個人情報や機密情報の漏えいは、毎年多くの企業に被害をもたらしています。日本ネットワークセキュリティ協会の調べによると、2018年の個人情報漏えいインシデントの発生件数は443件。個人情報が流出した方への損害賠償金として、総額2,684億5,743万円が支払われたと推計されています。[注1]
多くの企業が情報漏えい対策を行っているにもかかわらず、なぜ情報セキュリティ事故が発生してしまうのでしょうか。この記事では、情報漏えいが起きる原因や、情報漏えいを起こさないための防止策、もし起きてしまった場合の対処法をわかりやすく解説します。
[注1] 日本ネットワークセキュリティ協会:2018年 情報セキュリティインシデントに関する調査報告書【速報版】
https://www.jnsa.org/result/incident/2018.html
目次
情報漏えいが起きる3つの原因
そもそも、なぜ情報漏えいが起きてしまうのでしょうか。ここでは、日本ネットワークセキュリティ協会の個人情報漏えいインシデントの調査結果を元に、情報漏えいが起きる3つの原因を解説します。[注1]
PCや情報媒体の紛失・置き忘れ
日本ネットワークセキュリティ協会の調べによると、2018年に発生した個人情報漏えいインシデント443件のうち、もっとも多かったのが「紛失・置き忘れ(116件、26.2%)」でした。主なケースとしては、「電車での移動中や飲食店での食事中にPCや情報媒体を紛失または置き忘れる」というものです。企業から持ち出し許可を得た情報であっても、社員個人が紛失したり、置き忘れるといったヒューマンエラーにより、多数の個人情報漏えいインシデントが発生しています。
電子メールやFAXなどの誤操作
「紛失・置き忘れ」の次に個人情報漏えいの原因となっているのが、「誤操作(109件、24.6%)」によるものです。たとえば「FAXやメールの誤操作や確認漏れにより、間違った相手に個人情報や機密情報を送信してしまった」、「郵便の宛先の書き間違いにより、誤った住所に郵便物を郵送してしまった」といったケースが当てはまります。なお、誤操作にはFAXやメールの設定ミスは含まれません。「紛失・置き忘れ」と同様、社員個人のヒューマンエラーに基づくインシデントが該当します。
外部からの不正アクセスや不正ログイン
個人情報漏えいの原因として3番目に多いのが、「不正アクセス(90件、20.3%)」によるものでした。「不正アクセス」とは、何者かが外部のネットワークを経由し、アクセス制限を突破して、社内システムやクラウドサービスに侵入したケースを指します。また、不正アクセスと並び、企業の課題となっているのが「不正ログイン」です。パスワードの流出や利用者本人へのなりすましにより、第三者にインターネット上のサービスに不正ログインされ、個人情報やクレジットカード情報を盗み取られるケースが多発しています。情報処理推進機構の「情報セキュリティ10大脅威 2021」でも、「インターネット上のサービスへの不正ログイン」が第8位にランクインしています。[注2]
[注2] 情報処理推進機構:情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
情報漏えいを起こさないための2つの防止策を紹介
情報漏えいを未然に防ぐためには、まず全社員に情報セキュリティ教育を実施する必要があります。とくにテレワークやリモートワークが普及し、社員が時間や場所にとらわれず働くなかで、社員一人ひとりのセキュリティ意識の向上が必要不可欠です。また、不正アクセスや不正ログインを防ぐのに効果的なのが、異なる2つの認証要素を組み合わせる「二要素認証」の仕組みです。情報漏えいを起こさないための2つの防止策を紹介します。
「情報漏えい対策7箇条」を全社員に周知徹底する
まず、情報セキュリティ教育を実施し、社員一人ひとりのセキュリティ意識を向上させましょう。その際に指針となるのが、情報処理推進機構がまとめた「情報漏えい対策のしおり」です。「情報漏えい対策のしおり」では、個人情報や機密情報の漏えいを防ぐため、次の7つの対策を示しています。[注3]
- 持ち出し禁止:企業(組織)の情報資産を、許可なく、持ち出さない
