セキュリティ

個人情報流出のリスクと流出させないための対策

今や生活の一部として切り離すことのできない存在となったインターネット。社内・社外のネットワーク環境なくしては作業の効率化は図れません。しかし、インターネットは便利な一方で、個人情報流出の危険がつきまといます。

今回は身近に潜む個人情報流出のリスクと被害事例をご紹介し、流出を未然に防ぐための対策についても解説します。

個人情報流出の原因とその影響

個人情報流出の現状

日本国内での個人情報流出の被害報告は、平成27年度で1,947件、平成28年度で2,044件と増加傾向にあります。特に不正アクセスによる報告件数は僅か1年の間で2倍に増えており、近年のサイバー攻撃の進化が著しいことがうかがえます。

個人情報流出被害が起きる原因

原因はさまざまありますが、1つに標的型攻撃メールなど、マルウェアの巧妙化があげられます。標的型攻撃メールとは、差出人として実在の人物を装ったり、受信者に関連のある件名で油断させたりして、悪意ある添付ファイルや不正サイトへのリンクを介しマルウェアに感染させるものです。一見信頼できそうなメールであっても一旦落ち着いて、「本当に実在する人物か?」「心当たりのある添付ファイルか?」といった部分をしっかり見極める必要があります。

もう1つの個人情報流出の大きな原因に、関係者による作業ミスやモラルの低下があげられます。「管理ミス・誤操作・紛失」は情報漏えいの3大原因とも言われ、うっかりミスが思わぬ大惨事を招きかねません。関係者による情報持ち出しなど、内部の人間が容易に個人情報にアクセスできるという脆弱なシステムにも問題があります。

また、ミスするつもりや悪意がなくても、フィッシングサイトに引っ掛かるなどして、被害者でありながら情報漏えいの加害者になってしまうこともあり得るので、個人情報の扱いには細心の注意を払わなければなりません。

個人情報流出で何が起きるか

例えばクレジットカードやIDなどの個人情報が流出した場合には、不正利用によって金銭的な損害を被るリスクがあります。また、メールアドレスや電話番号などが流出した場合には、迷惑メールや勧誘電話の増加といった問題の発生や架空請求や詐欺などの標的にされ、金銭的・精神的な被害を受ける可能性もあります。流出してしまった個人の損失ももちろんですが、流出させてしまった企業も社会的信用が失墜するなど大きな影響が考えられます。

企業で働く全ての従業員は、少なからず顧客やクライアント、自社の情報管理に携わっていますので、「自分は大丈夫」という考えは捨て、徹底した情報管理を行うことが求められます。

個人情報流出の被害事例

1.日本郵便の国際郵便マイレージサービス

2017年3月14日、「国際郵便マイページサービス」のサイトへの不正アクセスにより、登録者のメールアドレス情報と作成した送り状の情報が流出した可能性があると発表されました。この被害はApache Struts2というソフトウェアフレームワークの脆弱性を突いた犯行で、先に発生していたGMOペイメント株式会社への不正アクセス事件と同じ手口による被害でした。

2.明治大学のメールアカウント

2018年7月26日、明治大学保有のメールアカウント2件に不正アクセスを受け、学生や教職員などの個人情報が流出したと発表されました。不正アクセスを受けたのは2018年6月30日と7月12日の2回。被害を受けたメールアカウントは、専任職員のアカウントと所属機関の部署アカウントで、同アカウントから外部に対してのスパムメールの送信も確認されました。

3.森永乳業の健康食品通販サイト

2018年4月24日、健康食品通販サイト利用者の個人情報が流出した可能性があると発表され、クレジットカード決済が停止されました。被害に遭ったのは2012年1月22日から2017年10月16日までのサイト利用者で、個人情報とクレジット情報が流出したと見られる顧客は約3万人、個人情報のみが流出したのが約6万人で、あわせて9万人を超える流出の可能性があると第三者調査機関が発表しています。クレジットカードのセキュリティコードは流出しておらず、現在はクレジット決済再開に向けて対処を進めています。

4.東京都の都税クレジットカードお支払いサイト

2017年3月10日、都税クレジットカードお支払いサイトにおいて不正アクセスが発生し、利用者のクレジットカード番号・有効期限・メールアドレスなど約67万件の情報が流出した可能性があると発表されました。流出したと見られるのは2015年4月~2017年3月9日までの利用者の情報で、IPAからの情報提供で不正アクセスが発覚しました。都は3月10日よりサイトの利用を停止しておりましたが、セキュリティを見直し2017年4月24日にサイトの運用を再開しています。

