デバイス活用マガジン「モビナビ」
デバイス管理の“ できない” を“ もっとできる” に変えるマガジンです。
当社サービスだけでなく、様々な角度で情報を発信しています。
- モビナビ
- 情報セキュリティ概要・トレンド
- 個人情報漏洩を防ぐ6つの対策とは?被害事例や流出原因なども解説
個人情報漏洩を防ぐ6つの対策とは?被害事例や流出原因なども解説
近年、企業の個人情報漏洩に関するニュースをよく耳にすることが増えてきています。膨大な顧客情報を保有する企業では、さまざまな原因によって個人情報漏洩が発生するリスクは少なからずあるため、防止するための体制を事前に整えておくことが大切です。
本記事では、個人情報漏洩にいたる原因や近年発生した個人情報漏洩の被害事例に触れながら、被害を防止するための対策について詳しく解説していきます。
MDM導入のご検討・
ご相談はこちら
個人情報、個人情報漏洩とは
個人情報漏洩について理解するには、はじめに個人情報とはなにか、個人情報漏洩とはなにかといったことを整理することが大切です。
個人情報とは
「個人情報」とは、生存する特定の個人に関する情報であり、特定の個人を識別できる情報のことです。さらに他の情報と容易に照合することができ、それにより特定の個人を識別できる情報も含まれます。
個人情報にあたる具体例は以下です。
- 本人の氏名、生年月日、連絡先(住所・電話番号など)
- 特定の個人を識別できる情報を含むメールアドレス
- 本人と特定できる音声録音情報、防犯カメラに記録された映像
- 履歴書等に記載された雇用管理情報(人事上の評価も含む)
- 電話帳・官報・職員録で公にされている情報
- 生体情報
- 金融機関情報
- 暗証番号
- 特定の個人と結びついた通称、屋号、芸名
- 看護記録、カルテ、検査記録に記載された診療情報
- 電話・携帯電話の通話記録
- 社員番号、学籍番号、パソコンID(別に管理する名簿などと容易に照合することができる場合) など
個人情報漏洩とは
また「個人情報漏洩」とは、“個人情報を保有する者”および“個人情報に該当する者”の意図に反して、個人情報が過失により第三者に漏れてしまうことを指します。
紙ベースで保管されている個人情報のほか、電子データとしてWeb上に保管されている個人情報などが第三者に漏洩してしまうことも個人情報漏洩に該当します。
万が一、個人情報漏洩に至った場合は、「個人情報保護法」による罰則を受ける可能性があるほか、顧客に金銭的補償を行う、社会的信用を損失する、事業の存続さえ難しい状況に追い込まれるリスクも高まります。
個人情報保護法については以下の記事で詳しく解説しています。
≫【2022年4月施行】個人情報保護法の改正ポイントをわかりやすく解説!
個人情報漏洩、紛失事故の原因
画像引用:東京商工リサーチ
個人情報漏洩は、一体どのようなことが原因で発生するのでしょうか。東京商工リサーチが2021年に調査した「上場企業の個人情報漏洩・紛失事故」のデータをみていきましょう。
個人情報の漏洩・紛失事故を年別にみると、2021年の事故件数は137件。この件数は、前年と比較すると33.0%増加しており、過去最多107件である2013年の記録を上回る結果となりました。またそれに伴い、個人情報漏洩・紛失事故が発生した企業数も2012年以降過去最多を記録しています。
画像引用:東京商工リサーチ
なお個人情報漏洩・紛失事故の発生原因は、円グラフのとおり「ウイルス感染・不正アクセス」が最多で68件、次いで「関係者の不注意による誤表示・誤送信」43件、「端末の紛失や盗難」24件と続いています。
では原因別に詳しくみていきましょう。
ウイルス感染・不正アクセス
原因別で見ると、2021年の情報漏洩・紛失事故の137件のうち「ウイルス感染・不正アクセス」が一番多く68件(構成比49.6%)と全体の約5割を占めています。これは調査を開始して以来、3年連続で事故件数、社数ともに過去最多を更新する結果となりました。
なお68件の事故の情報漏洩・紛失件数については、454万554件に及んでおり2021年全体(574万9,773件)のうち78.9%を占めています。企業の膨大な情報に不正アクセスするサイバー攻撃は、紙媒体を中心とした「紛失・誤廃棄」(平均3万2,818件)と比較すると、情報漏洩・紛失件数が非常に多く、被害も拡大しやすい傾向にあります。
また近年では、不正に動作させる意図で作られたソフトウェアの総称である「マルウェア」の手口が巧妙かつ増加してきています。メールの差出人として実在の人物を装い、悪意のある不正サイトへのリンク誘導や添付ファイルの開封により感染させる「標的型攻撃メール」の被害も広がっています。
関連記事はこちら
≫マルウェアとは?その脅威と対策方法、種類や症状、ウイルスとの違いを解説!
≫標的型攻撃とは?基本的な仕組みや手法、被害事例、対策法をチェック!
