コラム詳細
情報漏えいの対策を検討しているが「どんな原因があるのか分からない」と悩む担当者は多いでしょう。情報漏えいは発生原因によって対策が異なります。この記事では、情報漏えいの主要な原因と発生事例12選、効果的な対策方法について解説します。
目次
情報漏えいの主な原因としては、以下の4点があげられます。また、株式会社東京商工リサーチが公表した2024年上場企業に関するデータによると、各情報漏えいの発生割合は以下のとおりでした。
| 原因 | 発生割合 |
|---|---|
| 1:ウイルス感染・不正アクセス | 60.3% |
| 2:誤表示・誤送信 | 21.6% |
| 3:紛失・誤廃棄 | 10.5% |
| 4:不正持ち出し・盗難 | 7.4% |
それぞれの原因を詳しく見ていきましょう。
情報漏えいの原因第1位は、外部の悪意ある攻撃者による「ウイルス感染・不正アクセス」です。ほかの原因と比較して、群を抜いて発生割合が多くなっています。特に深刻なのが「ランサムウェア」と呼ばれる、コンピューターウイルスによる被害です。
ランサムウェアとは、感染したPCに不正にロックをかけて、もとに戻すことと引き換えに身代金を要求する悪質なウイルスをさします。
このような外部攻撃は、
など、さまざまな経路で発生します。
情報漏えいの原因として2番目に多いのは、人為的なミスによる「誤表示・誤送信」です。誤送信による情報漏えいの原因の大部分は、操作する人間のミス、いわゆるヒューマンエラーによるものです。
具体的には、
といったものがあげられます。
特に多いのが、メールアドレスの入力ミスや、自動補完機能で誤った送信先を選択してしまうケースです。誤送信は「大丈夫だろう」という情報漏えいのリスクを軽視する意識や、業務の忙しさから細かくチェックする時間がないという焦りが原因となっています。
「紛失・誤廃棄」は、個人情報や機密情報などを含むデータや文書が正しく管理されないことで発生します。
紛失の典型例として、
などのケースがあげられます。また従業員が持ち出した機密情報が行方不明になるケースも考えられます。
誤廃棄では、
といったケースがあります。
廃棄する際の必要情報の選別が不十分で、重要なデータが誤って廃棄されてしまうことも珍しくありません。
「不正持ち出し・盗難」は、従業員など組織の内部犯によって機密情報が窃取・流出される内部不正のことです。内部不正の典型例として、従業員が業務用のアクセス権限を悪用し、重要情報を持ち出すケースがあげられます。記録媒体の持ち込みをチェックする体制が整っていないことが、発生原因といえるでしょう。
ここからは、実際の情報漏えいの事例を見ていきましょう。
まずは「ウイルス感染・不正アクセス」の事例です。
大手通信サービス企業が提供するデータ管理のクラウドサービスを狙ったサイバー攻撃により、約1億人以上の通話履歴とメッセージ機能の利用による通信履歴が漏えいしました。幸い、通話の具体的な内容や送信メッセージの詳細までは流出していませんでしたが、携帯電話の番号が漏えいした可能性が高いとされています。
このような個人の通信履歴は、悪用されると詐欺などの犯罪に利用されるリスクがあります。さらに問題となったのは、同じ企業で過去にも約7,300万名分の顧客情報が流出していた事実が判明したことです。
関係会社を通じて、大手インターネット企業のシステムに不正アクセスが行われ、約44万件の個人情報が漏えいする事件が発生しました。発端は、関係会社の委託先企業の従業員のPCが、マルウェアと呼ばれる悪意のあるソフトウェアに感染したことでした。マルウェアとは、コンピューターに害を与える目的で作られたプログラムの総称です。
なかでも深刻だったのは、海外の関係会社と委託先企業が、本体企業と同じ認証基盤を使用していた点です。認証基盤とは、ユーザーが正当な利用者であることを確認するシステムのことで、この共通システムが攻撃の足がかりとなりました。対策を実施したあとも、追加の情報流出が発覚するなど、被害の拡大が続いています。
病理検査を行う専門機関のコンピューターシステムがランサムウェア攻撃を受け、患者の個人情報が窃取される事件が起きました。この攻撃により、同機関が提供する複数のサービスが停止し、利用していた病院では外科治療や外来診療の延期や変更を余儀なくされたのです。
