個人情報漏えいが発生すると、企業にとって顧客や取引先を失う原因になりかねません。
そのような事態を防ぐためにも、日ごろから適切な対策を取ることが求められています。
この記事では、企業でセキュリティを担当している方に向けて、個人情報漏えいの予防や発生した時に取るべき対策について解説いたします。ぜひ参考にしてみてください。
また、企業の情報漏えい対策、情報セキュリティ対策に役立つ情報セキュリティポリシーの作り方がわかる資料を無料で配布しています。サンプル付きですので、ぜひご活用ください。
個人情報漏えい対策の必要性
企業や組織が事業を継続するのに、インターネットや情報システムは必要不可欠なものとなりました。しかし、インターネットや情報システムへの依存は利便性を高めただけでなく、サイバー攻撃のリスクも発生させる要因でもあります。
特に不正アクセスなどによる個人情報漏えいは深刻な問題です。一度インターネット上に流出した情報は、完全に削除することが難しく、適切に保護することは企業や組織にとっての社会的義務と言えるでしょう。
個人情報を管理する企業は「個人情報取扱事業者」として(除外される場合もあります)、もし個人情報を漏えいさせてしまうと、個人情報保護法違反で最大1億円の罰金に課せられることもあります。
法的な観点からみても、企業にとって個人情報漏えい対策は重要な経営課題として取り組むべきと言えます。
個人情報漏えいはなぜ起こるのか
このような個人情報漏えいはなぜ起こってしまうのでしょうか?
東京商工リサーチの調査によると、2022年の個人情報漏えい・紛失の事故は165件発生しており、592万人分の個人情報が漏えいしたと発表しています。この調査では、個人情報漏えいの原因として以下のものを挙げています。
東京商工リサーチ https://www.tsr-net.co.jp/data/detail/1197322_1527.html
- 第1位:ウイルス感染・不正アクセス(55.1%)
- 第2位:誤表示・誤送信(26.0%)
- 第3位:紛失・誤廃棄(15.1%)
- 第4位:盗難(3.0%)
この結果からわかるように、個人情報はウイルスや不正アクセスなどの外部からの攻撃だけでなく、内部不正や人為的なミスなどによる漏えいも多いことが分かります。
個人情報漏えいがなぜ発生するのか、その要因と事例については「個人情報漏えいはなぜ起こる?その要因と事例、対策について解説」で詳しく解説していますので、併せてご覧ください。
個人情報漏えいの事例
個人情報漏えいの事例として近年発生した最新の事例をピックアップしてご紹介します。
トヨタ自動車株式会社
2023年5月12日にトヨタ自動車株式会社は、車両の情報などの含まれた顧客情報が漏えいした可能性があると発表しました。
発表によると漏えいした可能性のある情報として、ドライブレコーダーで車外を撮影した情報、車載端末ID、車台番号、車両の位置情報、時刻であり、漏えいの規模は215万人分としています。漏えいの原因はクラウド環境の誤設定という人為的なミスでした。
株式会社SODA
2022年6月15日に株式会社SODAが、不正アクセスによって約275万件の個人情報が漏えいしたと発表しました。漏えいした情報は、サービスに登録されているユーザーの氏名、生年月日、メールアドレス、住所などです。
漏えいの原因は、不正なリクエストに対するDBデータを含めたレスポンスを挙げており、SQLインジェクションと呼ばれているものです。これは想定外のSQL文を実行させることで、不正なデータを出力させるサイバー攻撃です。
デジタル庁
2022年3月にはデジタル庁でも個人情報の漏えいが発生しました。法人向け共通認証システムである「GビズID」にて、利用者情報を取得しようとした際に、他社の利用者のメールアドレス、氏名、勤務先住所などの個人情報が表示されてしまう事例でした。
漏えいの原因は「GビズID」の取得機能システムの不具合によるものでした。
JR東日本
2020年3月3日にJR東日本が、インターネット上で切符を購入できる「えきねっと」にて、3,729名のアカウントに不正アクセスが行われ、個人情報やクレジットカード情報の一部が漏えいした可能性があると発表しました。
この情報漏えいはリスト型攻撃によるものでした。これは別のサービスで使われている認証情報を転用して不正アクセスを試みるサイバー攻撃のことです。ユーザー自身がIDとパスワードを使いまわしていることが被害に遭う原因となってしまうため、サービス提供側では防ぎにくいサイバー攻撃の一つです。
株式会社AndDoホールディングス
2022年1月18日に株式会社AndDoホールディングスが64件の個人情報の漏えいが発生したと発表しました。
この個人情報漏えいは、子会社の従業員が転職の際に顧客情報を不正に持ち出したことで発生しました。このような内部不正による個人情報の漏えいも多く発生しており、社内ルールの厳格化やコンプライアンス意識の向上などの対策が企業に求められていることがうかがえます。
個人情報漏えいの予防対策の内容
個人情報漏えいを予防するための対策を解説します。
パソコン・スマートフォンの持ち出し・持ち込みを制限する
外部に持ち出したパソコンやスマートフォンが盗難されてしまうと、個人情報漏えいのリスクが発生します。業務の都合上、どうしても持ち出しが必要なケースを除いて、パソコンやスマートフォンの持ち出しは原則行わないようにしましょう。
