お役立ち情報

ブログ

  • 2022.10.14. 情報漏洩対策のポイント|情報漏洩の原因や発生時の対処法も



    あらゆる企業において、情報漏洩リスクは常に付きまといます。リスクの高低はあれ,どのような業界・業種でもその事実自体は変わりません。情報漏洩を起こさない・起こった場合でも被害を最小限に抑えるためには、事前にしっかりと対策を練ることが大切です。


    当記事では、情報漏洩が起きる原因と起こしてしまった場合のリスク、情報漏洩対策を行う際に気を付けたいポイントを解説します。万が一の際の対処方法も簡単に紹介するため、ぜひご一読ください。

     

      

     

    1. 情報漏洩のリスク

    情報漏洩には「機密情報漏洩」「顧客情報漏洩」「個人情報漏洩」の3つがあり、いずれの場合でも大きな被害をもたらすため厳密に管理しなければなりません。


    例えば機密情報の漏洩では、下記のリスクが考えられます。


    機密情報漏洩のリスク

    • ・営業戦略の漏洩により、他社に先手を打たれる
    • ・開発中の製品の類似商品にシェアを奪われる
    • ・情報管理能力がない企業だと思われる



    顧客情報や個人情報の漏洩による主なリスクは、下記の通りです。


    顧客情報や個人情報の漏洩によるリスク

    • ・個人情報保護法による罰則を受ける
    • ・顧客・社会からの信用が失墜する
    • ・顧客を喪失する
    • ・取引を停止される
    • ・訴訟に発展する
    • ・株価が下落する
    • ・金銭的補償が発生する
    • ・将来的な利益・売り上げが減少する
    • ・事後対応に多くの時間・費用・人員が必要となる

     

     

     

    1-1. 情報漏洩が起きる原因

    東京商工リサーチが2021年に発表した統計情報によると、上場企業とその子会社で起きた情報漏洩の原因上位4つは下記の通りとなります。

    ウイルス感染・不正アクセス

    49.6

    誤表示・誤送信

    31.3

    紛失・誤廃棄

    11.6

    盗難

    5.8

    出典:上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」


    情報漏洩を起こす原因の8割以上がインターネットを経由しており、サイバーセキュリティ対策の重要性を表す結果になったと言えるでしょう。

     

     

    2. 情報漏洩対策のポイント

    インターネット経由の情報漏洩に対しては、情報セキュリティ対策用のソフト・ツールの導入が有効となります。同時に、情報を取り扱う人側にもセキュリティ教育を十分に施し、ポイントを押さえた管理体制構築とルールの周知徹底が必要です。


    ここでは、情報漏洩対策のポイントを7つ解説します。

     

     

    2-1. 持ち出しに注意する

    情報漏洩を防ぐためには、自社内にとどめるべき情報が社外へ持ち出されないようにすることが大切です。まずは、情報を取り扱う際の社内ルール確立を目指しましょう。


    情報持ち出しに関するルールの例

    • ・業務用と私用のデバイス・アドレスは分ける
    • ・社内用のパソコンやメモリを社外へ持ち出さない
    • ・社外で利用するデバイスには二重ロックをかける
    • ・業務用のデバイスを他者に触れさせない
    • ・社外へ持ち出すデータは暗号化する
    • ・外部へ送信するデータに関しては必ず許可を得る
    • ・業務用に指定していないオンラインストレージを使用しない
    • ・指定された場所・許可された場所以外で業務を行わない

    出典:独立行政法人 情報処理推進機構 セキュリティセンター「情報漏えい対策のしおり」

     

     

    2-2. 放置に注意する

    企業や組織の情報を放置するケースでも、漏洩は起こります。放置への対策としては、下記のルールが代表的です。


    情報の放置に関するルールの例

    • ・業務用のスマホを充電したまま離れない
    • ・短時間の離席でもパソコンにはロックをかける
    • ・書類をプリントアウトしたまま放置しない
    • ・書類やメモリを置きっ放しにしたまま離席・帰宅しない
    • ・書類やメモリを保管する棚には鍵をかける
    • ・業務用のメモや伝言メモを人目に付く場所へ置かない
    • ・業務用のデバイス・書類を持ったまま寄り道しない・身体から離さない

    出典:独立行政法人 情報処理推進機構 セキュリティセンター「情報漏えい対策のしおり」

     

     

    2-3. 廃棄に注意する

    情報資産を廃棄する際に注意を怠ったことで、漏洩事故を起こす例は少なくありません。業務で不要になった後でも、重要情報が入った書類やデバイスなどの管理は徹底する必要があります。


    廃棄に関するルールの例

    • ・廃棄予定の書類・デバイス・メモリなどを誰でも見られる場所へ放置しない
    • ・情報資産が入ったものを一般ごみと一緒に捨てない
    • ・パソコンやサーバーのハードディスクは消去してから廃棄する

     


    特に気を付けなければならないのが、「初期化(フォーマット)はデータを消去したことにならない」という点です。専門の業者へ依頼するか、社内で対応できる人員を育てましょう。

    出典:独立行政法人 情報処理推進機構 セキュリティセンター「情報漏えい対策のしおり」

     

     

    2-4. 持ち込まない

    情報の管理には社外への持ち出しに加え、持ち込みに対しても徹底したルールが必要です。持ち込みにはパソコンなどのデバイスそのものだけでなく、プログラムやウイルスなども含まれます。


