情報漏洩の原因と情報セキュリティ対策
～その情報漏洩の要因はサイバー攻撃によるものか～

1. 情報漏洩の外部要因と内部要因
2. 情報漏洩に伴う企業が負うべき責任
3. 情報漏洩の人的な対策の重要性
4. 情報を守るための対策を

生命保険業界や損害保険業界などで相次いで発覚した出向者による情報漏洩や、アサヒグループホールディングスで発生した大規模サイバー攻撃による流通ストップなど、情報セキュリティに起因する問題は現在も様々なところで発生しています。
情報化社会の現代において、今後も“情報”に関わる安全な運用やセキュリティ対策の重要度は高く、人為的なものからインフラの進化に関するものまで、企業としての対応は避けては通れないのが実情です。
今回は、情報セキュリティについて改めて確認するとともに、未だに発生している情報の持ち出しや変化の早い情報インフラ対策などついても考えてみたいと思います。

1. 情報漏洩の外部要因と内部要因

情報漏洩は、大きく外部要因と内部要因に分けられ、前者がサイバー攻撃やウィルスなど、後者は持ち出しや紛失などが該当します。外部要因においては、攻撃手段の進化、多様化などとされていますが、対策不備によるものも多く、同様の内容が繰り返されているとも言えます。現在でも発覚している情報漏洩の4割以上が内部要因という調査結果もあり、情報漏洩対策を実施していても防止しきれていない実態があることが推測されます。

外部要因による情報漏洩

・ ウィルス感染および不正アクセス
情報漏洩の外部要因として最も多いのが、ウィルス感染および不正アクセスによるものです。特にランサムウェアによる被害は多く発生しているようです。差出人不明のメール添付ファイルを開く（人為的ミス）ことで侵入されるケースだけでなく、VPNやリモートデスクトップなどのネットワークの脆弱性（対策未実施等による対応の遅れ）をついての侵入の他、ランサムウェア攻撃を自動で行えるシステムを利用した侵入などが発生しており、ネットワーク対策を行っていないとあっさり侵入されてしまう可能性もあります。

・ 盗聴による情報漏洩
機器に仕込まれた盗聴ツールにより情報を抜き取られるものです。メールの内容を見るものや、テレビ会議などを傍受するもの、スマホでのやり取りを覗き見るものなどがあり、何らかの人為的な方法で機器を乗っ取り、情報を盗み見るツールを機器に仕込むのが主流となっています。

内部要因による情報漏洩

・ 誤操作・紛失
メールの宛先ミスなどの誤操作によるものや、データの入ったUSBメモリやPCの置き忘れ、紛失など、故意ではない人為的ミスにより発生してしまう情報漏洩で、現在でも多数発生しています。

・ システム管理の不備
アクセス権限付与のミスや、配信システムの設定ミスなど、開示してはいけない人が閲覧できる環境となってしまうことで発生する情報漏洩です。今回の生命保険会社の出向者による情報漏洩も、出向者へのルールが曖昧になっていた可能性があります。

・ 故意による情報漏洩
顧客情報や技術情報などの社内情報を持ち出して売却を行う他、金銭目的や転職先での利用、軽い気持ちで知人に情報提供を行ってしまったなど、不正行為による情報漏洩もある一方、企業内のコンプライアンス意識が薄く、不正という認識を持たず多数の社員が関わるような事例もあります。

2. 情報漏洩に伴う企業が負うべき責任

アサヒグループやアスクルが受けたサイバー攻撃においても、外部からの攻撃によるものとはいえ、内部の改善も求められています。生命保険会社の事案における責任は、情報を持ち出した社員だけでなく、出向した会社、出向を受け入れた会社ともに責任を負うこととなり、改善が求められます。

サイバー攻撃を受けた会社の責任

一般消費者（特に店舗側）及び物流会社への謝罪を含め、損害賠償責任に発展する危険性もあった大規模な攻撃と言えます。ＶＰＮの脆弱性については以前より話題に上がっていたこともあり、予知予見できなかったのかを含め、再発防止のための改善が必要になります。また、異常検知やネットワークの利用方法など、運用面における課題も含めた改善を合わせて行う必要があります。

