セキュリティ

個人情報流出のリスクと流出させないための対策

今や生活の一部として切り離すことのできない存在となったインターネット。社内・社外のネットワーク環境なくしては作業の効率化は図れません。しかし、インターネットは便利な一方で、個人情報流出の危険がつきまといます。

今回は身近に潜む個人情報流出のリスクと被害事例をご紹介し、流出を未然に防ぐための対策についても解説します。

個人情報流出の原因とその影響

個人情報流出の現状

日本国内での個人情報流出の被害報告は、平成28年度で2,044件、平成29年度で2,399件と増加傾向にあり、平成30年度も2,323件と横ばいが続いています。不正アクセスによる報告件数は、減少傾向にあるものの根絶には至っておらず、加えて関係者の事務処理・作業ミスによる漏えいは平成28年度に比べて2倍以上と大きく増加しています。

個人情報流出被害が起きる原因

原因はさまざまありますが、1つに標的型攻撃メールなど、マルウェアの巧妙化があげられます。標的型攻撃メールとは、差出人として実在の人物を装ったり、受信者に関連のある件名で油断させたりして、悪意ある添付ファイルや不正サイトへのリンクを介しマルウェアに感染させるものです。一見信頼できそうなメールであっても一旦落ち着いて、「本当に実在する人物か?」「心当たりのある添付ファイルか?」といった部分をしっかり見極める必要があります。

添付ファイルを開く時は必ず事前に送付される予定があったか確認し、拡張子を確かめ、セキュリティ対策ソフトが正常に動作している端末で開くなど、たとえ知っている人物からのメールでも慎重になるべきです。なぜなら実在の人物がメールの送付者であっても、予定外の添付ファイルやURLの送付の場合、相手が気付かずにマルウェアに感染している可能性があるからです。

もう1つの個人情報流出の大きな原因に、関係者による作業ミスやモラルの低下があげられます。「管理ミス・誤操作・紛失」は情報漏えいの3大原因とも言われ、うっかりミスが思わぬ大惨事を招きかねません。報告されている漏えいの中で最も多い原因は誤送付で、全体の約58%を占めており、重大インシデントの発生原因となっています。

関係者による情報持ち出しなど、内部の人間が容易に個人情報にアクセスできるという脆弱なシステムにも問題があります。実際に発生して報告されている例には、他部署の従業者が無断で人事情報を持ち出し社外にFAXした事例や、委託先の従業者が自宅で作業をするため個人情報を持ち出した事例があります。また、持ち出した先で書類やUSB、スマートフォンを紛失して情報が漏えいするケースも少なくありません。

紛失の約半数は書類、ついでスマートフォンや携帯電話などのモバイル端末、ノートパソコンです。特に近年ではスマートフォンの紛失から顧客情報が流出するケースが急増しており、社外に出る従業者のモバイル端末の扱いについては対策を講じる必要があるでしょう。

ミスをするつもりや悪意がなくても、個人情報を扱っている端末でフィッシングサイトに引っ掛かる、口頭でのやり取りを聞かれるなどして、意図せずして情報漏えいの加害者になってしまうこともあり得るので、個人情報の扱いには細心の注意を払わなければなりません。

日頃から個人情報の扱いに対する意識の徹底と、宛先の間違いなどの誤送付が起きないようダブルチェック、トリプルチェックを行うシステムづくりが大切です。

個人情報流出で何が起きるか

例えばクレジットカードやIDなどの個人情報が流出した場合には、不正利用によって金銭的な損害を被るリスクがあります。また、メールアドレスや電話番号などが流出した場合には、迷惑メールや勧誘電話の増加といった問題の発生や架空請求や詐欺などの標的にされ、金銭的・精神的な被害を受ける可能性もあります。

流出してしまった個人の損失ももちろんですが、流出させてしまった企業も社会的信用が失墜するだけでなく、経済的にも大きな損失が発生し、経営に甚大な影響を受けることになります。

個人情報の漏えいによって企業側が支払う賠償金は年々増加しており、想定損害賠償総額は2015年の2,541億3,663万円から、2018年には2,684億5,743万円と140億円も増加しています。ひとたび情報漏えいが発生すると、企業規模や流出量によっては経営困難につながる可能性もあるのです。

企業で働く全ての従業員は、少なからず顧客やクライアント、自社の情報管理に携わっていますので、「自分は大丈夫」という考えは捨て、徹底した情報管理を行うことが求められます。

個人情報流出の被害事例

1.日本郵便の国際郵便マイレージサービス

2017年3月14日、「国際郵便マイページサービス」のサイトへの不正アクセスにより、登録者のメールアドレス情報と作成した送り状の情報が流出した可能性があると発表されました。この被害はApache Struts2というソフトウェアフレームワークの脆弱性を突いた犯行で、先に発生していたGMOペイメント株式会社への不正アクセス事件と同じ手口による被害でした。

2.明治大学のメールアカウント

2018年7月26日、明治大学保有のメールアカウント2件に不正アクセスを受け、学生や教職員などの個人情報が流出したと発表されました。不正アクセスを受けたのは2018年6月30日と7月12日の2回。被害を受けたメールアカウントは、専任職員のアカウントと所属機関の部署アカウントで、同アカウントから外部に対してのスパムメールの送信も確認されました。

3.森永乳業の健康食品通販サイト

2018年4月24日、健康食品通販サイト利用者の個人情報が流出した可能性があると発表され、クレジットカード決済が停止されました。被害に遭ったのは2012年1月22日から2017年10月16日までのサイト利用者で、個人情報とクレジット情報が流出したと見られる顧客は約3万人、個人情報のみが流出したのが約6万人で、あわせて9万人を超える流出の可能性があると第三者調査機関が発表しています。クレジットカードのセキュリティコードは流出しておらず、現在はクレジット決済再開に向けて対処を進めています。