サイバー攻撃集団は、盗み取った患者情報を基に金銭を要求しましたが、機関側は支払いを拒否。結果、攻撃者は患者の個人情報をダークウェブと呼ばれる闇のインターネット上に公開してしまいました。医療機関の情報流出は、患者の生命に関わる重要な情報が含まれるため、深刻な問題となっています。
ここからは「誤表示・誤送信」の事例を見ていきましょう。
金融業界で発生したメール誤送信により、個人顧客約2,500名・法人顧客約250社の重要情報が外部に流出しました。この事例では、社員間で顧客情報が記載されたファイルを電子メールで送信する際、誤って外部委託先の人間を宛先に含めて送信してしまいました。金融機関では顧客の口座情報や資産情報など、きわめて機密性の高い情報を扱っているため、誤送信による影響は甚大です。
幸い同日中に誤送信に気づき、外部委託先へ連絡して電子メールとファイルの削除を確認できたため、不正利用には至りませんでした。この事例は、日常的な業務でも細心の注意が必要であることを示しており、メール送信前の宛先確認の重要性を浮き彫りにしました。
首都圏の私立大学で、留学プログラム担当者が海外の協定校にメールを送信する際、誤って全学生約1万4千人分の個人情報を含むファイルを添付して送信する事故が発生しました。本来は短期プログラム参加者のリストのみを送るはずでしたが、作業時に使用したマスターデータを削除せずにそのまま添付してしまったことが原因です。
マスターデータとは、学生の氏名、学籍番号、連絡先などの基本情報をまとめたファイルで、通常は厳重に管理されるべき情報です。誤送信は約3週間後、別のリスト作成時にマスターデータが残っていたことで発覚しました。大学側は直ちに海外協定校にデータの削除を依頼し、削除の確認を取ったあと、全学生に対してメールで謝罪と経緯の説明を行いました。
地方自治体の職員が、幼稚園に対して補助金などに関するメールを送信する際、誤って他園の児童約2,000人の氏名や生年月日などが含まれるデータを添付してしまう事件が発生しています。園児の個人情報には、氏名、生年月日、保護者の連絡先など、子どもたちのプライバシーに関わる情報が含まれていたのです。
メールを受信した幼稚園からの指摘により個人情報の流出が判明し、事態の深刻さが明らかになりました。自治体は事実関係の確認後、誤送信先の幼稚園にデータの削除を依頼して、その後データの削除や受信取り消しの報告を受けました。
ここからは「紛失・誤廃棄」による、情報漏えいの事例を見ていきましょう。
地方自治体の職員が庁舎内のレイアウト変更作業中に、重要な公文書が入ったロッカーを誤って廃棄処理に回してしまう事故が発生しました。廃棄されたロッカーには、住民の氏名や住所、生年月日、電話番号、口座情報、マイナンバーなどが記載された公文書が保管されていました。
事故の原因は、担当職員がロッカーから公文書を取り出すのを忘れて、廃棄処理に出してしまったことです。マイナンバーの取り扱いに関する調査があった際に公文書が見つからず、紛失が発覚しました。幸い、廃棄処理業者が契約に沿って適正に処理を行っていたため、個人情報の外部流出は確認されていません。
しかし、マイナンバーを含むきわめて機密性の高い情報の管理体制に重大な問題があったことは否めません。自治体は対象者への説明会を開催し、個人情報保護委員会へ報告を行いました。
公共放送関連の支払い帳票を処理する廃棄処理業者が、約3,300枚もの重要書類を紛失する事故が発生しました。紛失した書類の一部は道路上で発見されており、正しい管理が行われていなかったことが判明しています。
幸い不正利用の疑いは確認されていませんが、一歩間違えればクレジットカード情報や個人情報の不正利用につながる可能性があります。また、廃棄処理業者に委託した重要書類の管理・処理体制に問題があったことは明らかです。
ここからは「不正持ち出し・盗難」による、情報漏えいの事例を見ていきましょう。
通信サービス会社で約10年間勤務していた元派遣社員が、約930万件という膨大な顧客情報を不正に持ち出していた事件が発覚しました。元派遣社員は2013年から2023年の長期間にわたり、システムの管理者権限を悪用して顧客データベースに不正アクセスを繰り返していたのです。