    持ち込みに関するルールの例

    • ・私用のデバイス・メモリを社内ネットワークに接続しない
    • ・業務に必要のないプログラムをダウンロードしない
    • ・業務で指定されていない・許可を得ていないデータ・プログラム・Wi-Fi・オンライン  サービス・メモリ・カードを使用しない
    • ・業務と関係ないWebサイトを閲覧しない
    • ・業務用のアドレスを私用で使わない
    • ・デバイスのOS・アプリケーション・セキュリティ対策ソフトは常に最新の状態を保つ

    出典:独立行政法人 情報処理推進機構 セキュリティセンター「情報漏えい対策のしおり」

     

     

    2-5. 貸し借り・譲渡に注意する

    業務上使用するデバイス自体もそうですが、プログラムやサーバーなどで個別に割り当てられた権限の貸し借り・譲渡にも注意が必要です。「忙しい」「手続きが面倒」などの理由で勝手に権限を持つ人が増えてしまうと、情報の漏洩につながります。


    【貸し借り・譲渡に関するルールの例】

    • ・許可なくIDやパスワードを共有しない
    • ・同じIDやパスワードを使い回さない
    • ・IDやパスワードを見える場所に書き記さない
    • ・業務上不要な人の権限は速やかに取り消す

    出典:独立行政法人 情報処理推進機構 セキュリティセンター「情報漏えい対策のしおり」

     

     

    2-6. 公言しない

    医師や弁護士などのイメージが強い「守秘義務」ですが、どの企業においても「業務上知り得た情報を口外しない」ということは基本です。一般企業では守秘義務への意識が薄れやすいケースもあるため、定期的な注意喚起と社内教育が必要となります。


    【情報の公言に関するルールの例】

    • ・社内の情報をSNSや掲示板などへ投稿しない
    • ・上司や同僚への不満を居酒屋などでしゃべらない
    • ・人目に付く場所で業務情報が含まれた電話をしない
    • ・身元の確認が取れない相手へ情報を提供しない

    出典:独立行政法人 情報処理推進機構 セキュリティセンター「情報漏えい対策のしおり」

     

     

    2-7. トラブルの際は報告する

    どれほど厳格なルールを定めても、人が運用する以上完全に管理ミスやトラブルを防ぎ切ることはできません。万が一の事態に直面した場合でも、被害を最小限に抑えるためのルールを作っておきましょう。


    最も悪いのが、情報漏洩が起きた事実を隠蔽することです。情報漏洩が起きてから時間が経てば経つほど、被害の大きさと範囲は広がり続けます。「情報漏洩を起こした人・漏洩を見付けた人は即時報告」を徹底するとともに、事態を共有しやすい体制を整えておくことも重要です。

    出典:独立行政法人 情報処理推進機構 セキュリティセンター「情報漏えい対策のしおり」

     

    3. 情報漏洩が起きた場合の対処法

    どのような情報漏洩を起こしたかで対応の詳細は異なりますが、基本的な対処法は同じです。

    1

    発見・報告

    情報漏洩が発見された場合、速やかな報告と対応整備が必要です。

    • ・インターネットやプログラムを経由した情報漏洩の場合:不用意な操作は控え、システム上の証拠を残しておく
    • ・外部から通報があった場合:通報者の連絡先を控えておく

     

    2

    初動対応・状況整理・調査開始

    対応本部を設置し、基本的な対応方針と被害の拡大防止に向けた応急処置を行います。

    • ・いつ・どこで・誰が・何を・なぜ・どのようにして起こったかを把握する
    • ・利用中のサービスを停止し、ネットワークとの接続を遮断する
    • ・紛失したデバイスのメーカー・型番・製造番号を特定する

     

    3

    通知・報告・公表・調査継続

    各部署と連携して調査を継続しつつ情報漏洩の通知・報告・公表などを行いましょう。

    • ・事実関係を証明する情報・証拠を確保する
    • ・情報の本人・関係者・取引先へ通知する
    • ・監督官庁・警察・IPAなどへ届け出る
    • ・Webサイト・マスコミなどを通じて公表する

     

    4

    抑制措置・復旧・調査継続

    情報漏洩による被害拡大の抑制と、復旧に必要な措置を行います。

    • ・専用の相談窓口を設置する
    • ・停止したサービス・プログラムなどを復旧する
    • ・再発防止に向け、具体的な取り組みを行う

     

    5

    事後対応・調査終了

    トラブルの後始末と、今後の対策を検討して調査終了です。

    • ・被害者へ損害を補償する
    • ・責任者などへの処分を実施する
    • ・再発防止策を検討・実施する
    • ・調査報告書を提出・公開する

    出典:独立行政法人 情報処理推進機構 セキュリティセンター「情報漏えい対策のしおり」

     

     

     

    まとめ

    情報漏洩はどこの企業でも起こり得る事故です。そして万が一情報漏洩を起こしてしまうと、顧客や社会からの信用が低下するだけでなく、長期にわたり大きな損害が続く恐れもあります。


    情報漏洩の可能性を減らすためには、社員へ情報セキュリティルールを徹底させることに加え、信頼性が高いセキュリティ環境を整えることも重要です。分かりやすく快適な操作性と高度な技術を備えつつ、コストとのバランスが取れたセキュリティシステムをお探しの方は、ぜひ「EXOセキュリティ」へご相談ください。