- 安易な放置禁止:企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
- 安易な廃棄禁止:企業(組織)の情報資産を、未対策のまま廃棄しない
- 不要な持ち込み禁止:私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、許可なく、企業(組織)に持ち込まない
- 鍵を掛け、貸し借り禁止:個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
- 公言禁止:業務上知り得た情報を、許可なく、公言しない
- まず報告:情報漏えいを起こしたら、自分で判断せずに、まず報告
上記の7つのポイントを参考にしながら、自社の業務に合わせたセキュリティポリシーを策定し、情報セキュリティ教育を実施しましょう。
[注3] 情報処理推進機構:情報漏えい対策のしおり
https://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf
二要素認証を導入し、不正アクセスや不正ログインを防ぐ
不正アクセスや不正ログインの防止策となるのが、金融機関や官公庁などでも使われている「二要素認証」です。二要素認証とは、異なる2つの認証要素を組み合わせることで、安全かつ強固に認証できる仕組みです。二要素認証の例として、たとえば次のようなものがあります。
利用方法 | |
ワンタイムパスワードを使った 二要素認証 |
通常のIDやパスワードに加えて、専用のトークン(パスワード生成ツール)に一回きりのパスワードを送信し、安全に認証を行う |
電子証明書を使った二要素認証 | マイナンバーカードなどに格納された電子証明書を利用し、スマートフォンや専用のICリーダーで読み取りを行うことで、安全に認証を行う |
スマートフォンや携帯電話を 使った二要素認証 |
本人と紐付けられたスマートフォンや携帯電話を利用し、安全に認証を行う SMS(ショートメッセージサービス)に認証コードを送る方法は「SMS認証」、スマートフォンや携帯電話から特定の電話番号に発番することで認証を行う方法は「着信電話認証」と呼ばれる |
通常のパスワードと、「ワンタイムパスワード」、「電子証明書」、「スマートフォンや携帯電話での認証」のいずれかを組み合わせれば、万が一パスワードが外部に流出しても、もう一方の認証要素で不正アクセスや不正ログインを防止できます。第三者のなりすましも防げるため、情報漏えい対策なら「二要素認証」の仕組みの導入が必要不可欠です。
万が一、情報漏えいが起きたときの2つの対策
万が一、情報漏えいが起きた場合、まずなにをすべきでしょうか。情報セキュリティ事故に備えて、もしものときの対処法を決めておく必要があります。情報漏えいが起きたときの2つの対策を紹介します。
すみやかに責任者への報告を
もし情報漏えいを起こしたり、情報漏えいの事実を発見した場合は、すみやかに上長や責任者への報告を行うことが大切です。情報セキュリティ教育を通じて、情報漏えいを発見したら「自分で判断せずに、まず報告」するよう全社員に意識付けを行いましょう。
初動対応により、被害拡大や二次被害の発生を防ぐ
情報漏えいの被害拡大や二次被害の発生を食い止めるために大切なのが、初動対応です。情報源を外部からアクセスできないようにすることで、被害の拡大を防止できます。一般的に初動対応では、情報源とネットワークの隔離や、ネットワークそのものの遮断、インターネット上のサービス停止措置などを行います。被害の程度が重大であると想定される場合は、対策本部を設置し、当面の対応方針を決定しましょう。
【まとめ】
情報漏えいが起きる原因を知り、防止策の実施を
情報漏えいを未然に防ぐには、情報漏えいが起きる原因を知り、適切な防止策を講じる必要があります。情報処理推進機構の「情報漏えい対策のしおり」に基づく情報セキュリティ教育の実施や、不正アクセスや不正ログインを防ぐ「二要素認証」の導入により、セキュリティを強化しましょう。万が一、情報漏えいが発生したときは、まずすみやかに責任者へ報告することが大切です。
▶︎ 「i-dentify(SMS認証)」でセキュリテイ強化
▶︎ 「i-dentify(着信電話認証)」でセキュリテイ強化