持ち出された情報は多くの組織にわたり、USBメモリーを使って秘密裏に情報をコピーしていたとされています。さらに盗んだ顧客情報を名簿業者に売却し、1千万円以上の利益を得ていたことも発覚。長期間にわたって発覚を免れた組織的な内部犯行として、大きな衝撃を与えました。
大手不動産会社の元社員が転職時に約25,000件の顧客情報を不正に持ち出していた事件が公表されています。この元社員は同業他社への転職にあたって、不動産登記簿に記載されている情報をまとめた社内資料を持ち出しました。持ち出された情報には、マンション所有者の詳細な情報が含まれていたのです。
元社員は転職先でダイレクトメール送信にこの情報を利用しており、明確な営利目的での犯行でした。企業側は退職する従業員に対して機密保持に関する誓約書を提出させていましたが、結果的に誓約が守られていなかったのです。人の善意にだけ頼った対策では不十分であり、システムによる監視強化やアクセス制限の技術的な対策が必要であることを示した事例です。
大手生命保険会社の元従業員が退職時に顧客情報を不正に持ち出し、転職先企業の営業活動に一部使用していた事件が判明しました。この事例は「手土産転職」などと呼ばれる行為で、転職先での地位向上や評価獲得が目的だったとされています。
生命保険の顧客情報には、契約者の健康状態や家族構成、収入、資産状況など、プライベートな情報が含まれています。元従業員は最終的に刑事告訴され、逮捕されるという結果を招きました。
情報漏えいへの対策を、以下の原因別に解説していきます。
順番に見ていきましょう。
ウイルス感染・不正アクセスへの対策は大きく以下の2点に分けられます。
順番に解説していきます。
パスワードだけに頼らない多要素認証などの認証システムは、不正アクセス防止に役立ちます。多要素認証とは、パスワードに加えて、スマートフォンに送られてくる認証コードや指紋認証などを組み合わせて本人確認を行う仕組みのことです。たとえパスワードが盗まれても、攻撃者が第二の認証要素を突破するのはきわめて困難になります。
またパスワード設定の際は長く複雑なものにし、ほかのサービスで使い回さないようにしましょう。さらに総務省によると、これまではパスワードの定期的な変更が推奨されていましたが、実際にパスワードを破られアカウントが乗っ取られるといった事実がない場合は、パスワードを変更する必要はないといわれています(※1)。
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的に変更することで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
(※1)出典:総務省「安全なパスワードの設定・管理」
総務省『国民のためのサイバーセキュリティサイト』(https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/)を加工して作成
コンピューターのOS(基本ソフトウェア)やアプリケーションソフトウェアを常に最新の状態に保つことは、ウイルス感染や不正アクセスを防ぐ基本です。ソフトウェアメーカーは、新たに発見されたセキュリティの弱点(ぜい弱性)を修正するため、定期的にアップデートを配信しています。
ぜい弱性とは、攻撃者がシステムに侵入するための「入り口」のようなもので、放置すると大きな被害につながる可能性があります。主要なソフトウェアは、自動アップデート機能を有効にしておくことで、常に最新の状態を保てます。
特にセキュリティ更新プログラムが配信された際は、できるだけ早期に適用しましょう。また不要になったソフトウェアやサービスは削除し、必要最小限のプログラムのみを動作させると、攻撃される可能性のある箇所を減らせます。
誤表示・誤送信への対策は、大きく以下の2点に分けられます。
順番に見ていきましょう。
メール誤送信を防ぐ基本的で効果的な対策は、送信前の確認作業を習慣化することです。
具体的には、
などの項目をリスト化して、毎回確認を行います。
特に重要なのは、CCとBCCの使い分けです。CCは他の受信者にもメールアドレスが表示される機能で、BCCは送信相手にお互いのメールアドレスが見えないように設定する機能です。一斉送信時にはBCCを使用しないと、全員のメールアドレスがほかの受信者に見えてしまうため、個人情報漏えいにつながる可能性があります。
