個人情報との向き合い方
第2回　情報が流出する原因とリスクマネジメント

１．個人情報の流出原因
２．企業が行うリスクマネジメントのポイント

よくニュースにもなる個人情報流出事件ですが、ここ数年は上場企業とその子会社だけでも年間100件以上の事件が発生し、個人情報流出事件の平均情報流出件数は10万人分を超える大きな被害規模になっています。

今では様々なシステム化が進んだことにより、多くの企業が、個人情報を紙媒体だけでなくデータ情報で保有する割合が増加したことから、大小問わずあらゆる組織において、紙やデータの両面でのセキュリティ脅威を把握し対策を講じることが必要となってきています。

今回は自社の情報を守るための手がかりとして、個人情報が流出する原因とその事例、およびそういったリスクに対処するためのリスクマネジメントのポイントをご紹介いたします。

１．個人情報の流出原因

個人情報の流出原因は大きく以下の3つに分類されます。

（1） 外部からの侵入
（2） 関係者のヒューマンエラー
（3） 内部不正・データの持ち出し
それぞれについて、詳しく説明すると以下のようになります。

（１） 外部からの侵入

外部からの侵入で最も多いのが、外部の第三者がネットワークを経由して組織内部に侵入し漏洩するケースです。近年の事例には以下のようなものがあります。

・大手アパレルショップ
公式オンラインショップがサイバー攻撃を受け、約20万人分の個人情報が流出

・大手フリマアプリ企業
アプリの社内テストツールがサイバー攻撃を受け、約2万件の個人情報が流出

・大手航空企業
世界の航空会社が共有するデータベースにアクセス、プレミアムメンバー約100万件の個人情報が流出

顕著に増えているのが、ウイルス感染と不正アクセスです。外部侵入の手口は日々高度化しており、セキュリティ対策を講じる側とのイタチごっこが続いています。

ウイルス等を用いて侵入された場合、社内システムへの不正侵入経路となり、情報漏洩の他、改ざん、消去等に繋がる恐れもあります。

盗まれた情報は売買に利用されるほか、情報の身代金を要求するランサムウェア型の攻撃も増加しております。
（ランサムウェアとは、PCのロックやファイルの暗号化により、データを利用できなくした上で、解除と引き換えに「身代金」を要求するコンピュータウイルスのことです。）

（２） 関係者のヒューマンエラー

外部からの侵入に次いで多い流出原因は、組織内部の関係者が起こしたヒューマンエラーです。具体的事例としては以下のようなものがあります。

・大手ガス会社
ハードディスク1台が所在不明となり、個人情報約3万件が流出した可能性あり

・地方銀行
委託先にデータ提供する際、サービス利用者　約8,000名の個人情報を誤って委託先に提供

・厚生労働省
受託企業によるメール誤送信により、1,000名以上の名簿データが流出

メール送信のミス自体は、過去に経験がある方も多くいらっしゃると思います。ただ、その内容が個人情報漏洩に関わる内容であると大事になるという事例が多いです。それと意外と多いのが、デバイスの紛失・置き忘れによる事故です。

デバイスの紛失は、最悪の場合、悪意ある第三者の手に渡り、悪用されたり換金目的で業者に売られたりする危険性をはらんでいるため、十分な対策が必要です。

（３） 内部不正・データの持ち出し

組織の従業員や元従業員がアクセス権限を使って個人情報を不正に持ち出す内部不正も情報漏洩原因の一つです。個人情報の売買や権限を利用した情報操作で自身の口座にお金を移動させるなど、情報価値が高まったこともあり、金銭目的での犯行が増加しているようです。近年では以下のような事例が発生しています。

・大手通信教育会社
勤務していたエンジニアが、顧客の個人情報を持ち出し、名簿業者に売却

・不動産企業
何者かにより顧客リストが持ち出され、約7,000件の個人情報が流出

・システム開発企業
大手証券会社のシステム開発を担当した元社員が顧客情報を持ち出し、その顧客の口座から自身の口座に2億円を不正出金

データを持ち出す主な手段は、USBメモリやHDDなどの外部記憶媒体によるものや、メールによるデータの転送、スマホカメラでの撮影に加え、アナログ的に紙媒体の持ち出しやコピーによる持ち出しもあるようです。

ここまで記載したような個人情報を保全するためには、インフラ面だけでなく、セキュリティ教育や（ルール作りを含む）組織体制も重要になってきます。そういった企業ができるリスクマネジメントのポイントをいくつかご紹介させていただきます。

２．企業が行うリスクマネジメントのポイント

（１）セキュリティソフトの更新や脆弱性対策

マルウェア感染やサイバー攻撃といった外部からの侵入に起因する個人情報流出を防ぐには、Webサイトやソフトウェアの脆弱性対策をしておく必要があります。悪意ある第三者は、そういった「穴」を狙ってサイバー攻撃を仕掛けてきます。

（２）情報の保護を強化

ヒューマンエラーや内部不正、データの持ち出しによる個人情報流出を防ぐには、個人情報には必ずアクセス制限を設定し、関係者以外のアクセス制限をかけることや二重チェック（実施者と管理者によるチェック）を行うなどのルール徹底や物理的なアクセス制御を行うなどの方法により、情報の保護をより強固にする対策が有効です。

（３）秘密保持義務に関する誓約書面を差し入れてもらう

内部不正や従業員のセキュリティ意識の低さに起因する個人情報流出を防ぐために、対企業と取り交わす秘密保持契約書同様、従業員からは秘密保持義務に関する誓約書類を差し入れてもらうことは有効です。

（４）従業員への教育

従業員への教育で社内リテラシーを高めることは欠かせません。行動指針となるセキュリティポリシーや実施要領を定め、その周知とともに、起こり得る事例について紹介するなど定期的に教育を行うことは非常に大切です。また、技術や環境の変化が早く、できる限り即時対応できるような組織体制づくりも大切な要素と言えます。

リスクマネジメントの中でも特に教育や組織体制の構築などについては、それぞれの企業ごとに対策が異なることもあり、外部専門企業に協力を仰ぐことも効果的です。

今回は個人情報の漏洩原因やその事例と必要なリスクマネジメントについて掲載しました。

 

㈱TMRでは、企業のリスクマネジメントとして法改正やデジタル化の進展に対応したアドバイスの豊富な実績とノウハウがあります。個人情報保護法に対応するための従業員との秘密保持契約へのアドバイスや従業員の資質向上を目的としたコンプライアンス教育を研修等の形式で行うことも可能です。改正法に沿った個人情報の取り扱いを行うためのプライバシーポリシーや社内規程の作成や見直しといった規程作成の支援実績も多数保有しています。海外展開企業の支援実績が多いため、個人データを外国の第三者へ提供しているかどうかのチェックについても適切な調査が可能です。

また㈱TMRでは、国際基準であるISMSで認められた、情報セキュリティ体制の運用や標準化、専門技術などについて、豊富なノウハウと実績を保有しています。法規制に対応しながら、刻々と変化する情報化社会である現代に対応した情報セキュリティ体制の構築を行うための支援ができます。