ページの本文へ

セキュリティ

企業に必要な情報漏えい対策とは? 押さえておくべきポイントなど

ITの発展に伴い、ビジネスの現場におけるIT活用は欠かせないものとなりました。一方で、サイバー攻撃や情報漏えいなどのセキュリティ事故も多くなっており、企業におけるセキュリティ対策は大きな課題の一つとなっています。その中でも、今回は情報漏えいについて解説します。

  1. 情報漏えい対策の基本
  2. 企業の情報漏えい事例

情報漏えい対策の基本

東京商工リサーチの調べによれば、2022年に上場企業とその子会社で発生した情報漏えい事故で、漏えいした個人情報は592万7,057人分と報告されています。これは公表されたものを集計したものであり、実際にはもっと多くの個人情報が漏えいしていると考えられます。

企業にとって情報漏えい対策は非常に重要です。2022年4月には個人情報保護法が改正され、情報漏えい時の報告義務や法令違反に対するペナルティの強化などが行われたことからも、情報漏えい対策の重要性が分かるでしょう。

では、具体的にどのような対策が有効なのでしょうか。ここでは、最低限押さえておくべき情報漏えい対策の5つの基本を解説します。

データ保護の方針の策定

はじめに実施するべきは、データ保護の方針を策定することです。どのようなデータをどのように扱うべきか、といったことを明確にすることで、適切なデータの取り扱いが可能になります。

データの中でも、企業の機密情報や顧客の個人情報などは特に保護すべきデータです。個人情報の保護に関しては、個人情報保護委員会が公表するガイドラインなどを参考にし、自社のデータ保護の方針を策定しましょう。
・「個人情報の保護に関する基本方針」(個人情報保護委員会)

セキュリティソフトウェアやツールの導入

情報セキュリティ対策では「人的」「技術的」「物理的」観点から対策を実施することが重要です。単一的な対策ではなく、複合的な対策を実施することで効果を高められるからです。

セキュリティソフトウェアやツールの導入は、技術的対策に含まれます。日本ネットワークセキュリティ協会(JNSA)の調査によれば、情報漏えい事故の約3分の2は「うっかりミス」によって発生しています。システムの誤動作や情報端末の紛失などが該当し、これらは技術的対策によってカバーすることが可能です。その他にも、サイバー攻撃やマルウェア感染などによって引き起こされることも多いため、セキュリティソフトウェアなどの導入は有効です。

従業員教育

技術的対策と併せて、従業員への教育といった人的対策も有効です。セキュリティソフトなどで対策を実施していても、最終的に情報漏えい事故は人の手によって引き起こされます。

近年ではクラウドサービスが普及し、利便性の高さから業務利用が禁止されているサービスまで利用してしまい、情報漏えいに繋がるというケースも少なくありません。情報漏えいがもたらすリスクを従業員にしっかりと理解してもらい、データの適切な取り扱い方を含めて教育を実施することが重要です。

情報漏えいが起きにくい環境の整備

情報漏えいは外部要因だけでなく、内部要因(内部不正)によって発生することもあります。不正は「動機」「機会」「正当化」の3要素が揃うと起こりやすくなり、これは「不正のトライアングル」と言われています。例えば、大金が入ったバッグをオフィスの中心に置いている場面を想像してみましょう。出入りが自由なオフィスであれば、誰もが大金を手に入れる「機会」があることになります。

情報資産といわれるように情報(データ)も大切な資産であり、先ほどの例のような機会を与えることのないようにしっかりと管理しなければなりません。重要な情報を一人で管理している、誰もがアクセス可能な状態になっている、といった環境にならないように整備しましょう。

端末管理の徹底

前述のとおり、情報漏えい事故の約3分の2はうっかりミスで発生しています。ノートパソコンだけでなく、スマートフォンの業務利用も増えていることから、情報端末の紛失などには一層注意する必要があります。同様に、会社側で許可していない私物端末を業務利用する「シャドーIT」も情報漏えいを引き起こす重大なリスクです。

業務で利用する端末を徹底的に管理することはもちろん、許可されていない端末を社内ネットワークや重要な情報にアクセスできないような仕組みづくりをすることも重要です。

企業の情報漏えい事例

とある企業では、2014年に約5,700人の顧客情報が流出し、2023年に総額約1,300万円の損害賠償が命じられた事例が報告されています。その他にも、企業だけでなく自治体が起こした情報漏えい事故も報告されており、この事例では全市民46万人の個人情報が流出した可能性があるとして注目を集めました。

前述の東京商工リサーチの調べでは、2022年に個人情報漏えい・紛失事故を公表したのは150社、発生件数165件となっています。しかし、これは上場企業とその子会社の集計結果であるため、実際にはもっと多くの企業が事故を起こしていると考えられます。情報漏えいはどの企業にとっても発生する可能性があり、ひとたび事故が発生すると企業の存続に多大な影響を及ぼす可能性もあります。

個人情報の流出事例について詳しく知りたい方は、こちらの記事も併せてご覧ください。
個人情報流出の事例について対策と併せて解説

情報漏えい対策は企業存続のために欠かせません。個人情報の取り扱いに関する法律が改正されたことからも、今後はさらに対策の重要性が増すことでしょう。適切な対策を取るためにも、この記事で解説した5つの基本対策から取り組んでみてはいかがでしょうか。

日立ソリューションズ・クリエイトでは、企業から漏えいした情報を調査し、改善案を提案する「漏えい情報調査サービス」を提供しています。セキュリティ事故の予防から発生後の適切な対応までをサポートするサービスです。情報漏えい対策を含むセキュリティ対策にお悩みの場合は、ぜひ一度ご相談ください。
漏えい情報調査サービス

参考:東京商工リサーチ「2022年 上場企業の個人情報漏えい・紛失事故 調査

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら