PrizmDoc

新着情報

製品に関する情報をはじめ、ホワイトペーパーやコラム記事、セミナー開催などの
イベント情報といったPrizmDocに関する最新情報をご案内します。

  • コラム

情報漏洩、どのように対策すれば良い?情報漏洩が起きてしまった時の対応も解説

近年世間を騒がせることが多くなった情報漏洩。ひとたび起こしてしまうと、企業の信用を失うだけではなく、賠償金の支払いや売り上げ低下など、事業の存続にも影響する事態にも発展しかねません。
情報漏洩を起こさないことが大事ですが、起きたときの対応について事前に検討しておくことも重要です。
この記事では具体的な事例も含め、情報漏洩の対策や発生時に取るべき行動について解説します。

情報漏洩によって発生しうるリスクとは?

情報漏洩が起きるとどのようなリスクがあるのでしょうか。4つのリスクを解説します。

損害賠償

第1のリスクは損害賠償の発生です。個人情報の漏洩には民事上の損害賠償責任が発生します。

賠償額はケースバイケースですが1人あたり数千円から数万円、規模によっては合計で数千万円を超える金額になることもあり得ます。

信用低下

情報漏洩を起こした企業は社会的な信用を失います。消費者は個人情報を漏洩した企業で製品を購入するのはリスクがあると考えて避けるでしょうし、企業間取引でも同様でしょう。

また、外部だけでなく社員からの信用低下も避けられず、有能な社員の離職を招くかもしれません。

競争力低下

情報漏洩を起こすことで社会的な信用を失った結果、会社の競争力が低下する可能性があります。

前述の買い控えによる直接的な影響に加え、顧客や取引先への対応やメディア、SNSの対応に追われ、本来の業務がおこなえない事態になるかもしれません。これにより、将来に向けた準備が滞り、さらに競争力の低下を招くでしょう。

法律上の罰則

情報漏洩を起こした場合、前述の民事的な損害賠償に加え、個人情報保護法に基づき国から改善命令が出されます。
この改善命令に従わない場合は懲役あるいは罰金が科せられます。

故意に情報漏洩した場合はその個人に懲役や罰金が、そして会社にも罰金が科せられます。

実際に起きた情報漏洩の事例

情報漏洩事件は世の中でたびたび起きています。具体的な事例を紹介しましょう。

医療機器メーカー社員の不正持ち出し

2019年にある医療機器メーカーで、社員が患者情報などを不正に持ち出していることがわかりました。

この社員はUSBメモリを使って患者情報885件およびアンケート調査結果2,603件を持ち出しており、このメーカーは情報を不正に持ち出した社員を懲戒解雇しています。

ただ、社員の私物パソコンを調査したところ、情報が外部に書き出された記録はなく、情報拡散は未然に防ぐことができたようです。

ゲーム機の会員制ネットワークへの不正アクセス事件

2011年にはゲーム機メーカーの会員制ネットワークに不正アクセスがおこなわれ、約7,700万件の個人情報が漏洩しました。

この中にはクレジットカード情報1,000万件が含まれ、日本だけでなく世界中の個人情報が流出しています。

原因は世の中に広く知れ渡っていたサーバーの脆弱性を対策していなかったところにあるとのことです。

この事件の影響で情報漏洩を起こした会員制ネットワークは長期間にわたってサービスが停止され、お詫びとして運営会社はユーザーに特定コンテンツの無料ダウンロードや定額制サービスの一定期間無料で提供することになりました。

キャッシュレス決済への不正アクセス事件

普及が進むキャッシュレス決済への不正アクセス事件も起こっています。この事件の問題は、IDを乗っ取る手段を正規の手段で運営者側が提供してしまったところにあります。

また、2段階認証などのセキュリティ対策をしていなかったことで被害が拡大しました。
さらに、入金手続きの停止も遅く、900人のIDが乗っ取られ、被害額は5,500万円に上ったそうです。

婚活サポーターのメール配信ミス

公的な機関による情報漏洩も起きています。都道府県が運営する婚活イベント主催者が、婚活イベント情報の配信を希望する人々へメールを発信した際、参加申し込み先のメールアドレスとして別の婚活イベント主催団体のものを記載していました。

この結果、都道府県が運営する婚活イベントに参加を希望した人の個人情報が、別の婚活サポーターに流出する事態となりました。

具体的な情報漏洩対策

情報漏洩を起こさないためにはどうしたら良いのでしょうか。ここでは独立行政法人情報処理推進機構セキュリティセンターが推奨する7つのポイントを解説します。

情報の持ち出し禁止

最初のポイントは、情報を持ち出さないという点です。

日本ネットワークセキュリティ協会の調査によると、情報漏洩の原因トップ2は紛失・置き忘れ(29.2%)と盗難(19.0%)であり、この2つでおよそ半数を占めています。逆にいえば、情報の持ち出しをおこなわなければ、情報漏洩のリスクを半分に下げられるということです。

現実的には情報を全く持ち出さないことは難しいですが、必要のない情報の持ち出しをおこなわないことや、持ち出しをおこなうときには管理を徹底することが対策として有効といえるでしょう。