関係者の不注意による誤表示・誤送信
2021年の情報漏洩・紛失事故では、原因として「誤表示・誤送信」が43件(同31.3%)と、「ウイルス感染・不正アクセス」に次いで、件数が多い結果となっています。
とくに従業員によるメールやFAXの誤送付、システムの設定ミスによる誤表示といった人的ミスが情報漏洩につながる原因となっています。
端末の紛失や盗難
2021年に発生した情報漏洩・紛失事故では、端末の紛失や盗難も原因の一つとされています。調査結果によると、従業員が外出先で紛失したケースや重要書類や取引記録の廃棄・紛失などの「紛失・誤廃棄」が16件(11.6%)。
近年企業では、ノートPCをはじめスマートフォンやタブレットなどのモバイル端末を利用するケースが増えてきています。とくにモバイル端末は、自由に持ち運びでき利便性が高いことから外出先での利用やテレワークにも多く利用されています。
しかしその一方で、外出先の飲食店や、移動する電車の中で端末を置き忘れてしまったということは多く見受けられており、こうした端末の紛失や盗難により個人情報漏洩につながっているのです。
個人情報漏洩の事例
ここでは、実際に個人情報漏洩が発生した4つの被害事例をご紹介します。
病院でノートPCの紛失により、個人情報漏洩の可能性
≪公表日≫
2021年2月16日
≪流出内容≫
院内の放射線科でレントゲン撮影に用いるノートPCの紛失が発覚。それにより、ノートPCに記録されていた患者IDや氏名、性別年齢といった患者の撮影画像データが流出した可能性があると明らかになりました。流出した「撮影画像データ」には、患者1,971名にも及ぶ情報が記録されていました。
≪対応≫
- 監督官庁、警察に被害届を提出
- 公式HPに「重要なお知らせ・お詫び」を掲載
- 対象の患者に対し、書面にて謝罪と端末紛失の経過を送信
- 対象となる顧客に対して専用の問合せ窓口を設置
製菓メーカーで不正アクセスによる顧客データ流出の可能性
≪公表日≫
2022年3月22日
≪流出内容≫
大手製菓メーカーでは、自社で運用している複数のサーバーが、外部から不正アクセスを受け、164万8,922人分の氏名・住所・メールアドレスといった顧客情報が流出した可能性があることが明らかになっています。
調査によると、ネットワーク機器の脆弱性を悪用され不正アクセスに繋がった可能性が高いとされています。なお不正アクセスされたサーバー内部の一部のデータがロックされていることから、マルウェアの一種“ランサムウェア”であるといったことも懸念されています。
≪対応≫
- 該当サーバーをネットワークから切り離し、復旧作業
- 外部専門機関による調査依頼、個人情報保護委員会への報告
- 警察に被害届を提出
- 対象となる顧客に対して専用の問合せ窓口を設置
- 公式HPに「重要なお知らせ・お詫び」を掲載
システム設定のミスで顧客情報が外部から閲覧可能に
≪公表日≫
2021年2月10日
≪流出内容≫
保険サービスを扱う企業では、サービスサイト内の「お問い合わせフォーム」リリース作業時、動作確認のために設定したログの出力先を誤って外部から閲覧できる状態に指定したことが発覚しました。
2018年4月10日から2021年1月26日までの期間において、問い合わせ件数1万4,384件、問い合わせ人数1万2,019名の個人情報が閲覧できる状態であったとされています。
≪対応≫
- 対象データを閲覧できない状態に
- 該当する情報についてランダムに抽出し、インターネット検索を実施
- 公式HPに「重要なお知らせ・お詫び」を掲載
- 専用の問合せ窓口を設置
従業員による個人情報の不正持ち出し
≪公表日≫
2021年3月29日
≪流出内容≫
不動産管理会社において、2019年10月と翌年11月の二度にわたり、同社に所属していた元従業員が、社内業務管理システムから顧客情報の不正持ち出しが発覚。加えて約5,000人の氏名や住所、電話番号といった顧客情報を外部へ流出させたことが明らかになりました。
≪対応≫
- 情報の流出先に対して、弁護士を介して情報を使用することの差し止めと廃棄を請求
- 情報を流出させた元従業員に対して、刑事告訴を視野に入れた準備を進行
- 対象となる被害者に書面にて謝罪を行う
- 国土交通省 ・一般社団法人マンション管理業協会 ・一般財団法人日本情報経済社会推進協会 ・警察などへ届け出や報告を行う
個人情報漏洩を防止する対策
前述した事例を見ても分かるとおり、個人情報が漏洩すると金銭的被害のみならず、法的な手続きや信用の失墜などの二次被害につながるリスクがあります。まずは個人情報の漏洩を防ぐために、社内でできる対策を確実に行っていくことが重要と言えます。
ここでは、すぐに実践できる6つの対策をご紹介します。
セキュリティソフトの導入・更新
個人情報漏洩の原因として、マルウェアなどのサイバー攻撃により発生しているケースが増えています。このような原因に対して有効な対策はセキュリティソフトの導入です。とはいえ、セキュリティソフトと一口に言っても、サイバー攻撃を検知できるものやソフトの脆弱性を診断できたり、万が一不正アクセスに至った場合に挙動から異変を察知し対処できるものなどさまざまです。
個人情報漏洩を防止するためだけでなく、セキュリティを強化するためにもぜひ運営に合ったソフトを選ぶようにしましょう。
また導入後は、定期的にソフトのアップデートを実施し、最新の状態を保持することも忘れてはいけません。
最新のセキュリティ対策やおススメの製品についてはこちらをチェック!
