インターネットやクラウドで業務を行うことが当たり前になり、最近ではリモートワークが普及していることで、より一層セキュリティ対策の重要性が増しています。
企業が情報漏洩を起こすと莫大な損害を被ります。

本記事では情報漏洩のリスクと企業への影響、取るべき対策について事例を紹介しながら解説していきます。

情報漏洩のリスクと企業への影響

情報漏洩による企業への影響は大きく分けて3つあります。

1. 経済的な損失を被る
2. 信頼が大きく低下する
3. 法的な責任を問われる

経済的な損失を被る

経済的な損失は大きく3つあります。
顧客データや知的財産などの機密情報が漏洩することで競争優位性が失われる「直接的な損失」と、情報漏洩によって投資家の信頼を失うことで市場価値が低下する「間接的な損失」、情報漏洩の影響を最小限に抑えるためのシステム費や顧客への補填などの「回復・復旧費用」です。

信頼が大きく低下する

顧客は自身の情報が安全に扱われるものと信頼して取引をしているため、個人情報や機密情報が漏洩してしまうと信頼を失ってしまいます。
また、取引中の顧客だけでなく企業のブランドイメージにも影響するため、市場からみた信頼も失ってしまいます。

法的な責任を問われる

個人情報保護に関する法律は年々厳しくなっており、情報漏洩が原因で顧客やパートナー企業に損害を与えた場合、訴訟になるリスクが高いです。
二次被害の有無や流出した情報（病歴や信用情報などのセンシティブなものか否か）によっても問われる責任の重さが変わってきます。

企業必須！情報漏洩対策10選

インターネットやクラウドを活用した業務が当たり前の現代では情報漏洩対策は欠かせません。
目的によって対策の方法は変わりますが、代表的な対策を10個紹介します。

1. データを暗号化する
2. アクセス制御を厳格化する
3. セキュリティポリシーを策定する
4. 従業員の教育を徹底する
5. セキュリティ監査を定期的に行う
6. 多要素認証を導入する
7. フィッシング対策を行う
8. インシデント対応計画を策定する
9. VPNの環境を整備する
10. 機密データのワークフローを整える

データを暗号化する

誰でも読み取りできる形式から符号化された形式にデータを変換することを暗号化と言います。
データを暗号化して処理することで、業務で取り扱うデータを第三者に盗まれる心配がなくなります。

アクセス制御を厳格化する

現場スタッフとマネジメント層、経営層でアクセスできる情報が同じ場合は要注意です。
どのレイヤーでも機密情報を取り扱いますが、権限を持つユーザーのみが特定のリソースやデータにアクセスできるよう制御を厳格化することで情報漏洩のリスクを低減できます。

セキュリティポリシーを策定する

個人情報や会社の機密情報の取り扱いを個人の判断に任せると危険です。
会社としてセキュリティポリシーを策定し、従業員に周知徹底しましょう。

従業員の教育を徹底する

情報漏洩を防ぐうえで従業員の教育は欠かせません。
フィッシング詐欺や安全なパスワード管理、不審なメールが届いた際の対応など研修を通じて従業員のセキュリティ意識を高めましょう。

セキュリティ監査を定期的に行う

漏洩リスクの特定や未解決の脆弱性の修正、セキュリティ対策の全体的な改善を目的としたセキュリティ監査を定期的に行いましょう。
自社で実施しても良いですが、必要に応じて外部の専門家に協力を仰ぎ、企業のセキュリティポリシーと実際のセキュリティ対策が適切に実施されているか確認しましょう。

多要素認証を導入する

多要素認証はセキュリティを強化するために、2つ以上の認証手段を要求するものです。
パスワードだけの管理では不正アクセスのリスクを消すことはできません。多要素認証を導入し、パスワードだけに依存しない管理方法でセキュリティ対策を実施しましょう。

フィッシング対策を行う

信頼できる人物や団体になりすまし、個人情報やログイン情報を盗み取る「フィッシング詐欺」もしっかりと対策しましょう。
スパムフィルターやウェブフィルタリングツールなどを活用し、従業員が不審なメールをうっかり開いてしまわないよう仕組みを作ることも大切です。

従来のフィッシングの精度を高めたサイバー攻撃手法にスピアフィッシングがあります。
特定のターゲットを標的として偽のEメールにより情報窃取を行います。詳細は下記のブログで紹介しています。
➡「スピアフィッシングとは？高精度な標的型攻撃の手口と対策」