情報を見える場所に放置しない

オフィスの中だからといって情報が簡単に見られる場所に放置しないようにしましょう。機密情報の中には部署限定で公開されている情報もありますし、来客がオフィス内に入る可能性もあります。

また、自宅でも注意が必要です。家族であっても情報漏洩につながると心得ておきましょう。

廃棄時にも留意を

情報を記録した媒体や紙を廃棄する手段にも注意が必要です。安易にゴミ箱に捨てた場合、そこからの情報漏洩が実際に起きています。

ハードディスクなどの記録媒体は完全にデータを消去した状態で廃棄し、紙の場合は細かく裁断したり溶解処分したりするといいでしょう。

不要な私物の持ち込み禁止

私物のパソコンの管理は個人に任されており、ウイルスに感染している可能性がないとはいえません。このようなものを社内ネットワークに接続すると、ウイルス感染が広がり、情報漏洩につながる可能性があります。

また端末だけでなくソフトウェアについても、個人が勝手に好きなものをインストールできる状態にすべきではありません。Webサイトの中にも悪意のあるプログラムを実行するものも存在しています。

業務で使用するハードウェアとソフトウェアの両方に対し、ルールを定めるべきでしょう。

情報にアクセスできる権利をしっかり管理

社内のツールでは、従業員ごとにIDと権限を与え、管理しているケースが多いでしょう。

例えば、管理者権限でしか得られない情報が部下の業務で必要になった場合、管理者は自分のIDをその部下に使わせてしまうといったことがあったらどうでしょう。
このようにIDの貸し借りをおこなうことは本来アクセスできない情報に他人がアクセスできる状態を作り出すことにつながり、情報漏洩の観点で危険といえるでしょう。

IDの貸し借りを禁止することをルール化し、違反した場合は罰則を科すなどの対策が必要です。

意図してIDを貸さなくても、IDとパスワードをディスプレイやデスクに貼り付けておくのも危険です。他人に知られないよう、厳重に保管しましょう。

会社の内外で不要に情報について話さない

居酒屋や公共交通機関、道路などで同僚と仕事の話をすることがあるかもしれません。しかしながら、業務上の情報をこのような場で口外した場合、誰がどこで聴いているかわからず、情報漏洩につながる可能性があります。

また、SNSやブログ、掲示板に仕事の話を書くことも危険です。うまく隠して書いたつもりでも、インターネット上の他の情報と組み合わせると機密情報が明らかになる可能性も考えられます。

会社のルールとして、従業員に「社内の情報について関係者以外に話をしないように」ということは徹底すべきでしょう。

情報漏洩が起きたときは迅速に報告

最後に、情報漏洩を起こしてしまった場合はすぐに上司や管理者に報告することが重要です。情報漏洩の対策はスピードが重要であり、できるだけ素早く対応すれば被害を抑えることができます。

情報漏洩を起こしたことを報告しづらいのはわかりますが、迷っている間にも情報はものすごい速さで世の中を駆け巡ります。一刻も早い報告を心がけましょう。

情報漏洩が発生してしまったときの対応

どれだけしっかりと対策していても、情報漏洩が発生する可能性は0ではありません。情報漏洩が発生したときの対応について解説します。

情報漏洩の発生状況の把握

まずは情報漏洩が発生した状況を正確に把握することが重要です。例えば以下の事項の把握が必要でしょう。

  • 誰がいつどこで見つけたのか
  • いつ情報漏洩が発生したのか
  • 漏洩した情報は何か

まずは上記について、落ち着いて調査に専念しましょう。

根本原因の究明

次に、情報漏洩が起きた根本原因を究明します。

見つかっているよりも大量の情報が流出している可能性もありますし、今も情報流出が続いているかもしれません。根本原因の把握なしには、流出した情報の正確な把握や、流出を止める対策は困難です。

また、根本原因の究明は再発防止策の策定にも必要です。このとき、単に「うっかりミス」だけで済ませるのではなく、なぜうっかりミスをしてしまったのかという点まで深く掘り下げ、二度と起こさないように徹底しましょう。

事実の公表

情報漏洩を起こした事実は包み隠さず、迅速に公表すべきです。ここで後手後手に回ると、もっと重大なことを隠しているのではないかと疑われ、より社会的な信用を落とすことにつながります。

また、個人情報を流出させた場合は監督官庁への報告も忘れないようにしましょう。個人情報保護委員会・認定個人情報保護団体への報告も必要です。

PrizmDocで情報漏洩を予防しよう

情報漏洩対策をおこなうなら、PrizmDocを導入してみてはいかがでしょうか。

PrizmDocはお手持ちのWebアプリケーションに組み込んで使うビューアであり、ファイル閲覧の際に元ファイルをクライアント端末にダウンロードしない点が特徴です。

元ファイルはサーバー側でSVG形式に変換されてクライアント側に投影されるため、クライアント側に情報が残らず、端末の紛失や盗難が起きても情報漏洩が起こりません。

また、PrizmDocはセキュリティ対策だけでなく業務効率の改善にも役立ちます。50種類以上のファイル形式に対応し、閲覧だけでなくハイライトやコメントを付けることも可能あり、さまざまな用途に活用可能です。

PrizmDocには無料体験版も用意されていますので、まずはお気軽にお問い合わせください。


PrizmDocコラム一覧