情報漏えいの原因と対策とは?2021年発表の原因ランキングや最新動向も解説
2020年~2021年は大規模な個人情報漏えい事故が頻発しており、ローンチ直後にサービス停止に追い込まれたというサービスもあるほどです。毎日のように情報漏えい・紛失の事故が公表される中、自社内で抱える個人情報も増えており、「情報漏えい事故は対岸の火事ではない」と感じる企業担当の方もいるのではないでしょうか。
情報漏えいによる企業の損害や情報漏えいを引き起こす主な原因、いま企業に必要な情報漏えい対策を知ることで、事故ゼロへ向けたセキュリティレベルの強化が可能です。適切にICT環境を整備し、より信頼される企業を目指しましょう。
そこでこの記事では、情報漏えいの最新動向や2021年発表の原因ランキング、原因解消に効く対策についてご紹介します。
情報漏えいの最新動向
Webサービスの台頭もあってさまざまなサービスを簡単に利用できるようになるにつれ、企業が収集・管理する顧客情報は増加傾向にあり、またサイバー攻撃やヒューマンエラーによって膨大な件数の顧客情報が流出するケースも増加しています。
まずは企業が注意すべき情報漏えいの最新動向として、情報漏えいの発生件数や情報漏えいを起こしやすい業種、情報漏えいによる企業の損害を見ていきましょう。
情報漏えいの発生件数
東京商工リサーチが2021年1月に発表した統計情報によると、上場企業とその子会社がプレスリリースなどで公表した事故だけで、2020年内に2,515万47人分もの個人情報が漏えい・紛失しました。2012年から2020年の間に情報漏えい・紛失した可能性のある個人情報は累計1億1,404万人分に上ります。
日本の総人口とほぼ同数にもなる膨大な情報漏えい・紛失が公表されていますが、これはあくまで上場企業の自主的な公表分です。統計に含めていない未上場企業・海外企業・官公庁・自治体・学校などでも情報漏えい・紛失事故は起こっており、未公表の事故や事故に気付かないケースも含めると、想像を絶する件数に膨れ上がる可能性があります。
参考: 『上場企業の個人情報漏えい・紛失事故 調査(2020年)|東京商工リサーチ』
情報漏えいを起こしやすい業種
東京商工リサーチが2021年1月に発表した統計情報によると、情報漏えいを起こしやすいのはBtoC取引の多い企業です。2020年に情報漏えい・紛失を起こした上位5業種は以下のようになっています。
・1位:製造業 23.8%
・2位:サービス業 20.4%
・3位:情報通信業 18.1%
・4位:金融保険業 13.6%
・5位:小売業 7.9%
このように上位5業種が全体の約8割(84.0%)を占めます。一般消費者の大量な個人情報を扱う企業は、情報漏えい・紛失に対して特に注意が必要と言えるでしょう。
参考: 『上場企業の個人情報漏えい・紛失事故 調査(2020年)|東京商工リサーチ』
情報漏えいによる企業の損害
情報漏えいを起こすと消費者からの信用を失い、ブランドイメージの低下やSNSで「炎上」することによる風評被害、株価下落などを招きます。大規模な情報漏えいや、それに伴うサービスの不正利用が原因で、サービス停止に追い込まれた企業も珍しくありません。
またJNSA(日本ネットワークセキュリティ協会)が2021年に発表したレポートによると、被害の調査をアウトソーシングすると数百万円~数千万円のコストとなることがあり、訴訟に発展すると損害賠償金の額は中小企業でも数千万円~数億円に上る恐れがあります。
参考: 『インシデント損害額 調査レポート2021|JNSA』
【2021年発表】情報漏えいの原因ランキングTop4
セキュリティインシデントのトレンドはここ数年で大きく変化しており、サイバー攻撃による大規模な情報漏えいが増えている状況です。ここでは、東京商工リサーチが2021年に発表した統計情報に基づき、上場企業とその子会社における情報漏えいの原因ランキングTop4を解説します。
参考: 『上場企業の個人情報漏えい・紛失事故 調査(2020年)|東京商工リサーチ』
1位.ウイルス感染・不正アクセス
2020年に起こった情報漏えい・紛失のインシデントのうち、最も多くの上場企業が公表したのはウイルス感染・不正アクセスによるものでした。原因別で見ると49.5%とほぼ半数のインシデントがウイルス感染・不正アクセスによるもので、件数は2,372万7,268件に及び、2020年全体(2,515万47件)の94.3%を占めます。
サイバー攻撃による情報漏えい・紛失は年々増加しており、また事故1件当たりの情報漏えい・紛失件数や被害は、紙媒体で起こる事故に比べてはるかに深刻です。サイバーセキュリティ対策がいかに重要かを示唆する結果と言えるでしょう。
2位.誤表示・誤送信
2020年に上場企業で起こった情報漏えい・紛失のインシデントを原因別で見ると、誤表示・誤送信によるものが31.0%で2位でした。
誤表示とは、Webサービスにログインしたときなどに、無関係な他のユーザーの個人情報を表示してしまう事故を指します。誤送信とは、誤った宛先に個人情報を含むメールを送信してしまうことです。