4.東京都の都税クレジットカードお支払いサイト

2017年3月10日、都税クレジットカードお支払いサイトにおいて不正アクセスが発生し、利用者のクレジットカード番号・有効期限・メールアドレスなど約67万件の情報が流出した可能性があると発表されました。流出したと見られるのは2015年4月~2017年3月9日までの利用者の情報で、IPAからの情報提供で不正アクセスが発覚しました。都は3月10日よりサイトの利用を停止しておりましたが、セキュリティを見直し2017年4月24日にサイトの運用を再開しています。

個人情報を流出させないための対策

個人でできる対策

宛先確認

最も基本的なことですが、電子メールやFAXを送る前に宛先を確認するくせをつけましょう。

公共の場で個人情報に関わる話をしない

電車・バス・飲食店といった社外での会話はもちろん、社内のエレベーターや廊下での会話も情報漏えいにつながる危険がありますので注意が必要です。

確実な廃棄処理

個人情報が含まれている書類はそのまま廃棄せず、シュレッダー処理や溶解処理をするように徹底しましょう。

情報の持ち出しを禁止

「ルールに従えば業務に関する情報を社外に持ち出しても良い」という会社もありますが、紛失や盗難のリスクを考えれば避けるべき行為です。

ファイル共有ソフトを使用しない

個人情報が入っているパソコンでWinnyやShareなどの共有ソフトを使用すると、情報漏えいやウイルス感染のリスクが高まります。

Webサイトの安全性を確認

個人情報を入力する際にはそのサイトがセキュリティ上安全であるかどうかを確認しましょう。

1.URLの始まりが「https」で始まっているか
通常はhttpで始まるURLが多いですが、httpsで始まるURLの場合、データのやり取りが暗号化されており安全であることを示します。

2.第三者認証シールがあるか
専門の調査機関が、「このサイトは信頼できるサイトかどうか」を調べた上で発行するもので、SSL証明書やプライバシーマークといった種類があります。

クレジットカード番号などの重要な個人情報を入力する際は、上記2点を確認することが大切です。

企業で行う対策

個人情報流出に関する教育

従業員に対し定期的な教育を行い、個人情報流出は他人事ではなく、自社が起こしてしまう可能性も十分にあるということを意識づけしましょう。

守秘義務に関する書面を取り交わす

しっかりと書面で守秘義務契約を結ぶことにより、従業員のモラル向上が期待できます。

Webサイトやソフトの脆弱性対策をする

Webサイト・OS・ソフトなどには、こまめにセキュリティパッチを適用して脆弱性対策を行いましょう。特にオープンソースのCMSは特定のバージョンにセキュリティホールが見つかった場合、そこを突いてマルウェアが埋め込まれるケースが多いため、注意して情報を収集する必要があります。

個人情報に対するアクセス制限を行う

社内の誰もが個人情報にアクセスできる環境は非常に危険です。限られた従業員だけが必要最低限の情報にのみアクセスできる環境にしておきましょう。

ソフトのインストールを制限する

従業員が自由にソフトをインストールできる状況では安全性が確保されません。社用パソコンと私用パソコンはきちんと区別し、社用パソコンには業務上必要なソフトのみをインストールできる仕組みにしましょう。

セキュリティソフトを導入・更新する

アンチウイルス対策のように、マルウェアの侵入を阻む入り口対策と、エンドポイントセキュリティ対策のように、マルウェアを外部に漏らさない出口対策が必要です。セキュリティソフトは導入して終わりではなく、常に最新の状態に更新することも忘れてはいけません。

個人情報流出は事前の対策が必須

万が一個人情報が流出してしまったら、速やかに事実確認をし、応急処置の実施・復旧・被害の公表などを行わなければなりません。そのために日頃からフローを確認しておくのは大切ですが、何よりも肝心なのは個人情報流出を未然に防ぐことです。

流出が起きる原因はさまざまですが、防ぐ方法も存在します。しかし、それでも被害が減らないのは、まだまだ個人や企業の情報管理への意識が低いということが考えられます。今回ご紹介した被害事例はどれも身近で起こった事件です。自分や自分の会社が個人情報を流出させてしまう可能性を常に考え、最大限の対策を講じましょう。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/

関連記事

  1. セキュリティ

    多層的な防御を作る!各マルウェア対策製品の役割と特徴

    悪意をもってPCに侵入しさまざまな被害をもたらすマルウェアを防ぐた…

  2. セキュリティ

    振る舞い検知によるセキュリティ対策の現状

    世界中でサイバー攻撃が激化している近年、社内のセキュリティを見直す…

  3. セキュリティ

    マルウェアとは?いまさら聞けないマルウェアの脅威と対策

    マルウェアというものをご存知でしょうか?ICT(情報通信技術)を利…

  4. セキュリティ

    ランサムウェアの対策方法を知ろう!6つの感染経路をご紹介

    悪意をもってPCになんらかの被害をもたらすマルウェアの中でも、近年…

  5. セキュリティ

    エンドポイントセキュリティの重要性|ウイルス対策だけでは不十分

    セキュリティについて考える上で、必ず知っておかなければならないのが…

  6. セキュリティ

    EPP・EDRでは不充分! セキュリティ先進企業が実践「OSプロテクト型」対策とは?

    日々脅威を増し続けるサイバー攻撃。そのような中、マルウェアの侵入を…

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。