秘」「社外秘」マークをつけたり、社内研修で「個人情報保護法等の法律」「違反時の罰則」などを周知させるのも有効です。
また、業務委託先には「秘密保持誓約書等(NDA)」を締結させる方法も有効です。
罰則等の漏えいリスクを知らせる
先述した内容に加え、個人情報を漏えいさせたときのリスクも合わせて周知しましょう。
個人情報の漏えいは、最悪の場合、従業員本人に罰則が適用される場合があります。
罰則が適用されてしまうと、前科がついてしまう可能性があり、今後の人生に多大なる影響があるという事実を伝えておくと、不正な持ち出しをしようと魔が差すような従業員も減るでしょう。
コミュニケーションを密にとる
コミュニケーションを密に取ることでなぜ対策になるのか、疑問を持った人もいるかもしれません。
その理由として、従業員のモチベーション維持があります。
「この会社に貢献したい」「この会社をもっと大きくしたい」
そんなモチベーションがある人なら、おのずと個人情報についての意識も高くなるでしょう。
また、コミュニケーション以外にも、「待遇アップ」「ワークライフバランスの向上」「福利厚生の強化」などの施策をとることも、不正を働く従業員を減らす1つの手段です。
「会社への不満」をできる限り無くしていくことも、情報漏えいの対策に有効です。
セキュリオでは、従業員教育や標的型攻撃メール訓練はもちろんのこと、こうしたルールの周知徹底も効率的・効果的に実施していただけます。
まとめ
個人情報の漏えいについて紹介しました。
個人情報の漏えいは会社に多大なる影響を与える可能性があり、充分な対策を講じる必要があることが分かっかと思います。
繰り返しになりますが、一番良い結果は、「個人情報が漏えいしないこと」です。
事前に社内ルールを整備したり、不正アクセスが行われないようできる限りの対策を講じましょう。