個人情報を流出させないための対策

個人でできる対策

宛先確認

最も基本的なことですが、電子メールやFAXを送る前に宛先を確認するくせをつけましょう。

公共の場で個人情報に関わる話をしない

電車・バス・飲食店といった社外での会話はもちろん、社内のエレベーターや廊下での会話も情報漏えいにつながる危険がありますので注意が必要です。

確実な廃棄処理

個人情報が含まれている書類はそのまま廃棄せず、シュレッダー処理や溶解処理をするように徹底しましょう。

情報の持ち出しを禁止

「ルールに従えば業務に関する情報を社外に持ち出しても良い」という会社もありますが、紛失や盗難のリスクを考えれば避けるべき行為です。

ファイル共有ソフトを使用しない

個人情報が入っているパソコンでWinnyやShareなどの共有ソフトを使用すると、情報漏えいやウイルス感染のリスクが高まります。

Webサイトの安全性を確認

個人情報を入力する際にはそのサイトがセキュリティ上安全であるかどうかを確認しましょう。

1.URLの始まりが「https」で始まっているか
通常はhttpで始まるURLが多いですが、httpsで始まるURLの場合、データのやり取りが暗号化されており安全であることを示します。

2.第三者認証シールがあるか
専門の調査機関が、「このサイトは信頼できるサイトかどうか」を調べた上で発行するもので、SSL証明書やプライバシーマークといった種類があります。

クレジットカード番号などの重要な個人情報を入力する際は、上記2点を確認することが大切です。

企業で行う対策

個人情報流出に関する教育

従業員に対し定期的な教育を行い、個人情報流出は他人事ではなく、自社が起こしてしまう可能性も十分にあるということを意識づけしましょう。

守秘義務に関する書面を取り交わす

しっかりと書面で守秘義務契約を結ぶことにより、従業員のモラル向上が期待できます。

Webサイトやソフトの脆弱性対策をする

Webサイト・OS・ソフトなどには、こまめにセキュリティパッチを適用して脆弱性対策を行いましょう。特にオープンソースのCMSは特定のバージョンにセキュリティホールが見つかった場合、そこを突いてマルウェアが埋め込まれるケースが多いため、注意して情報を収集する必要があります。

個人情報に対するアクセス制限を行う

社内の誰もが個人情報にアクセスできる環境は非常に危険です。限られた従業員だけが必要最低限の情報にのみアクセスできる環境にしておきましょう。

ソフトのインストールを制限する

従業員が自由にソフトをインストールできる状況では安全性が確保されません。社用パソコンと私用パソコンはきちんと区別し、社用パソコンには業務上必要なソフトのみをインストールできる仕組みにしましょう。

セキュリティソフトを導入・更新する

アンチウイルス対策のように、マルウェアの侵入を阻む入り口対策と、エンドポイントセキュリティ対策のように、マルウェアを外部に漏らさない出口対策が必要です。セキュリティソフトは導入して終わりではなく、常に最新の状態に更新することも忘れてはいけません。

個人情報流出は事前の対策が必須

万が一個人情報が流出してしまったら、速やかに事実確認をし、応急処置の実施・復旧・被害の公表などを行わなければなりません。そのために日頃からフローを確認しておくのは大切ですが、何よりも肝心なのは個人情報流出を未然に防ぐことです。

流出が起きる原因は様々ですが、防ぐ方法も存在します。しかし、それでも被害が減らないのは、まだまだ個人や企業の情報管理への意識が低いということが考えられます。今回ご紹介した被害事例はどれも身近で起こった事件です。自分や自分の会社が個人情報を流出させてしまう可能性を常に考え、最大限の対策を講じましょう。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/

関連記事

  1. セキュリティ

    企業が陥る情報漏えいの原因とその防止方法とは

    情報管理において、常に細心の注意を払う必要があるのが情報漏えいです…

  2. セキュリティ

    コンフィグレーションファイルの種類と内容|基礎知識

    IT業界での経験が浅いと、コンフィグレーションという言葉になじみが…

  3. セキュリティ

    スパイウェアとは?基本的な仕組みと被害を防ぐための対策方法

    スパイウェアと呼ばれるプログラムに感染すると、システム情報や閲覧履…

  4. セキュリティ

    他人事ではない標的型攻撃!具体的な事例と被害に遭わないための対策

    悪意をもってPCやサーバーに攻撃を加えるサイバー攻撃には、さまざま…

  5. セキュリティ

    ランサムウェアの事例7選|世界的な大規模感染事例から国内事例まで

    悪意をもってPC内に侵入し不正を行うマルウェアのうち、PCをロック…

  6. セキュリティ

    サイバー攻撃の仕組みと被害とは?セキュリティ対策の方法を事前にチェック

    家庭使用からビジネス利用まで、インターネットの重要性がますます高ま…

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。