2023年に発生した個人情報漏えい・紛失事故が過去最多となりました。
本記事では、その結果をもとにセキュリティ事故の原因を整理したうえで、企業が今すぐ取るべき対策について、徹底解説します。
東京商工リサーチの調査によると、2023年の個人情報漏えい・紛失事故の件数は175件、漏洩した個人情報は4,090万件を超えたとのこと。この調査結果を確認したうえで、直近の傾向を分析していきましょう。
東京商工リサーチが実施した”2023年「上場企業の個人情報漏えい・紛失事故」調査”によると、2023年に上場企業とその子会社で発生した個人情報漏えい・紛失事故の件数は175件、漏えいした個人情報は4,090万件を超え、いずれも過去最多となりました。
この集計結果は各企業が自主的に公表したものだけですが、それでも漏えい・紛失した可能性のある個人情報は、調査を開始した2012年からの累計で1億6,662万人分にも達していて、膨大な量であることは明らかです。
このセキュリティ事故の原因は、ウイルス感染・不正アクセスが最も多く、次いで人為的ミス、不正持ち出し・盗難とのこと。とくに2023年は、大規模な情報漏えいやランサムウェア被害が相次ぎ、被害規模が拡大した年だったといえるでしょう。
2023年には、以下のような情報漏えいやランサムウェア被害が確認されています。
• 2023年6月、大手中古車販売ガリバーがランサムウェアの被害に逢い、個人情報240万件の漏えいの可能性を発表
• 2023年7月、名古屋港運協会でランサムウェア感染が原因でシステム障害が発生し数日間にわたり業務停止
• 2023年10月、NTTグループ会社の元派遣社員が928万人分の個人情報を不正流出させたことを発表
• 2023年11月、LINEヤフー株式会社でマルウェア感染をきっかけとした不正アクセスにより、40万件以上の個人情報漏えいが発生
これらの事例は、いずれも企業のセキュリティ対策が不十分だったことに原因があるといえるでしょう。
とはいえ、これは氷山の一角です。他のどの企業も情報セキュリティ対策を強化し、従業員教育を徹底することで、個人情報の漏えいを防がなければなりません。
では、なぜこれほど多くの個人情報漏えいなどのセキュリティ事故が発生してしまうのでしょうか?
以下では、事故の原因トップ3について解説していきます。
「ウイルス感染・不正アクセス」を原因とする事故が、全体175件のうち半数以上の93件を占め、最多となりました。
ウイルスやマルウェアは、メールに添付されていた不正なファイルやURLリンクを不用意に起動したり、クリックするだけで感染することがあります。その後、正規のプログラムやファイルに偽装して、密かに潜伏して不正活動を行います。
そのため、多くはユーザーに気づかれることなく情報を搾取したり、不正アクセスを続けたりします。
外部から攻撃しやすくするため、マルウェアがバックドア(裏口)を作ることもあります。その他、USBメモリなどの外部記憶媒体の使用も、ウイルス・マルウェア感染の原因となることがあります。システムの脆弱性を突かれたり、弱いパスワードを解読したりすることで、不正アクセスを受ける可能性もあります。
重要情報を誤って外部のWebサイトに公開してしまったり、顧客情報を含むメールを別な人に送ってしまったり、といった人為的ミスも増えています。
とくに、メールは企業間の情報のやりとりに必須のツールで、非常に多くの人が使っているだけに、チェック機能が働かずにミスのまま送信することが多くなっているようです。
たとえば、宛先メールアドレスの間違いや、別なファイルを添付して送信してしまった、BCCに設定すべき顧客アドレスをTOやCCに間違えて記載してしまった、といったミスは誰もがやりがちです。
これらのミスを防ぐために、従業員教育の徹底はもちろん、ミスを誘発しない操作の見直しや、間違いがないかをチェックする仕組みの導入なども必要でしょう。
USBメモリにデータをコピーし、別な事業所に搬送する際に誤って紛失してしまった、という単純ミスの事例もありますが、悪意ある人間が個人情報を大量に名簿業者に売却するといった、犯罪行為での持ち出しや盗難も多く発生しています。
容易に外部に持ち出しできないような、仕組みや体制作りが重要となるでしょう。
個人情報漏えいは一度発生してしまうと、信頼を大きく損うだけでなく、多額の損害を負う可能性もあります。
ここでは、情報漏えいを防ぐために、企業が今すぐ取るべき3つの対策を詳しく解説します。
セキュリティソフトの導入はもちろん、常にセキュリティアップデートを適用し、最新の脅威にも備えましょう。
マルウェア感染対策やフィッシング、ランサムウェア対策機能を持ったセキュリティソフトウェアを使用することで、機密データを保護し、個人情報漏えいを防ぐことができます。USBメモリなど外部記憶媒体へのファイル持ち出しを防止する機能も、情報漏えい予防に必須といえるでしょう。
また、システムの脆弱性を放置したままだと、不正アクセスや攻撃を受ける可能性があります。
定期的に情報システム全体に対しての脆弱性診断を実施し、脆弱性を発見したら速やかに修正しましょう。
情報セキュリティに関する責任者を設置し、体制を強化することは不可欠です。
一般的には、情報セキュリティ組織のトップを経営者とし、その下に情報セキュリティ管理責任者を設置する組織体を整備すべきです。そのうえで、企業におけるセキュリティポリシーを整備すると同時に、インシデント対応マニュアルを作成しましょう。
一つの小さなミスが大規模な情報漏えいにつながる可能性があります。
情報の取り扱いについて適切なセキュリティポリシーを策定することは、情報漏えい対策の重要な第一歩となるはずです。
また、具体的な事例とともに、情報漏えい発生時の対応手順を明確に記載したマニュアルを作成し、迅速に対応できるようにしましょう。
研修では、情報セキュリティ全般に関する基本概要だけでなく、最新の脅威や具体的な対応方法についても盛り込むことで、セキュリティ意識向上につなげるようにします。
もちろん、研修を一度やっただけで終わってはいけません。
定期的に研修内容を最新化し、最低でも年に一度、全員が受講するようにしましょう。
また、強力なパスワード管理の徹底も重要な情報漏えい対策の一つです。
複雑で推測されづらいパスワードを設定するよう、研修の中で従業員に啓発するべきです。可能であれば、多要素認証を導入するなど、企業全体のセキュリティをさらに強化する対策を導入しましょう。
2023年は企業にとって、個人情報保護の重要性がますます高まった年といえるでしょう。
企業は、上記の対策を参考に、個人情報漏えい・紛失事故を防ぐための対策の整備を進めなければなりません。
また、従業員一人ひとりが情報セキュリティの重要性を認識し、適切な行動をとることが、企業の信頼を守り、持続的な成長を実現するための鍵となるでしょう。
