今や生活の一部として切り離すことのできない存在となったインターネット。社内・社外のネットワーク環境なくしては作業の効率化は図れません。しかし、インターネットは便利な一方で、個人情報流出・漏えいの危険がつきまといます。
今回は身近に潜む個人情報流出・漏えいのリスクと被害事例をご紹介し、流出を未然に防ぐための対策についても解説します。
個人情報流出・漏えいの原因とその影響
個人情報流出・漏えいの現状
日本国内での個人情報流出・漏えいの被害報告は、平成28年度で2,044件、平成29年度で2,399件と増加傾向にあり、平成30年度も2,323件と横ばいが続いています。不正アクセスによる報告件数は、減少傾向にあるものの根絶には至っておらず、加えて関係者の事務処理・作業ミスによる漏えいは平成28年度に比べて2倍以上と大きく増加しています。このことから、情報流出・漏えいに対する原因を知り対策を行うことが喫緊の課題となっています。
個人情報流出・漏えい被害が起きる原因
原因はさまざまありますが、1つに標的型攻撃メールなど、マルウェアの巧妙化があげられます。標的型攻撃メールとは、差出人として実在の人物を装ったり、受信者に関連のある件名で油断させたりして、悪意ある添付ファイルや不正サイトへのリンクを介しマルウェアに感染させるものです。一見信頼できそうなメールであっても一旦落ち着いて、「本当に実在する人物か?」「心当たりのある添付ファイルか?」といった部分をしっかり見極める必要があります。
添付ファイルを開く時は必ず事前に送付される予定があったか確認し、拡張子を確かめ、セキュリティ対策ソフトが正常に動作している端末で開くなど、たとえ知っている人物からのメールでも慎重になるべきです。なぜなら実在の人物がメールの送付者であっても、予定外の添付ファイルやURLの送付の場合、相手が気付かずにマルウェアに感染している可能性があるからです。
もう1つの個人情報流出・漏えいの大きな原因に、関係者による作業ミスやモラルの低下があげられます。「管理ミス・誤操作・紛失」は情報漏えいの3大原因とも言われ、うっかりミスが思わぬ大惨事を招きかねません。報告されている漏えいの中で最も多い原因は誤送付で、全体の約58%を占めており、重大インシデントの発生原因となっています。
関係者による情報持ち出しなど、内部の人間が容易に個人情報にアクセスできるという脆弱なシステムにも問題があります。実際に発生して報告されている例には、他部署の従業者が無断で人事情報を持ち出し社外にFAXした事例や、委託先の従業者が自宅で作業をするため個人情報を持ち出した事例があります。また、持ち出した先で書類やUSB、スマートフォンを紛失して情報が漏えいするケースも少なくありません。
紛失の約半数は書類、ついでスマートフォンや携帯電話などのモバイル端末、ノートパソコンです。特に近年ではスマートフォンの紛失から顧客情報が流出するケースが急増しており、社外に出る従業者のモバイル端末の扱いについては対策を講じる必要があるでしょう。
ミスをするつもりや悪意がなくても、個人情報を扱っている端末でフィッシングサイトに引っ掛かる、口頭でのやり取りを聞かれるなどして、意図せずして情報漏えいの加害者になってしまうこともあり得るので、個人情報の扱いには細心の注意を払い、対策を行わなければなりません。さらに、複数のシステムを同じパスワードを使いまわしてログインしていたために、一つのアカウント情報が漏えいし、被害が複数のシステムにわたってしまうといったケースもあるため、リテラシー向上などの対策も求められます。
このように、日頃から個人情報の扱いに対する意識の徹底と、宛先の間違いなどの誤送付が起きないようダブルチェック、トリプルチェックを行うシステムづくりが大切です。
個人情報流出・漏えいで何が起きるか
例えばクレジットカードやIDなどの個人情報が流出・漏えいした場合には、不正利用によって金銭的な損害を被るリスクがあります。また、メールアドレスや電話番号などが流出した場合には、迷惑メールや勧誘電話の増加といった問題の発生や架空請求や詐欺などの標的にされ、金銭的・精神的な被害を受ける可能性もあります。
流出してしまった個人の損失ももちろんですが、流出させてしまった企業も社会的信用が失墜するだけでなく、経済的にも大きな損失が発生し、経営に甚大な影響を受けることになります。
個人情報の漏えいによって企業側が支払う賠償金は年々増加しており、想定損害賠償総額は2015年の2,541億3,663万円から、2018年には2,684億5,743万円と140億円も増加しています。ひとたび情報漏えいが発生すると、企業規模や流出量によっては経営困難につながる可能性もあるのです。
企業で働く全ての従業員は、少なからず顧客やクライアント、自社の情報管理に携わっていますので、「自分は大丈夫」という考えは捨て、徹底した情報管理や日頃からの対策を行うことが求められます。
個人情報流出・漏えいの被害事例
1.日本郵便の国際郵便マイレージサービス
2017年3月14日、「国際郵便マイページサービス」のサイトへの不正アクセスにより、登録者のメールアドレス情報と作成した送り状の情報が流出した可能性があると発表されました。この被害はApache Struts2というソフトウェアフレームワークの脆弱性を突いた犯行で、先に発生していたGMOペイメント株式会社への不正アクセス事件と同じ手口による被害でした。
2.明治大学のメールアカウント
2018年7月26日、明治大学保有のメールアカウント2件に不正アクセスを受け、学生や教職員などの個人情報が流出したと発表されました。不正アクセスを受けたのは2018年6月30日と7月12日の2回。被害を受けたメールアカウントは、専任職員のアカウントと所属機関の部署アカウントで、同アカウントから外部に対してのスパムメールの送信も確認されました。
3.森永乳業の健康食品通販サイト
