企業にとって、自社の機密情報や、顧客から預かった個人情報を保護することは最優先事項の1つです。情報漏えいが発生した場合、多大な損失や信用の失墜などにつながるおそれがあるため、情報漏えいへの対策はしっかり行っておく必要があります。企業では情報漏えいが起こる原因が複数あるため、どのようなリスクがあるのかを理解するとともに、情報漏えいを防ぐために必要な対策もチェックしておきましょう。
目次
情報漏えいが発生する原因
企業で情報漏えいが発生する原因は大きく分けて9つあります。
紛失・置き忘れ
会社から持ち出したPCを電車や飲食店に置き忘れた、USBメモリを紛失したなど、個人の管理ミスが原因のケースです。置き忘れあるいは紛失したPCや情報記録媒体が悪意ある第三者の手にわたってしまった場合、中身を盗み見られたり、悪用されたりする危険性があります。近年は働き方改革や新型コロナウイルス感染症対策などの影響でテレワークを導入する企業が増えていますが、その分会社で取り扱うデータを外部に持ち出すケースも増加しており、置き忘れ・紛失による情報漏えいリスクが高まっています。
誤操作
誤操作によって情報が外部に漏えいしてしまうケースです。たとえば、「機密情報や個人情報が入ったファイルを添付したメールを誤った宛先に送信してしまう」などがあります。インターネットの普及にともない、最近はメールソフトやチャットソフトなどを活用して手軽に情報を送信・共有できるようになりましたが、その分宛先をよく確認せずに送ってしまうケースも頻発しています。メールなどを受信した相手からの指摘で発覚するケースが多いため、場合によっては長期間情報漏えいに気づかないこともあります。
不正アクセス
外部にいる第三者が、ネットワークなどを経由して企業のサーバーに不正アクセスし、情報を閲覧したり、盗んだりするケースです。サイバー攻撃の一種で、巧みにアクセスされた場合は情報漏えいに気づかないこともあります。セキュリティ対策が十分でない会社や、社内ネットワークを構築していない会社で起こりやすいケースとされています。
管理ミス
情報を取り扱う作業の手順に誤りがあったり、情報の公開や管理のルールが不明瞭だったりするために起こるケースです。たとえば、「会社の移転にともなう引っ越し作業の最中に機密情報が記載された情報を紛失した」、「公開可の情報と不可の情報の線引きが曖昧で、誤って外部に開示してしまった」などが考えられます。情報管理が徹底されていない会社で起こりやすいため、 ルールや規則の制定を行いましょう 。
盗難
車上荒らしや事務所への侵入などにより、情報媒体が物理的に盗まれるケースです。車内に放置されたファイルや、会社のPCなどを盗まれると、その媒体に記録されている情報を盗み見られる可能性があります。前者は個人の管理ミス、後者は会社のセキュリティ対策不足が主な原因です。
設定ミス
会社のサーバーやファイルのアクセス権は通常、社内の人間のみが保有していますが、設定を誤ると不特定多数の人が情報にアクセスできるようになってしまいます。外部からの指摘で発覚するケースが多く、かつインターネットを利用できるすべての人がアクセス可能になるため、被害が拡大しやすい原因といわれています。
内部の犯罪、不正行為
自社の社員または自社の管理下にある社員(派遣社員など)が、会社の機密情報に不正アクセスしたり、情報媒体などを外部に持ち出したりするケースです。当該社員がもともと情報へのアクセス権を保有していた場合、情報へのアクセスは容易で、その上情報漏えいが発覚しにくい傾向にあります。情報を持ち出した理由によっては、犯罪行為に直結したり、情報売却によって同業他社に自社の技術やノウハウを盗まれたりする可能性があります。
不正な情報の持ち出し
多くの企業は、自社が保有する情報を外部に持ち出す場合のルールや条件を設けています。しかし、中には業務上の理由(家に持ち帰って仕事をしたい、顧客に情報を見せたいなど)から、ルールに反して情報を不正に持ち出す人もいます。持ち出し先で家族や顧客に情報を見られた場合、たとえそれが悪意によるものでなくても情報漏えいに当たります。
バグやセキュリティホール
会社で使用しているPCのOSやソフト、アプリケーションなどでバグが発生すると、該当の端末に格納された情報が外部に漏えいしてしまうことがあります。バグの発生は比較的気づきやすいですが、プログラムや設計上のミスなどによって消磁したセキュリティ上の欠陥(セキュリティホール)はなかなか発覚しにくく、知らない間に情報が漏れている可能性があります。
情報漏えいを防止するための5つの対策
企業の情報漏えいを未然に防ぐために実施したい対策を5つ紹介します。
セキュリティソフトの導入
不正アクセスによる情報漏えいはセキュリティソフトを導入することで対策できます。セキュリティソフトは製品によって性能や機能に差がありますので、予算やニーズ、稼働時のPCへの負担などをもとに、自社に合ったものを選びましょう。
強固な認証システムの導入
サーバーやファイルにアクセスする際、より 強固な認証システムを導入すること で、情報漏えい対策になります。たとえば、「通常のIDとパスワードのほかに電話番号やSMSを用いた二要素認証を行う」、「使い捨てのワンタイムパスワードを使う」、「指紋認証や顔認証を行う」などができるでしょう。強固な認証システムを導入することにより、アクセス権限を持つ人だけが情報を扱えるようになります。
誤送信が起こらないルールを設ける
メールの誤送信による情報漏えいは、 適切なルールを設けること で防止できます。たとえば、「ファイルを添付したメールは複数の担当者によるダブルチェックを行う」などがあります。また、誤送信を徹底防止したい場合は、はじめから重要な情報をメールに添付して送信することを禁止するという手段もあります。
情報の取り扱いルールを明確にする
会社の情報を持ち出したり、開示したりする際のルールを明確にするのも有効な情報漏えい対策になります。「情報を持ち出すときは必ず管理職の了承を得る」、「情報の持ち出し先は顧客や取引先のみで、自宅には持ち帰らない」などです。また、開示可能な情報と不可能な情報を分類し、わかりやすくラベリングしておけば、機密情報を誤って開示するリスクを低減できます。内部の犯罪や不正を防ぎたい場合は、ルールや規則に情報を漏洩させた場合の罰則やペナルティも設けておくとよいでしょう。
社内教育を徹底する
置き忘れや紛失、情報の不正持ち出し、誤操作などによる情報漏えいは、情報セキュリティに対する意識の低さが主な原因です。会社の情報を取り扱う際のルールやセキュリティの重要性について教育・指導を毎年行い、 社内全体の意識を高めること が大切です。
【まとめ】
情報漏えいの原因を理解し、然るべき対策を講じよう
企業の情報が漏えいする原因は、紛失や置き忘れといった個人の管理ミスから、内部の不正アクセスまで多岐にわたります。情報漏えいのリスクをできるだけ低減するには、それぞれの原因に応じた対策を講じることが大切です。
セキュリティソフトを導入したり、より強固な認証システムを導入したりすることで、社内の情報漏えいを防止していきましょう。