インシデント対応計画を策定する

情報漏洩などの有事の際に迅速に対応できるよう、事前にインシデント対応計画を策定しておくことも重要です。インシデントの識別、報告・調査、対応・復旧までの手順を記載しておきましょう。

VPNの環境を整備する

リモートワークが増える中で安全に仕事ができるようVPNの環境を整備しましょう。
VPNの環境を整備していれば、もし従業員が公衆Wi-Fiなどの安全でないネットワークを使用してしまった場合でも、情報漏洩に繋がるトラブルが発生しづらくなります。

VPNの詳細は下記のブログで紹介しています。
➡「【最新】VPN製品おすすめ6選！徹底比較」
➡「VPNのセキュリティは安全？セキュリティリスクと対策」

機密データのワークフローを整える

機密データに対して適切なアクセス権を設定し、データの取り扱いに関するガイドラインを策定しましょう。データの作成や保存、転送から廃棄に至るまでの各ステップにおいて、1人で完結せず必ず誰かの承認を必要とするなどリスクヘッジが必要です。

最新の情報漏洩事例

最新の情報漏洩の事例を紹介します。

NTT西日本

NTTビジネスソリューションズ株式会社の運用保守業務従事者（元派遣社員）が、約928万人の顧客情報（氏名/住所/電話番号/生年月日/メールアドレス/サービス種別・回線ID等）を流出させた事案です。「個人データを取り扱う委託先の必要かつ適切な監督が行われていなかったと考えられ、電気通信役務の利用者の利益の保護が適切に図られていない」などとして行政指導されています。

総務省は2024年3月29日までに再発防止策など必要な措置の報告を求めており、それ以降も1年間は取り組み状況を四半期ごとに報告するよう求めています。
このように、情報漏洩によって顧客や取引先の信頼を失うだけでなく、本来不要だった工数も発生してしまっています。

出典：西日本電信電話株式会社『お客さま情報の不正流出に関するお詫びとお知らせ』

北海道銀行

北海道銀行が運営する「ほくほくPay」の利用者ら計212人の個人情報が流出した事案です。
誤って個人情報記載のファイルを別データと一緒に相手先へメールで送付したことが原因と報告されています。
報告書には補填などの記載はされていませんが、これを機に「ほくほくPay」の利用を控えるユーザーもいるなど、間接的な影響があることが考えられます。

出典：株式会社北海道銀行『個人情報漏えいに関するお詫びとご報告』

LINEヤフー

第三者からサーバーが攻撃され、LINEアプリの利用者情報など約44万件が流出した事案です。
LINE内のメッセージの内容や利用者の銀行口座、クレジットカードなどの情報流出は確認されていないとのことです。

しかし、2024年2月には追加で従業員情報の漏洩があったことを発表しています。
詳細はこちら➡「【2024年2月最新】LINEから漏洩？今すぐあなたの漏洩もチェック！」

LINEヤフーは2021年3月にも情報漏洩事件を起こしており、総務省から厳しく行政指導がされ、情報管理体制の見直しが求められています。

出典：LINEヤフー、個人情報流出発表　ネイバー経由で44万件か

最新セキュリティ対策ツール「ダークウェブアイ」とは

どれだけ完璧な対策をしていても情報漏洩のリスクを0にすることは困難です。
例えば、取引先で漏洩が起きたことで自社に影響することも考えられます。取引先の情報漏洩リスクまでを自社でカバーするのは現実的ではありません。
しかし、情報漏洩を100％防ぐことは困難ですが、情報漏洩した際にすぐ発見し、迅速な対策を打てば、漏洩による被害を最小化することはできます。

そこでおすすめなのがSMSデータテックが提供する「ダークウェブアイ」です。
ダークウェブアイはダークウェブの脅威から会社を守る情報漏洩監視ツールです。自社に関連する情報がダークウェブ内に流通し始めたら即時に検知し、通知します。
さらに、漏洩後の対応策の提示や対応の進捗管理まで実施可能で、セキュリティ担当者の負担を大きく軽減できます。

まとめ

情報漏洩を起こすと経済的な損失が生じる、信頼低下や法的な責任を問われるなど企業にとって多くのデメリットがあります。
インターネットやクラウドで業務を行うことが当たり前になったからこそ、セキュリティ対策をしっかりと行うことが重要です。

しかし、サイバー攻撃の手口も多岐にわたり人力で対策するには限界があります。本記事で紹介した「ダークウェブアイ」などのツールを活用しながらセキュリティ対策を行いましょう。何から始めたら良いか分からない場合でもお気軽にご相談ください。