1.情報漏洩の概要

企業における「情報漏洩」とは、内部情報が意図せずして外部に広まってしまうことを意味します。情報漏洩では、流出するデータに定義がありません。企業が取り扱っていて、本来なら外部に晒されるべきではないデータが知られてしまったときに「情報漏洩」という言葉を使います。情報漏洩するデータとしては、社員や顧客の個人情報が対象となるケースが多いといえるでしょう。

情報漏洩防止が重大な課題であり続けているのは、企業の利益を激減させるリスクがあるからです。もしもライバル社に顧客データが知られてしまうと、シェアを奪われかねません。顧客の信頼も失ってしまいます。また、商品情報や経営戦略が伝わることで、対策も立てられてしまいます。しかも、情報漏洩の対象となった社員や顧客への被害も甚大です。データが拡散し悪用された場合には、本人の知らない間にトラブルへと巻き込まれる可能性が出てきます。銀行口座やパソコンのパスワードなど、社会生活を送るうえで厳重に管理されるべき情報も第三者の手に渡ってしまいます。情報漏洩を起こした企業には世間からのバッシングが寄せられ、株主やスポンサーの心象も害するでしょう。そのため、企業は情報漏洩に対策を立て、データを預けている関係者の安全を保証することが不可欠です。

2.情報漏洩が起こる要因

企業で情報漏洩が起こる原因は、「ミス」と「不正行為」に分けられます。ミスによる情報漏洩の代表例としては、「データのずさんな管理」が挙げられるでしょう。大切な資料をなくしてしまったり、人目につく場所に置き忘れてしまったりして第三者に見つかってしまうパターンです。また、パソコンの画面をロックしないまま席を離れてしまうこともミスに含まれます。「誤操作」も人為的なミスだといえるでしょう。個人情報を添付したメールを間違った相手に送信してしまうなど、悪意のないうっかりミスから深刻な被害につながることもあります。

一方、不正行為による情報漏洩としては、「ハッキング」が一般的です。企業のシステムに不正なアクセスを行い、データを閲覧する人間もいます。こうしたアクセスは競合他社がスパイ目的で行っていることもあれば、ハッカーが遊び半分で狙ってくる場合も少なくありません。そして、データの「盗難事件」による情報漏洩も起こっています。オフィスに人を送り込んでデータを盗んでいくものから、社員の後をつけて盗むチャンスをうかがっていた事件まで、手口はさまざまです。つまり、情報漏洩はミスさえしなければ防げるわけではなく、悪意をもった人間を想定して対処するべき問題です。

3.情報漏洩によって起こり得る被害とは？

実際に情報漏洩が起こってしまうと被害を避けられません。まず、企業の信用が低下します。情報漏洩の原因は世間から厳しく追求されるため、十分な対策が施されていなかったと判断されれば厳しい批判を免れないでしょう。その結果、既存顧客が企業から離れていきます。企業の利益は大幅に減り、事業を縮小せざるをえなくなることもあります。そのうえ、新しい顧客もつきにくくなってしまうので、経営状況を挽回するのは至難の業です。最悪の場合は、倒産に至る場合もあります。

また、業績の低下は株価の下落も招きます。社会的信用が失墜した時点で不信感を抱くようになった株主たちは、即座に株を売却し始めるでしょう。そうなると、企業の資本力は低下し、やはり経営難が訪れます。一度、「情報漏洩を起こした企業」との評価が定着すると、汚名をそそぐのは簡単ではありません。長期間にわたり、会社は損害を受け続けるでしょう。さらに、情報漏洩の対象となった社員や顧客から訴訟を起こされれば、損害賠償を求められます。原告数が多いほど賠償額も上がるので、企業にとっては重大な支出となります。情報漏洩は事後の対処法を考えるよりも、事前の予防策を確実に実行することが肝心です。

