企業にとって、情報管理は非常に重要な課題です。

情報漏えいは、企業秘密の流出に伴う損害だけでなく、企業の信頼性を低下させ、訴訟問題へと発展する可能性もあります。

最悪の場合には、企業の存続が危ぶまれる事態につながる可能性があります。

情報漏えいのリスクを認識し、適切な対策を講じる必要があります。

今回は、情報漏えいの原因と対策について解説します。

情報漏洩とは、企業秘密や顧客の個人情報など外部に公表すべきではない情報が、何らかの原因で外部に流出することを指します。

情報漏洩が起きてしまうと、企業の信頼性が低下するだけでなく、賠償金の請求など金銭的な負担が発生してしまう可能性があります。

更に取引の停止など売上に影響を与えるだけでなく、セキュリティの強化施策実施などの現場従業員の業務負担の増加につながり、企業としての生産性が低下する可能性があります。

東京商工リサーチが2021年1月に発表した統計情報によると、上場企業とその子会社がプレスリリースなどで公表した事故だけで、2020年内に2,515万47人分もの個人情報が漏えい・紛失しました。2012年から2020年の間に情報漏えい・紛失した可能性のある個人情報は累計1億1,404万人分に上ります。

統計に含めていない未上場企業・海外企業・官公庁・自治体・学校などでも情報漏えいや紛失事故は起こっており、未公表の事故や事故に気付かないケースも含めると、想像を絶する件数に膨れ上がる可能性があります。

個人情報の漏洩人数、件数、被害想定額が増加しています。

ここでまとめられている数字は、営業秘密、企業秘密の漏洩等は含まれず、あくまで個人情報の漏洩の範囲であることを考えると情報漏洩は、いつどこの企業に襲いかかるか分からないリスクであるとも言えるのではないでしょうか。

情報漏洩を防ぐためには、情報漏洩につながる原因を把握した上で対策を講じることが大事です。

情報漏洩が起こる原因について解説します。

情報漏えいと紛失のインシデントのうち、最も多くの上場企業が公表したのはウイルス感染・不正アクセスによるものでした。

サイバー攻撃による情報漏えいや紛失は年々増加しており、また事故1件当たりの情報漏えいと紛失件数や被害は、紙媒体で起こる事故に比べてはるかに深刻です。

サイバーセキュリティ対策が、どれだけ重要かを表している結果と言えるでしょう。

パソコンやモバイルデバイスの紛失や置き忘れといった、ヒューマンエラーによる情報漏えいが多数を占めています。

パソコンやモバイルデバイスの小型化と軽量化が進んだ結果、持ち運びが容易になったため、紛失しやすくなりました。

誤表示とは、Webサービスにログインしたときに、無関係な他のユーザーの個人情報を表示してしまう事故を意味します。

誤送信とは、誤った宛先に個人情報を含むメールを送信してしまうことです。

誤表示は、サービスの実装ミスなど技術的な問題で発生しますが、誤送信は、第三者から確認できないBCCに記載すべきメールアドレスをCCに記載してしまったという単純なヒューマンエラーに起因します。

OSや基幹ソフトウェアを外部の脅威から守るため、セキュリティソフトを導入している場合、定期的にセキュリティソフトの脆弱性を見直しアップデートをおこなうことが重要です。

情報漏洩を引き起こす不正アクセスは、セキュリティシステムの脆弱性による抜け道を見つけておこなわれるからです。

紙媒体で起こることで、個人情報を含む書類や伝票類などを紛失したり、誤廃棄して、どこにあるのかが分からなくなる（情報漏えいにつながったか分からない）ことです。

紙媒体だけで個人情報を管理している場合、このタイプのトラブルで、保存すべき個人情報が完全に失われる場合もあります。

上記で情報漏洩の発生原因を踏まえましたが、次ぎに、社内で講じるべき対策を紹介します。

経営陣が、情報漏洩のリスクを把握した上で、従業員にトップダウンで対策をさせることが大切です。

パソコンやモバイルデバイスに対するセキュリティソフトの導入は、必要不可欠です。

セキュリティソフトを活用することで、社内ネットワークへの不正接続を検知したり、アップロードされたファイルのログを管理したりといった対策ができます。

また、セキュリティソフトのOSやアプリケーションの更新を忘れずにしましょう。

情報漏えいは、外部からの脅威によって引き起こされるとは限りません。

情報漏えいの原因は、ウイルス感染や不正アクセスよりも紛失や置き忘れのほうが被害件数が多く、ヒューマンエラーによるものだからです。

そのため、業務データの持ち出しについて明確なルールを策定する必要があります。

BCCやCCなどの設定ミスを防ぐためにも、メール誤送信防止システムの導入を検討するといいでしょう。

メール誤送信防止システムとは、宛先チェックの義務化や、権限設定を与えられたユーザーのみがメールに対して返信できるなど、メール送信時の人為ミスによる誤送信を防止できるシステムです。

セキュリティ管理を強化し、監視性を高めることによって、組織全体の情報管理意識の向上に貢献します。

従業員と取引先とのファイル共有に、メールの添付ファイルを使うことはよくありますが、新規サービスの設計書やM&Aの計画書など、ビジネス上重要な機密情報を誤送信した場合の損害は計り知れません。

このリスクを排除する最も根本的な解決策は、メールによるファイル共有をやめることです。

機密情報を高セキュリティなクラウドストレージでやり取りする仕組みにすれば、誤送信の恐れはありません。

各種データのクラウド管理により個人情報をデバイスに保存する必要もなくなるため、サイバー攻撃や盗難による情報漏えいも回避できます。

セキュリティソリューションを導入し、セキュリティポリシーを策定しても、1人の従業員がポリシー違反を犯せば、情報漏えいを引き起こしかねません。

セキュリティポリシーを順守するために、従業員に、同意書へのサインを求めたり、違反時の罰則を定めたりした上で、ポリシーに準じたセキュリティ教育を実施することが重要です。

ビジネスのデジタル化により、インターネット接続は不可欠な状況ですが、ウイルス感染や不正アクセスは、インターネット経由で起こるトラブルです。

そこでVPNの導入によるネットワークセキュリティの強化が求められます。

インターネット通信のパケットの暗号化や、インターネットを経由しない通信により、情報窃取や不正アクセスを防止可能です。

自社内でVPNサーバーを構築すれば、従業員がインターネットに接続する際に、社内LANの経由を強制できるため、外部ネットワークからのインターネットアクセスもファイアウォールなどのセキュリティシステムに組み込めます。

セキュリティ管理は企業の義務です。

情報漏えいを防ぐためにも、情報セキュリティポリシーの策定をしましょう。

また、社内の情報管理ルールを文書化して共有し教育すれば、従業員のセキュリティ意識の向上につながります。

情報資産を脅威から守るためには、ITツールを活用するといいでしょう。

個人情報を管理するITインフラのセキュリティ管理は、企業にとって最重要課題ですので、クラウドサービスを導入し、個人情報の漏えいリスクを軽減していきましょう。