出向した会社（本籍会社）の責任

出向者に対する法令遵守教育が不十分であり、不正を誘発するような評価制度を放置していた責任（ガバナンス）、「情報を取ってきて当たり前」という、顧客保護よりも自社の利益を優先する企業体質／風土についての改善が必要と言えます。

出向を受け入れた会社（代理店・銀行）の責任

自社の機密情報や顧客データに対するアクセス権限管理が不十分で、外部（出向者）による持ち出しを許した管理責任（情報管理）、業界内で「情報共有」が慣習化しており、それが法令違反（個人情報保護法や不正競争防止法）にあたるという認識の欠如（不適切な慣行の放置）の改善が必要となります。

3. 情報漏洩の人的な対策の重要性

外部要因も含め、人的な対策は非常に重要と言え、サイバー攻撃においても不審なメールの添付ファイルやテキスト記載のURLを安易に開かないなど、既に使い古された感が否めない基本的な対策ができていないことが要因となることも多々あります。

また、生命保険業界の事案では、自社の売上（シェア）を拡大するため、出向先の顧客情報を「武器」として活用しようとする誘因が働いていたと思われ、そういった行いが許容される業界風土や慣習に起因するものも少なくありません。

出向制度の抜本的な見直しなどだけでなく、人的な要因を排除するために、多重チェックの導入や運用ルール規定の他、コンプライアンスやセキュリティに対する理解や実践に対して評価する評価制度などの対策が必要と考えられます。
また、企業風土や業界の慣習など、古い体質の改善については、経営層が主導して意識改革や組織改革を行う必要があります。

4. 情報を守るための対策を

外部要因、内部要因ともにシステム的な対策と経営者を含めた全社員が経営課題の一つとして、情報セキュリティの認識を持つ環境を作ることが必要です。加えて、コンプライアンス意識を持ち、不正を許容しない企業体質とすることも重要です。

システムによるセキュリティ対策

不審な情報へのアクセス制限やアクセス権限の管理のほか、ネットワークセキュリティの強化など、人為的に侵入対策を行うことは前提としてあるものの、今後、AIを活用した侵入なども考えられます。AIを活用した攻撃が出てくると、AIを活用した侵入防止や検知のシステムも出てくると考えられ、最新技術の導入が効果的な対策となる可能性もあります。

社内機器管理及び社内ルールの厳格化と教育

社内機器の持ち出しや使用者の管理、使用ルールの厳格化などに加え、情報セキュリティ教育を行い、持ち出しのリスクや使用する責任など、情報を扱うことに対する認識を徹底することが大切です。また、自社基準のセキュリティポリシーが甘い場合もあるため、外部のセキュリティ教育を受けるなど、正しい基準で最新のセキュリティポリシーを学ぶことも検討する方がよいと思われます。

ガバナンスとコンプライアンス

例え些細な内容でも不正は許容しないという風土改善や、コンプライアンス意識を浸透させる組織運営が必要です。透明性や公正性を重んじる組織とするため、社外取締役や監査役などの配置の他、内部統制の見直しなど、企業全体での見直しや改善の検討が必要となります。利益追求最優先ではなく、法令遵守を絶対とする組織でなければ、現代社会では信用を失うこととなります。

情報セキュリティの問題は、サイバー攻撃などの外部からの攻撃による被害がクローズアップされることも多いですが、アカウントの漏洩や侵入検知など、人的な対応ができれば被害を抑えられる点も多数あります。また、情報を扱うことに対しての認識や不正の認識なども含め、組織全体が正しい認識を持つことで、早期発見や早期対応、自浄作用の促進などに繋がると考えられます。システム的な対策ももちろん必要ですが、企業が大切な情報資産を守るため、企業風土の改善や教育、内部統制などを改めて見直す必要もあるかもしれません。

株式会社TMRでは、業歴４３年のもと、培われた豊富な人材と多岐に渡るノウハウをもってリスクマネジメント体制の構築支援を行っています。組織体制の最適化支援や内部通報制度、従業員研修による意識改革などの不祥事予防だけでなく、不正疑義社員の行動検証、採用前の適正調査、採用した人員の個人信用調査のご依頼を承っている実績も多数あり、多岐にわたる問題解決で得た豊富な実績を元に効果的な支援を行っています。