またオートコンプリート機能(過去の送信履歴から自動的に宛先を予測表示する機能)を無効にすることも重要です。オートコンプリート機能は便利ですが、似た名前の別人が自動入力されるリスクがあり、誤送信の原因となりやすいためです。
技術的な対策として、メール誤送信防止ツールの導入も効果的です。
ツールのなかには、送信時に宛先確認のポップアップを表示したり、外部への送信時には上長の承認を必要とする機能をもったものもあります。
ほかにも一定時間メールの送信を遅らせて、送信取り消しができる仕組みもあるので、使用することで誤送信防止につながります。
さらに添付ファイルの自動暗号化機能や、特定のキーワードを含むメールの送信拒否機能なども搭載されており、複数の対策が可能です。
人的なミスを完全になくすのは困難な業務でも、確認作業にかける労力や時間を削減でき、業務効率化も同時に実現できるでしょう。
紛失・誤廃棄への対策は大きく以下の2点に分けられます。
順番に見ていきましょう。
紛失・誤廃棄を防ぐためには、まず組織全体での管理体制を整備し、廃棄ルールを確立することが大切です。例えば、保管場所の整理整頓を徹底して、どこに何が保管されているかを明確にする管理簿の作成などがあげられます。さらに文書の授受時には必ず記録を残し、所在が分かるような管理を行うと、紛失リスクを軽減できます。
廃棄処分時においては、管理者などのチェックを受け、一定期間保管したあとに廃棄処理を行う仕組みの構築も効果的です。また保存期間の異なる書類を同じ箱に収納するミスを防ぐために、文書ごとの保存期間を見直し、保存期限・廃棄時のチェック体制をシステム化するとよいでしょう。
万が一の紛失に備えて、重要な情報を含む記録媒体には暗号化処理を施すことも効果的です。USBメモリーやノートPCなどの記録媒体を紛失しても、データが暗号化されていれば第三者による閲覧を防ぎやすくなります。
さらにセキュリティ機能付きUSBメモリーの導入も効果的で、データの自動暗号化機能や指紋認証機能を備えており、通常のUSBメモリーよりも高いセキュリティが期待できます。これらの技術的対策を組み合わせると、物理的な紛失が発生しても情報漏えいを最小限に抑えられるでしょう。
不正持ち出し・盗難への対策は、大きく以下の2点に分けられます。
順番に解説していきます。
情報の不正持ち出しを防ぐためにも、従業員が必要以上の情報にアクセスできないよう、権限を設定しましょう。例えば、機密情報へのアクセス権限を幹部層や特定の部署のみに与えるようにします。また退職者や異動者が発生した際は、速やかにアクセス権限を削除しましょう。
定期的な権限の見直しを実施して、不要になった権限は素早く削除する体制を整えると、権限の管理漏れを防げます。加えて重要な情報にアクセスした際の記録を残し、誰がいつどのような情報にアクセスしたかを追跡できるようにしておくことも効果的です。
物理的・技術的な制限により、情報の持ち出しを根本的に難しくする対策です。例えば、USBメモリーや外付けハードディスクなどの記録媒体については「原則利用禁止」とし、業務で必要な場合のみ許可する「申請制」にするなどがあげられます。
さらに業務端末に、データそのものをダウンロード・保存できないようにする技術的対策も有効です。また全従業員のメール送受信履歴やファイルアクセス履歴を記録し、定期的に監視することで、不審な行動を早期に発見できます。
これらの技術的対策と合わせて、従業員との秘密保持契約を強化し、違反時のペナルティを明確化すると、心理的な抑止効果も期待できるでしょう。
情報漏えいは企業にとって脅威であり、ウイルス感染から誤送信まで多様な原因で発生しています。なかでも「ウイルス感染・不正アクセス」「誤表示・誤送信」を合わせると、全体の80%以上を占めており、日常業務で起こりやすいリスクです。効果的な対策には、技術的な防御システムの導入が重要と言えるでしょう。
サイバーソリューションズ株式会社が提供している「CYBERMAIL Σ」は、日本企業向けクラウドメールサービスで、誤送信対策やPPAP対策機能を標準搭載しています。さらに2要素認証機能や添付ファイル分離配送機能により、メール経由の情報漏えいを多角的に防げるのです。
メールセキュリティの強化は、企業の信頼性を守る重要な投資です。情報漏えいによる被害を未然に防ぐため、今すぐ専門的なメールセキュリティサービスの導入を検討してみてください。