4.情報漏洩の実例を紹介！

実際に、情報漏洩によって甚大な被害を受けた企業は少なくありません。たとえば、2011年、某ゲーム会社でネットワークサービス登録者の個人情報が、不正アクセスによって流出する事件が起きました。氏名や住所、連絡先など、かなり詳細な情報が登録されていたため、データが悪用される危険は大きかったといえます。被害に遭った利用者数は約743万件にものぼり、損害賠償金額は2兆円にもなりました。また、2014年には教育系の会社でも情報漏洩が起こっています。会社で管理していた生徒、保護者の個人情報約2895万件が、不正行為によって持ち出されました。この事件では、200億円もの損害賠償金が請求されています。

2015年には、ある機構で個人情報が狙われる事件が起きました。基礎年金番号など、およそ125万件もの個人情報が意図的な攻撃によって流出してしまったのです。この件では2億円もの損害賠償金が発生しました。そのほか、旅行会社や通信会社など、大量の個人情報を取り扱っている企業では、相次いで同様の問題が起こっています。現代社会では、個人情報をまったく管理していない企業がほとんどありません。これらの事例はあらゆる企業にとって、無関係とは言い切れないでしょう。

5.ファイル交換ソフトによる情報漏洩とは？

情報漏洩が起こる原因として、気をつけるべき必要があるものの一つとして「ファイル交換ソフト」があります。ファイル交換ソフトは、ネットワークのユーザー間でデータを共有するために用いられています。それ自体に違法性はないため、多くの職場でインストールされています。しかし、ファイル交換ソフトがウイルスに感染してしまうと、ネットワーク全体が危険にさらされていくのです。ソフトがウイルス感染すると、パソコンで管理していたファイルが公開フォルダにコピーされます。そして、同じソフトを使っている世界中のユーザーからフォルダが閲覧可能になってしまいます。この状態になると、情報漏洩を抑えるのはほぼ不可能でしょう。

しかも、公開フォルダが誰に見られているかは特定できないので、データの回収もできません。仮にデータが不正利用されたとしても、企業側に止める手段はなくなります。その結果、被害は広がって損害賠償額もふくれ上がって行きます。ファイル交換ソフトによる情報漏洩では、ウイルスチェックを怠っていたケースが珍しくありません。最新型のウイルス対策を行い、そもそもパソコンを感染させない意識が必要です。また、社員全員に情報漏洩の恐ろしさを浸透させ、セキュリティの向上に協力してもらうことが大切です。

6.無線LANによる情報漏洩とは？

多くのオフィスが何気なく使っている無線LANも情報漏洩の原因となるリスクがあります。なぜなら、無線LANは有線に比べてアクセスが簡単なネットワークだからです。しかも、不正アクセス先も無線を使っているため、侵入されていることにすら気づきにくいというデメリットが顕著です。特に、無線LANシステムでは親機のセキュリティが疎かになる傾向があります。意図的にデータを流出させようとする人間は親機を狙ってアクセスをしかけてきます。その結果、通信データを盗聴されたり、個人情報が自由に閲覧されたりするなどの被害が拡大するのです。

無線LANを安全に使用するためには、IDを設定してアクセス可能な子機を制限します。そのうえで、より安全性を高めるなら暗号化方式を導入することが大切です。暗号化は親機と子機の両方が対応している方式でないと設定できないので、パソコンを使ってネットワークを構築する段階からセキュリティの強度を考慮しておきましょう。暗号化方式の中では、WPA2-PSKが非常に強固です。WPAという過去の方式を改善したセキュリティであり、技術的に複雑となっているのが特徴です。外部から解読しにくい一方で、設定がそれほど難しくないのが大きなメリットです

7.送信メールによる情報漏洩とは？

メールボックスも情報漏洩対策では気をつけたい部分です。たとえば、悪意ある送信メールによってパソコンがウイルスに感染してしまうことがあります。こうしたメールは普通のビジネス文章を装っていたり、思わず読み進めたくなるような工夫を施したりしています。そして、URLや添付ファイルにウイルスを忍ばせ、受信者がクリックするように仕向けるのです。ネットワークが構築されている環境では、1台のパソコンがウイルス感染するだけで大量の情報漏洩につながりかねません。さらに、チェーンメールにも危険な内容が含まれているケースがあります。知らずに送信するだけで犯罪に加担する恐れがあるため、メールボックスを慎重に管理するよう社員に呼びかけましょう。