≫エンドポイントセキュリティ、EDRって?重要性やマルウェアへの対策ポイントとは
≫ESETインターネットセキュリティの評判は?軽さや機能、リアルなクチコミを徹底分析
メール誤送信などが無いよう仕組み化
これまで「メールの宛先を誤って違う相手に設定し送付しそうになった」という経験のある方もいるのではないでしょうか。とくに多くの個人情報を含むファイルを添付して送付する場合は、宛先を確認するだけでは対策として不十分と言えます。
たとえば、誤って送信した時点で取り消しができるようメールの送信を一定時間保留するといったことや、重要なメールのみ自動でフィルタリングし、上長の承認を得た上で送信するなど仕組み化することも大切です。
端末管理の徹底、不要な持ち出しを禁止する
ノートPCやスマートフォン、タブレットなどの端末の紛失や盗難も情報漏洩の原因の一つです。もちろん端末の不要な持ち出しを禁止することが一番の対策ですが、やむを得ず端末を持ち出す必要がある場合は、上長の許可を得るといったことや持ち出す端末を限定するといったルールを策定することもおススメです。
そのほか、遠隔操作で端末のロックや情報の消去を行うことができるMDM(モバイル管理)ツールを導入し、端末管理を徹底することも情報漏洩を防止する有効な方法と言えるでしょう。MDMの詳細については後ほど詳しくご紹介します!
個人情報の取り扱いに注意
個人情報を安易に放置せずに管理することも大切です。とくに顧客ファイルや重要書類などはキャビネットに施錠し保管するようにしましょう。また昨今においては、電子帳簿保存法の改正で規制が緩和されたことにより、これまで紙での保存が一般的だった文書に関して、電子化する動きが進んでいます。もちろん文書を電子データ化することで、書類紛失等のリスクは軽減できますが、サイバー攻撃やUSBの持ち出しにより、情報が漏洩する可能性もあります。
文書を電子データ化する場合は、パスワードの付与や閲覧権限の設定などセキュリティ対策を講じることが重要です。
またコワーキングスペースやカフェなどテレワークを行う際は、PCの画面を開いたまま離席してしまうと、第三者に閲覧されてしまうリスクも高まります。離席する際は、重要な情報が画面に表示されないようスクリーンロックをかけるなど徹底することが大切です。
従業員教育による社内リテラシー強化
個人情報漏洩の原因として、端末の紛失・盗難に加え、関係者による誤操作・作業ミスなども挙げられます。これらを防止するためには、個人情報を取り扱う従業員に対して教育を行い、セキュリティ意識を底上げしていくことが必須です。
セキュリティポリシーや実施要領を策定したり、IPA(情報処理推進機構)が公開するガイドラインなどを活用し、情報セキュリティに関する定期的な教育を実施していきましょう。
端末紛失時のセキュリティリスクを低減する方法
冒頭でご紹介したとおり、情報漏洩の原因にはPCやスマートフォン、タブレットといった端末の紛失・盗難によるものも少なくありません。端末を持ち運ぶ際に紛失しないように心掛けることは前提ではありますが、万が一紛失した際の対処法を用意しておくことでセキュリティリスクを低減することができます。ここでは、おススメの方法をご紹介します。
セキュアな環境を実現するためにMDMを導入する
端末紛失時に個人情報漏洩を防止するためには、タブレットやスマートフォンなどの端末を一元管理できるMDM(モバイルデバイス管理)の導入がおススメです。
MDM(モバイルデバイス管理)には、遠隔操作で端末のロックできる「リモートロック」機能や、端末内に記録されているデータの削除ができる「リモートワイプ」機能があります。そのため万が一端末の紛失・盗難に遭った場合でも、早期に発見できる可能性を高めることができる上、情報漏洩を防ぐことが可能となります。
MDMってどんなことができるの?機能やメリットについて詳しく知りたい方は、以下の記事もチェックしてくださいね!
≫MDM(モバイルデバイス管理)とは?基本や導入時の注意点まで徹底解説
まとめ
今回は、個人情報漏洩の原因や被害事例に加え、防止する対策について詳しく解説しました。今回ご紹介した事例や対策を知ることでどのようなリスクに備えたらよいのか理解できたのではないでしょうか。まずはセキュリティソフトの導入・更新や従業員のセキュリティ教育など自社で実施できる対策から行い、安心して業務に取り組める環境づくりを構築していきましょう。