自然災害やリコールなど、企業活動に悪影響を与えるリスクは数多く考えられますが、その中でも世界的に問題となっているのが「情報漏えい」です。
大企業はもちろん、中小企業も情報漏えいに巻き込まれる恐れがあります。事前に対策を講じておき、リスクを軽減することが重要です。
ここでは、情報漏えいによって企業に発生するリスクや、具体的な対策をご紹介します。
1 情報漏えいによるリスク
情報漏えいとは、企業や組織が守るべき情報が、何らかの理由で外部に流出してしまうことです。対象は企業が蓄積する全ての情報ですが、営業機密や社員・顧客の個人情報といった機密性の高い情報が漏えいすると、社会的にも大きな問題になります。
情報漏えいが一度でも生じると、企業の社会的な信頼が大きく損なわれるうえに、法的な賠償責任や罰金など、金銭的なリスクも発生します。
また、情報漏えいの原因究明や復旧作業、再発防止に向けた社内ルールの見直し、監督官庁への報告、問い合わせへの応答など、さまざまな対応に追われる点も問題です。本来の業務が滞ってしまい、経営にさらなるダメージを与える恐れがあります。
2 情報漏えいが発生する2つの要因
情報漏えいの主な発生要因は、内部要因と外部要因の2種類に大きく分けられます。
それぞれの概要は、以下のとおりです。
2-1 内部要因
従業員による人的なミス(ヒューマンエラー)や、意図的な不正行為に起因する情報漏えいが内部要因です。
情報漏えいと聞くと外部からの攻撃をイメージしがちですが、実際には、原因の多くは内部要因に当たります。
内部要因の具体例としては、次のようなものが挙げられます。
・書類や機器などの紛失・置き忘れ
・機器またはシステムの操作ミス
・メールの誤送信
・データの誤廃棄
・従業員または元従業員による不正 など
2-2 外部要因
外部からのサイバー攻撃など、悪意のある第三者によって情報漏えいが引き起こされることもあります。
情報漏えいの原因となる外部要因の例は、以下のとおりです。
・マルウェア(悪意のあるプログラム)
・不正アクセス
・システムの脆弱性(セキュリティホール)を狙った攻撃
・盗聴
・サプライチェーン攻撃(セキュリティ対策が脆弱な関連企業や取引先を経由して、ターゲット企業に不正侵入を仕掛ける攻撃) など
外部からの攻撃ではなく、システム障害が原因で、普段は非公開にしているデータが意図せずに流出してしまう可能性も考えられます。
第三者からの攻撃だけでなく、システム障害の発生も想定して対策を行うことが大切です。
3 情報漏えいを防止する方法
情報漏えいが一度でも発生すると、企業はさまざまな損害を被ることになります。そうした被害を防ぐには、事前の対策が欠かせません。
情報漏えい対策の例を5つご紹介するので、取り入れてみてはいかがでしょうか。
3-1 定期的なシステムのアップデート
使用している各種端末やシステムは、定期的にアップデートを行い、常に最新の状態を保つようにしましょう。
パソコンやスマートフォンなどにインストールされているシステムは、時間が経過する中で新たな脆弱性が発見されることもあります。脆弱性をそのまま放置すると、不正アクセス被害に遭うリスクが高くなり危険です。
脆弱性の多くは、アップデートを行うことで対処できます。OSやソフトウェアなどの最新バージョンが配布されている時は、できるだけ早急にアップデートを行うことが重要です。
3-2 セキュリティソフトの導入
信用できるセキュリティソフトを導入するのも良いでしょう。メールのフィルタリングや通信ネットワークの制御、危険なサイトの閲覧制限といった機能によって、情報漏えいのリスクを軽減できます。
また、ウイルス対策ソフトによっては、基本的なマルウェアの検知・排除を行える点もメリットです。ソフトによって全てのリスクを排除できるわけではありませんが、導入することで安全性は確実に増します。
3-3 アカウントの管理体制の強化
当然ですが、誰もアクセスできないデータや機器で情報漏えいが発生することはありません。社員ひとりひとりに、適切なアクセス権限を付与することを心がけましょう。
例えば、退職した社員や、異動によって業務が変わった社員は、それまで使っていた機器・システムにアクセスすることはなくなるはずです。
そのようなアカウントは適宜削除し、アクセス権限の付与を必要最低限にとどめることで、情報漏えいのリスクを減らしたり、万が一発生した際の原因究明の手間を減らしたりする効果が期待できます。
3-4 社員教育の徹底
人的ミスは情報漏えいの主な原因のひとつです。教育を行ったり、勉強会を実施したりして、社員の情報リテラシーを高めることで、ミスが発生するリスクを下げることができます。
ただし、ひとりでも情報漏えいに関する問題意識が低いと、そこから人的ミスが発生することも考えられます。社内で情報漏えいに関するルールを設けて、全社員で共有することが重要です。
3-5 持ち出しや持ち込みの制限
業務で使用する機器や各種データの不要な持ち出し・持ち込みを制限することもポイントです。
例えば、業務用のノートパソコンや外付けストレージの社外持ち出しを制限したり、私物のUSBメモリの使用を禁止したりすれば、情報漏えいのリスクは減らせます。
とはいえ、業務用のノートパソコンやデータの持ち出しを一切禁止するのは現実的ではありません。業務上必要な場合に限り、データの暗号化や端末のロックなどの対策を講じたうえで持ち出しを許可するといったルールを策定するのがおすすめです。
4 情報漏えいが発生した時の対処法
どれだけ対策を施しても、情報漏えいの発生を完全に防ぐことはできません。万が一情報漏えいが発生した際は、以下の順序で対処を行うのが基本です。
【情報漏えい発生時の対処の流れ】
1.情報漏えいの実態を把握する
2.被害者に連絡を取りパスワードを変更してもらうなど、二次被害の防止に努める
3.原因を究明し、再発防止策を講じる
4.個人の権利や利益を害する恐れがある個人情報が漏えいした場合は、個人情報保護委員会に報告する
個人情報保護委員会の権限が委任されている場合は、権限を委任されている関連機関への報告を行ってください。
情報漏えいの原因究明(デジタルフォレンジック)には、高度な技術や知識が求められます。社内だけで対応するのが困難なこともあるでしょう。
ロジテックのデジタルフォレンジックサービスは、情報漏えいや不正アクセス、データ改ざんなど、さまざまな調査に対応しています。
データを書き換えることなく保全できるため、保全作業のみの相談などもご気軽にお問い合わせください。
5 原因を把握して情報漏えい対策を行おう
情報漏えいが発生すると、社会的信用の低下や損害賠償の請求など、さまざまな悪影響を受けることになります。企業活動に大きなダメージを与えるため、事前の対策が欠かせません。
また、情報漏えいは外部からのサイバー攻撃だけでなく、内部の人的ミスや不正が原因で発生するケースも多く見られます。外部と内部の両方について、対策を行うことが大切です。