万が一の盗難や紛失時に備えて、リモートでデータを消去できるアプリ・ソフトを導入することもおすすめです。
メールの誤送信や添付ファイルのミスをなくす
メール送信先の設定ミスや、個人情報が含まれた添付ファイルの誤送信も個人情報が漏えいする要因の一つです。
通常メールは送信してしまったら、やり直しができませんが、一定の時間、送信を保留するシステムの導入や、重要なメールの送信時に管理者の許可を必要とするようなルールを作っておくと、誤送信にミスを減らすことができるでしょう。
個人情報が記載されているものを放置しない
例えば個人情報が記載されているExcelファイルを開きっぱなしにして放置するようなことは絶対に避けましょう。「誰も見ていないから大丈夫」と考えるかもしれませんが、そんな保証はありません。
とくに外出先の飲食店やコワーキングスペースなど、公共の場所での作業中でトイレなどのために離席するときは要注意です。画面を覗き見られたり、パソコンごと盗難される可能性があります。外出先では、わずかな時間であっても、個人情報が保存されたパソコンを放置するのは避けるべきです。
定期的な情報セキュリティ教育を実施する
定期的な情報セキュリティ教育を実施して、社員の情報セキュリティリテラシーを向上させるのも、個人情報漏えい対策として効果的です。
個人情報がどのような時に漏えいされるのか、ケーススタディで従業員の危機感をあおったり、内部不正による個人情報漏えいへの抑止力となったり、情報セキュリティ教育には様々な効果があります。
情報セキュリティ教育の方法については「セキュリティ意識向上には欠かせない!情報セキュリティ教育とは」をご覧ください。
セキュリティ対策ソフトを導入する
マルウェアへの対策として、セキュリティ対策ソフトの導入はもはや当たり前です。マルウェアにはパソコンに保存されている個人情報を不正に送信するものもあります。個人情報漏えい対策を含めた総合的なセキュリティ強化のためにも、積極的に導入するべきでしょう。
IDとパスワードを適切に管理する
基本的な対策ですがIDとパスワードを適切に管理することも重要です。パスワードは十分な長さを持ち、記号なども含めた文字列にする、推測されにくい文字列にする、使いまわさない、などを徹底しましょう。
ソフトウェアのアップデートを定期的に実施する
OSやアプリケーションなどのソフトウェアを定期的にアップデートすることで脆弱性が解消され、個人情報漏えいのリスクを減らせます。定期的にアップデートする仕組みを社内に設けて、業務で使用しているパソコン全てが常に最新の状態を維持できるようにしましょう。
個人情報漏えいが発生してしまった場合の対策
もし個人情報漏えいが発生してしまったら、どうすればよいのでしょうか。ここではIPAの「情報漏えい発生時の対応ポイント集」を参考に、その対処法についてみていきます。
発見と報告
個人情報漏えいの兆候があった場合、まず責任者に報告し、適切に対応するための体制を整えます。コンピュータなど情報システムからの漏えいの場合は、なるべく不用意な操作をせず、そのままの状態を維持しましょう。システム上の証跡を残しておくためです。
初動対応
対策本部を設置して対応方針を決めます。更なる被害の拡大や二次被害を発生させないための応急処置を行いましょう。漏えいの発生源となったコンピュータの隔離やネットワーク遮断、サービス停止などの措置を取ります。
調査
適切に対応していくために、調査および情報の整理を行います。実際にこんな情報漏えいがあった、こんな不正アクセスがあったという事実に紐づく情報や証拠を見つけましょう。5W1Hの観点で考えると、整理しやすいです。
通知・報告・公表
調査結果をもとに、漏えいした個人情報の本人や取引先への通知、警察やIPA等への届け出、Webサイト上などでの公表を検討します。基本的には情報の公表をするものですが、それにより被害の拡大が予想される場合などは慎重に判断しましょう。
ただし発表により被害が拡大する恐れがある場合は、発表の時期や対象、方法などを慎重に検討します。
抑制措置と復旧
個人情報漏えいの被害拡大の防止と復旧のための措置を行います。専門窓口の設置や、再発防止に向けた取り組みを実施しつつ、サービスの復旧やアカウントの再開を行います。
事後対応
再発防止策の検討や調査報告書を経営陣に提示して、被害者への補償などに必要な措置を行います。
個人情報漏えい対策はLRMにご相談ください
個人情報漏えい対策でお悩みの方は、LRMにご相談ください。
従業員のセキュリティ意識・リテラシーで「人」のセキュリティを向上させるセキュリティ教育クラウド「セキュリオ」やISMS認証取得コンサルティング、その他さまざまなセキュリティソリューションで貴社の個人情報漏えい対策をお手伝いいたします。
「セキュリティ対策をしたいが何から始めたらいいのか分からない」
「外部の専門家のサポートが欲しい」
このような企業様の情報セキュリティのお悩みや課題解決を解消する方法を提案します。豊富な支援実績を持つLRMにぜひお任せください。
まとめ
個人情報漏えい対策の必要性と事例、具体的な対策について解説しました。
セキュリティ対策に絶対がない以上、個人情報漏えいの可能性をゼロにすることはできません。万が一の個人情報漏えいの発生時にどうすればいいのか、この記事を参考に適切な対策を講じていただければ幸いです。