企業が直面し得る情報漏洩のリスクとその対策法について

年末が近づく中、情報漏洩に関するニュースが相次いで報じられています。

11月22日、立憲民主党の蓮舫参院幹事長が安倍首相の主催する「桜を見る会」について政府側に問い合わせた内容が、民間業者に漏洩したことが大きく報道されました。さらに12月初旬には、神奈川県庁の行政データが入ったハードディスクがデータ消去不十分の状態で外部に流出し、ネットオークションで販売されるという事態が起こっています。

これらのニュースは行政側で起きた事案ですが、民間の企業にとっても決して他人事ではありません。今回は、企業として情報漏洩のリスクに備えるにはどのようなリスク管理が必要なのか、について解説します。

企業で頻発している個人情報漏洩の実態

情報が社外に流出することで社会的な問題として扱われるのが、顧客に関する個人情報です。日本ネットワークセキュリティ協会（JNSA）の調査によれば、2018年1月～12月までに日本で起こった個人情報の漏洩件数は443件に上り、このうち131件が自治体、312件が民間企業で起こっています。民間企業で起こった漏洩件数を業種別に見ると、最も多く個人情報漏洩が発生しているのは「教育、学習支援業」の101件で、2番目に多いのが「情報通信業」の33件、3番目が「卸売業、小売業」の31件です。

もし企業が保有する個人情報が流出すれば、企業の信用が大きく低下し、社員全員で対応に当たる必要性が生じるため、本来行うべき日常業務に多大な支障が生じるでしょう。さらに多くの場合損害賠償も発生し、JNSA によると、2018年における個人情報漏洩1件当たりの平均想定損害賠償額は6億3,767万円に上ります。財務体力の乏しい中小企業の場合、情報漏洩による損害賠償発生が発生すると事業の存続に関わる事態ともなるでしょう。

個人情報だけでなく経営上有益な情報も漏洩するリスクがある

企業が漏洩する情報は個人情報だけではありません。営業情報や研究開発情報など、その企業が競争優位性を確保する上で重要となる情報が漏洩するリスクもあります。

情報処理推進機構（IPA）の「企業における営業秘密管理に関する実態調査」（2017年公表、全産業・全規模2175社を対象）によると、企業に対して過去5年間に営業秘密（技術関連を含む経営上の情報）の漏洩を経験したかどうかを尋ねたところ、漏洩があったと回答した企業の割合は8.6％、全体の1割近くに上っていました。また、情報の流出先としては「国内の競合他社」が全体の32.4％を占め最も多く、「外国の競合他社」も10.5％を占めています。日本企業の10社に1社近くが情報漏洩を経験しており、それにより競争相手に重要な情報を奪われるというケースが多数発生しているわけです。

なぜ企業で情報漏洩が発生するのか・・・外的要因と内的要因

企業が保有する個人情報や営業秘密が社外に流出する原因には、内的要因と外的要因とがあります。

内的要因とは、情報漏洩の原因が企業内にあるケースです。その一つは人為的ミス・ヒューマンエラーによるもので、メールの誤送信、社内規則の周知不足による情報漏洩、USB媒体や資料の置き忘れ等の管理ミスなどが例として挙げられます。もう一つが情報を売って報酬を得るために、社内の機密情報を意図的に社外に持ち出そうとする内部不正に起因する漏洩です。就労中に得た内部情報を、退職後に他企業などに漏らすことも、内部不正の一種といえるでしょう。

一方、外的要因は情報漏洩の原因が企業外にあるケースです。典型例としては、クラッカー、ウィルスソフトなどによって、悪意のある第三者から不正に企業のPCにアクセスされ、情報が盗まれるという事態が挙げられるでしょう。ほかにも、委託業者など提携先の人間がデータの管理をミスし、それにより情報が漏洩する場合もあります。

情報漏洩を防ぐために企業が取るべきデータ保存上の対策

では、企業からの情報漏洩を防ぐにはどのような対策を施すべきでしょうか。以下に対策をいくつかご紹介します。

①社外に情報を持ち出す必要性をなくす・・・資料へのリモートアクセスによる対策

紙資料はもちろん、PCやUSBに保存されている情報であっても、社外に持ち出すと紛失・盗難など人為的ミスにより流出する恐れがあります。もし社外から社内のデータベースにリモートアクセスできるネットワーク体制を構築すれば、社外に情報を持ち出す必要がなくなるので、紛失・盗難による情報流出を防げるでしょう。ただしこの場合、ネットワーク自体に侵入されないように強固なセキュリティシステムを導入する必要があります。

②データ廃棄を確実に行う

PC、ハードディスクを処分する際のデータ消去法が不十分な場合、そこから情報が流出するリスクがあります。コストをかけてでも専用のツールを導入し、残存データを確実に消すことが情報漏洩を防ぐ上で大切です。

③ウィルス対策のセキュリティソフト、ファイアーウォール、VPNの導入

外部からのサイバー攻撃に備えるため、PCのパスワード設定の徹底とウィルス対策ソフトの導入はもちろん、ファイアーウォール、VPN（ネット上にバーチャルな専用線を設け、セキュリティ上問題のない経路を用いてデータのやりとりを行う）を活用し、不正アクセスを防ぐ体制づくりをすることが大事です。

④不正リスクマネジメントへの取り組み

企業内部の人間による不正な情報持ち出しは起こり得ると捉え、そのための情報流出の予防策を講じておくことも重要です。情報資産にアクセスする際の認証機能の強化、情報の社外への持ち出し、制御体制の構築、不正行為に対する監視・監査体制の強化などに取り組み、不正を起こせるチャンス自体を減らす必要があります。

まとめ

企業には個人情報、経営上の機密事項など、流出を防ぐべき情報を多数保有しています。もし重大な情報漏洩が起こると、損害賠償や対外的な信用の低下、競争優位性の喪失といった多大な損失を負うことになりかねません。そのようなリスクを避けるためにも、経営者・管理者の方は、日頃から強固なセキュリティ体制づくり、不正リスクマネジメントへの取り組みを社内で進めておきましょう。

関連記事：どうなっている!?個人情報保護の規制強化への対応