誤表示はサービスの実装ミスなど技術的な問題で発生しますが、誤送信は「第三者から確認できないBCCに記載すべきメールアドレスをCCに記載してしまった」という単純なヒューマンエラーに起因します。
3位.紛失・誤廃棄
2020年に上場企業で起こった情報漏えい・紛失のインシデントを原因別で見ると、紛失・誤廃棄によるものが13.5%で3位でした。
これは主に紙媒体で起こるインシデントで、個人情報を含む書類や伝票類などを紛失・誤廃棄し、行方が分からなくなる(情報漏えいにつながったか分からない)ことです。紙媒体のみで個人情報を管理している場合、このタイプのインシデントで保存すべき個人情報が完全に失われる場合もあります。
4位.盗難
2020年に上場企業で起こった情報漏えい・紛失のインシデントを原因別で見ると、盗難によるものが2.9%で4位でした。
盗難目的の事務所侵入により個人情報を含む書類やHDDが被害に遭うケースの他、ノートPC・スマホ・タブレット・USBメモリが置き引きや車上荒らしの被害に遭うケースも珍しくありません。書類やパスワード設定をしていない情報機器が盗難に遭うと情報漏えいに直結するため、物理的なセキュリティ対策や情報管理の意識向上が求められます。
情報漏えいの原因解消への対策6選
2020年~2021年はサイバー攻撃による大規模な情報漏えい事件が多く、またメールの誤送信や紙資料の誤廃棄といった単純なヒューマンエラーによる情報漏えいも目立ちます。ここでは、電子データ・紙媒体どちらの情報漏えいの原因解消にも効く、基本的かつクリティカルな対策6選を見ていきましょう。
セキュリティソリューションの導入
2021年はランサムウェアに代表されるマルウェアの感染や、特定の企業を狙った標的型攻撃により、大規模な情報漏えいを招く事件が増えています。そこでハードウェア・ソフトウェア両面のセキュリティソリューションの導入が重要です。
例えばファイアウォールを設置すれば不正なパケットを遮断し、ウイルスの侵入や不正アクセスを防御できます。またアンチウイルスソフトを導入すればデバイス内でウイルスの検知・除去が可能です。 OSやソフトウェアの脆弱性を狙ったサイバー攻撃も多いため、使用中のシステムは常に最新バージョンにアップデートしましょう。
メール誤送信防止システムの導入
サービス利用者にメルマガやお知らせを一斉配信することもあるでしょう。メール配信を人間が操作する以上、ヒューマンエラーの可能性をゼロにすることはできません。
そこでメール誤送信防止システムを導入し、ソフトウェア制御で誤送信を防止する方法が考えられます。ソリューションによって機能は異なりますが、主な機能は自動暗号化機能・上長承認機能・BCC強制変換機能・メール送信破棄機能などです。
クラウドストレージの導入
社内人材や取引先とのファイル共有にメールの添付ファイルを使うケースは多くありますが、新規サービスの設計書やM&Aの計画書など、ビジネス上重要な機密情報を誤送信した場合の損害は計り知れません。
このリスクを排除する最も根本的な解決策は、メールによるファイル共有をやめることです。機密情報を全て「Box」などの高セキュアなクラウドストレージでやり取りする仕組みにすれば、誤送信の恐れはありません。
各種データのクラウド管理により個人情報をデバイスに保存する必要もなくなるため、サイバー攻撃や盗難による情報漏えいも回避できます。ペーパーレス化を推進することで紙資料の紛失・誤廃棄のリスク低減になることも利点です。
VPNの導入
ビジネスのデジタル化やテレワーク制度の浸透によりインターネット接続は不可欠な状況ですが、ウイルス感染や不正アクセスは主にインターネット経由で起こるインシデントです。そこでVPNの導入によるネットワークセキュリティの強化が求められます。
インターネット通信のパケットの暗号化・秘匿や、閉域網を経由した(インターネットを経由しない)通信により、情報窃取や不正アクセスを防止可能です。
また自社内でVPNサーバーを構築すれば社員がインターネット接続する際に社内LANの経由を強制できるため、外部ネットワークからのインターネットアクセスもファイアウォールなどのセキュリティシステムに組み込めます。
セキュリティポリシーの策定
セキュリティポリシーとは、セキュリティ対策の方針や行動指針を総合的・体系的・具体的にまとめたものです。経営トップが独自の社内セキュリティポリシーを施行し、セキュリティ対策の規範とします。セキュリティポリシー策定時のポイントは以下の通りです。
・ポリシーの適用範囲(守るべき情報資産)を明確にする
・ポリシーの適用対象者を明確にする
・体制・運用規定・基本方針・対策基準をできる限り具体的に記述する
・社内の状況を踏まえて、実現可能な内容にする
・運用・維持の体制を考慮して策定する
・形骸化を避けるために、違反時の罰則を明記する
セキュリティ教育の実施
各種セキュリティソリューションを導入し、セキュリティポリシーを策定・施行しても、たった1人の社員が深刻なポリシー違反を犯せば情報漏えいを引き起こしかねません。
そこで全ての適用対象者がセキュリティポリシーを順守するために、同意書へのサインを求めたり違反時の罰則を定めたりした上で、ポリシーに準じたセキュリティ教育を実施することが重要です。
イッツコムのサービスで情報漏えいの原因解消!