もっとも簡単で効果的な対策は「メールの内容をしっかり考えること」です。不審な差出人や文章が含まれたメールは送受信しないことが重要です。仮に受信してしまったとしても、無闇にURLをクリックしないよう社内全体で危機回避能力を磨きましょう。ウイルスが添付されたメールはプロバイダやサポート窓口を装っている場合もあります。しかし、システム担当でもない人間のところにプロバイダがメールを送ることはありえません。社員一人ひとりの意識が高くなれば、情報漏洩を招く確率を低減できます。

8.情報漏洩を防ぐためのルール作り

健全なセキュリティを実現するには、システム担当者が中心となり情報漏洩を防ぐためのルール作りを進めることが大切です。まずは、「情報の取り扱いマニュアル」を作成しましょう。そして、部署に関係なくすべての社員に内容を理解させ、実践させます。マニュアルでは「情報漏洩の危険」を深く伝えることが重要です。会社が打撃を受け、働き口を失うリスクがある点まで順を追って説明します。そして、社員が徹底するべき行動を明確化していきます。曖昧な文章ではなく、「USBメモリは指定のものしか使わない」など、わかりやすいチェック項目を設けるようにしましょう。

そして、セキュリティについての管理者を任命することも大切です。管理されている情報がどんな状態でどこにあるかを把握していなければ、危険が迫っていてもすぐには気づけません。管理者が常に情報を見守り、異常事態を察知できる環境を整えておきます。そのほか、「システム管理の厳格化」も必要でしょう。IDがないとアクセスできないようにして、不正利用があった際のペナルティも重く設定します。情報漏洩は浅はかなミスで起こることも少なくありません。社員が意識を強くせざるをえないようなルールで、厳重に情報を管理しましょう。

9.情報漏洩を防ぐための対策とは？

セキュリティを強化するためのルールとしては、「社外にデータを持ち出さない」ことが必須です。USBメモリやCDがあれば、誰でも簡単にデータを持ち帰ることは可能です。残業をしたくないなどの理由から、データをコピーして家で仕事をする人も多いでしょう。しかし、外部にデータが持ち出される状況が続くと、いざ情報漏洩したときに原因がつかみづらくなります。また、うっかりUSBメモリを落としただけで、重大なデータが流出してしまうこともあるでしょう。データはあくまでも社内のパソコンでのみ取り扱うという意識を徹底させるようにします。

次に、「セキュリティソフトの導入」も不可欠です。セキュリティソフトはウイルスの侵入を防いでくれたり、個人情報に鍵をかけたり、さまざまな機能があります。業種や業態によっては複数のセキュリティソフトを並行して導入するのもいいでしょう。そして、「人為的ミスの予防」を考えます。データを触れる人間が増えれば、ミスが起こる確率が多くなるのは必然です。そこで、重要なデータには閲覧制限を設けて一部の人間しか見られないようにしましょう。権限のある人にも教育を施し、責任を持ってデータを取り扱うように促します。

10.できる限りの対策をしてリスクを減らそう！

情報漏洩を完璧に防ぎきる方法はありません。優れたセキュリティを導入したとしても、社員のうっかりミスひとつで水の泡となる危険性をはらんでいるからです。つまり、情報漏洩対策では社内の意識強化がもっとも重要だといえます。個人情報が流出してしまうとどのような被害にあうのかを社員全体で理解し、うかつな行動を取らせないように社員教育を徹底しましょう。また、「完璧な方法」はないとしても「完璧に近づける」ため、できる限りの対策は実施するべきです。通信を暗号化したり、セキュリティソフトを導入したりして、大切な情報を不正アクセスから守り抜きましょう。