2018年4月24日、健康食品通販サイト利用者の個人情報が流出した可能性があると発表され、クレジットカード決済が停止されました。被害に遭ったのは2012年1月22日から2017年10月16日までのサイト利用者で、個人情報とクレジット情報が流出したと見られる顧客は約3万人、個人情報のみが流出したのが約6万人で、あわせて9万人を超える流出の可能性があると第三者調査機関が発表しています。クレジットカードのセキュリティコードは流出しておらず、現在はクレジット決済再開に向けて対処を進めています。
4.東京都の都税クレジットカードお支払いサイト
2017年3月10日、都税クレジットカードお支払いサイトにおいて不正アクセスが発生し、利用者のクレジットカード番号・有効期限・メールアドレスなど約67万件の情報が流出した可能性があると発表されました。流出したと見られるのは2015年4月~2017年3月9日までの利用者の情報で、IPAからの情報提供で不正アクセスが発覚しました。都は3月10日よりサイトの利用を停止しておりましたが、セキュリティを見直し2017年4月24日にサイトの運用を再開しています。
個人情報を流出・漏えいさせないための対策
個人でできる流出・漏えい対策
ここでは情報漏えいに対して各個人で対策できることを6つ紹介します。
宛先確認
最も基本的なことですが、電子メールやFAXを送る前に宛先を確認するくせをつけましょう。
公共の場で個人情報に関わる話をしない
電車・バス・飲食店といった社外での会話はもちろん、社内のエレベーターや廊下での会話も情報漏えいにつながる危険がありますので注意が必要です。
確実な廃棄処理
個人情報が含まれている書類はそのまま廃棄せず、シュレッダー処理や溶解処理をするように徹底しましょう。書類の紛失による情報漏えいは約半分に上ることから、書類の始末は重要な対策といえます。
情報の持ち出しを禁止
「ルールに従えば業務に関する情報を社外に持ち出しても良い」という会社もありますが、紛失や盗難・情報漏えいのリスクを考えれば避けるべき行為です。一部のみ持ち出し可能というように、情報漏えいリスクにつながる情報とそうでない情報を分けることは容易ではないため、一律で社外への持ち出しを禁止する等、徹底した情報管理対策が重要です。
ファイル共有ソフトを使用しない
個人情報が入っているパソコンでWinnyやShareなどの共有ソフトを使用すると、情報漏えいやウイルス感染のリスクが高まります。
Webサイトの安全性を確認
個人情報を入力する際にはそのサイトがセキュリティ上安全であるかどうかを確認しましょう。
1.URLの始まりが「https」で始まっているか
通常はhttpで始まるURLが多いですが、httpsで始まるURLの場合、データのやり取りが暗号化されており安全であることを示します。
2.第三者認証シールがあるか
専門の調査機関が、「このサイトは信頼できるサイトかどうか」を調べた上で発行するもので、SSL証明書やプライバシーマークといった種類があります。
クレジットカード番号などの重要な個人情報を入力する際は、上記2点を確認することが大切です。
企業で行う流出・漏えい対策
個人でできる情報漏えい対策のほかに、企業として対策できる事柄は以下の6つです。
個人情報流出・漏えいに関する教育
従業員に対し定期的な教育を行い、個人情報流出・漏えいは他人事ではなく、自社が起こしてしまう可能性も十分にあるということを意識づけしましょう。
守秘義務に関する書面を取り交わす
しっかりと書面で守秘義務契約を結ぶことにより、従業員のモラル向上が期待できます。
Webサイトやソフトの脆弱性対策をする
Webサイト・OS・ソフトなどには、こまめにセキュリティパッチを適用して脆弱性対策を行いましょう。特にオープンソースのCMSは特定のバージョンにセキュリティホールが見つかった場合、そこを突いてマルウェアが埋め込まれるケースが多いため、注意して情報を収集する必要があります。
個人情報に対するアクセス制限を行う
社内の誰もが個人情報にアクセスできる環境は非常に危険です。限られた従業員だけが必要最低限の情報にのみアクセスできる環境にしておきましょう。
ソフトのインストールを制限する
従業員が自由にソフトをインストールできる状況では安全性が確保されません。社用パソコンと私用パソコンはきちんと区別し、社用パソコンには業務上必要なソフトのみをインストールできる仕組みにしましょう。ソフト対策を行うことで、従業員が誤ってウィルスソフトをインストールしてしまう状況を防げます。
セキュリティソフトを導入・更新する
アンチウイルス対策のように、マルウェアの侵入を阻む入り口対策と、エンドポイントセキュリティ対策のように、マルウェアを外部に漏らさない出口対策が必要です。セキュリティソフトは導入して終わりではなく、常に最新の状態に更新することも忘れてはいけません。
個人情報流出・漏えいは事前の対策が必須
万が一個人情報が流出してしまったら、速やかに事実確認をし、応急処置の実施・復旧・被害の公表などを行わなければなりません。そのために日頃からフローを確認しておくのは大切ですが、何よりも肝心なのは個人情報流出・漏えいを未然に防ぐことです。
流出が起きる原因はさまざまですが、防ぐための対策方法も存在します。しかし、それでも被害が減らないのは、まだまだ個人や企業の情報管理への意識が低いということが考えられます。今回ご紹介した被害事例はどれも身近で起こった事件です。自分や自分の会社が個人情報を流出させてしまう可能性を常に考え、最大限の対策を講じましょう。
また、情報セキュリティ10大脅威に関する最新情報もご紹介していますので対策をお考えの方は是非ご覧ください。
![組織の情報セキュリティを強くするための対策のポイント](https://www.daikodenshi.jp/daiko-plus/wp-content/uploads/2023/09/11【セキュリティ】組織の情報セキュリティを強くするための対策のポイント.png")