情報漏えいの原因の根本的な解消に効くのは、情報管理の仕組みをクラウドベースに変えることです。また社内外からの全てのインターネットアクセスが社内LANを経由すれば、社内で整備したセキュリティシステムやセキュリティポリシーを標準化できます。
これら根本的な原因解消を実現するのが「Box」「かんたんWi-Fi」「モバイル閉域接続」の組み合わせです。
情報漏えいの総合的な原因解消には Box
情報機器に保存した個人情報はサイバー攻撃の被害に遭って漏えいする恐れがあり、情報機器ごと盗難に遭うケースすらあります。メールの誤配信による情報漏えいや紙媒体の紛失・誤廃棄のリスクも懸念点です。
これらの課題は高セキュアなクラウドストレージ「Box」で情報保存・共有すれば解決できます。有料版Boxは容量無制限である上、米国政府を含む各国の政府機関や多くの医療機関・金融機関が採用するほど高セキュアです。
Boxならあらゆるファイルをクラウド上で安全に一元管理でき、ファイルのオンラインプレビューやリアルタイム共同編集にも対応するため、デバイスへのダウンロードやメールによるファイル共有を抑制できます。ペーパーレス化を推進できるのも利点で、情報漏えいの多くの課題を解決できるシステムです。
社内ネットワークの情報漏えい対策に かんたんWi-Fi
オフィスで整備したファイアウォールなどのセキュリティソリューションは、社内LANを経由したインターネット接続時に効果を発揮します。スマホやタブレットを社内で業務利用するなら、Wi-Fi接続によって社内LANを経由することが必要です。しかしWi-Fi環境が十分に整備されておらず、やむなく4G LTEなどで通信するケースも考えられます。
そこで導入したいのが、簡単にWi-Fiアクセスポイント(AP)を増設できる「かんたんWi-Fi」です。かんたんWi-Fiは届いたAPにLANケーブルと電源ケーブルを接続するだけで利用開始でき、Wi-Fiの基地局を自由な場所に増設できます。
業務用Wi-Fiと来客用Wi-Fi(フリーWi-Fi)を分離できるのも利点です。業務用Wi-Fiは信頼できないWebサイトへのアクセスをブロック・帯域制限できるため、自社内のインターネットアクセスをより厳密にコントロールできます。
社外ネットワークの情報漏えい対策に モバイル閉域接続
テレワークの導入が進展する昨今、在宅勤務者やモバイルワーカーのインターネット接続も増えています。テレワーカーの通信環境にはオフィス内で整備したセキュリティシステムは通用しません。一部に深刻なセキュリティホールがあると全体のセキュリティレベルが大きく下がるため、テレワーカーの通信環境整備が求められます。
そこで導入したいのが、モバイルデータ通信サービス 「モバイル閉域接続」です。テレワーカーのPCやスマホに専用SIMを挿入するだけの簡単設定で、閉域網を経由して社内LANへアクセスでき、BoxなどのWebサービス利用時は社内LANを経由します。
かんたんWi-Fiとモバイル閉域接続を導入すれば社内外全てのデバイスが社内LANを経由してインターネットアクセスするため、働き方にかかわらず社内セキュリティポリシーを適用できるのも大きな利点です。
まとめ
ビジネスのデジタル化が活発化するほど管理する顧客情報も多くなり、情報漏えい時の損害も大きくなります。順調に見えた事業も1回の大規模情報漏えいによって撤退を余儀なくされるケースもあるため、技術的・人的な情報漏えい対策は必須です。
イッツコムの「Box」「かんたんWi-Fi」「モバイル閉域接続」を組み合わせれば情報漏えいの原因の大部分を解消できます。その上でセキュリティポリシーを策定・順守すれば、深刻な情報漏えいを起こすリスクを大幅に低減可能です。
いますぐ取り組めるクリティカルな情報漏えい対策をお求めなら、複数サービスのスムーズな導入で情報漏えいリスクを大幅に低減できるイッツコムにご相談ください。