情報漏えいを防ぐ対策とは？情報漏えいのリスクも知っておこう

情報漏えいの対策のためにもリスクを知る

情報の漏えいはどんな組織でも起こりうることであり、非常に大きな損害を与える可能性もあるため、すぐに対策をすべき問題です。会社などの法人組織が取り扱いに気をつけなければならない情報は個人情報と技術情報に分けられますが、それぞれのリスクについて見ていきましょう。

個人情報漏えいのリスク

個人情報の漏えいとは、顧客の氏名、住所、電話番号などが記した名簿などが外部に流出してしまうことです。流失した個人情報が悪用されると、クレジットカードの不正利用や詐欺などの被害に遭う恐れがあります。一方、個人情報を漏えいさせた企業は社会的信用を失い、ブランドイメージが低下したり風評被害にさらされたりすることにもなりかねません。

現代はSNSが発達しているため、情報がどんどん拡散してしまう時代であり、いったんマイナスのイメージがついてしまうと、信頼を回復するのは非常に難しくなっています。個人情報漏えいによるダメージは計り知れません。

また、情報を漏えいさせた組織には損害賠償の責任が生じるため、被害者から慰謝料や賠償金を請求される恐れがあります。今までのケースを見ると、訴訟に発展する前にお詫び金を支払っているケースが多く、中には億単位の金額を払っている企業もあります。

技術情報漏えいのリスク

技術情報の漏えいとは、新製品の開発などに用いられるその企業独自の技術や製法などが外部に流出することを指します。技術情報の漏えいが起こると、オリジナルの技術が他社に流用されてしまうことになり、企業の競争力を低下させることにつながります。

さらに技術情報の漏えいは、法的な保護を失う原因ともなります。研究開発中の技術や特許出願前の技術が社外に漏れてしまうと、特許取得のための要件である「新規性（今まで公開されたことがないものであること）」が失われる恐れがあるのです。特許を取得できないことによる経済的損失は、膨大な金額になることが予想されます。

また、軍事転用できる技術に関わるような技術情報が海外に流出することになれば、国家の安全保障が脅かされる事態にもなりかねません。それほど、技術情報漏えいのリスクは非常に高いものであると言えるでしょう。

情報漏えいの原因を知って対策

実は、情報漏えいの大半はその会社で働く人によって起こされると言われています。NPO法人日本ネットワークセキュリティ協会の調べによると、2016年に起きた情報漏えい事故の原因は、1位「管理ミス」（34.0%）、2位「誤操作」（15.6%）、3位「不正アクセス」（14.5%）、4位「紛失・置忘れ」（13.0%）、5位「不正な情報持ち出し」（6.8%）となっています。（※）

会社に勤務する人が起こす情報漏えいの原因

会社に勤務する人が起こす情報漏えいの原因の上位3つは、「管理ミス」「誤操作」「紛失・置忘れ」となっていますが、いずれもついうっかりやってしまいそうなものばかりです。それぞれの原因について詳しく見ていきましょう。

管理ミス

情報の管理ルールはあるもののそれを守ることができない人がいる、管理ルール自体に不備があるといったケースです。書類の誤破棄などもこれに含まれており、特に金融業や保険業などの大量の情報書類を抱えている業種で起こる割合が高いと言われています。

誤操作

メールやFAX等を使用するときに、宛先や内容、添付ファイルを間違える、操作ミスするといったケースです。また、Webサイトの設定ミスで情報漏えいしてしまうケースもあります。

紛失・置忘れ

社内のデータを外部に持ち出して紛失したり、電車や飲食店などに置き忘れたりしてしまうケースも高い割合で起こっています。業務上やむを得ず、書類やUSB、社用のノートPCなどを持ち出す場合は肌身離さず持ち歩くことが大切です。

不正アクセスも見逃せない情報漏えいの原因に

情報漏えいの原因の第3位にあがっている「不正アクセス」も見過ごすことのできない問題です。不正アクセスとは、他人のIDやパスワードを使って本人になりすまし、不正にコンピューターを使用することを指します。

不正アクセスの原因は、サーバーのプログラムの脆弱性が悪用されたり、使用しているPCがトロイの木馬などのコンピューターウイルスに感染し、悪意のある第三者に不正使用されることです。

不正アクセスを受けると、ホームページが改ざんされる、SNSのアカウントが乗っ取られる、個人情報を盗まれるなどの被害に遭う可能性があります。そのため、日ごろからセキュリティ対策をしておくことが非常に重要です。

情報漏えいを防ぐための対策

情報漏えいは他人事ではありません。自分（自社）が情報の漏えいを起こしてしまうリスクが常にあることを、誰もが認識しなければならないでしょう。情報の漏えいを起こさないためには、具体的に次のような対策をとることが必要です。

社外にデータを持ち出さない

最も大切なことは、社内からデータを持ち出さないことです。社外で紛失したり置き忘れたりするリスクがあるだけでなく、車上荒らしなどによる盗難のおそれもあるからです。自宅で仕事をする目的でUSBなどの外部メディアを使ってデータを持ち帰ろうとするケースもあるため、会社のPCには外部メディアを接続できないようにしておくと効果的です。また、社内メールで添付ファイルを使って自分のプライベートのアドレスにデータを送信するケースも考えられるため、情報システム部などの部署で社員のメールを管理することも必要となるでしょう。

メールやFAXを送る際にも確認を徹底

メールの送信ミスは100％防ぎ切ることは難しいかもしれませんが、個人の心掛けしだいで発生割合を下げることはできます。以下のようなことに気をつけてみましょう。

• 送信前に内容、添付ファイルを確認
• 複数人で宛先、内容、添付ファイルを確認
• 上司へのCCやBCCを義務づける

FAXについては、メールよりも対策がとりやすくなっており、短縮番号の登録の義務付け（番号入力の禁止）や使用の許可制といった方法で禁止することができます。

情報漏えいを起こった場合の対策もしておく

なお、情報漏えいが発生した場合の対策も想定する必要があります。いくら万全の対策をとったつもりでも100％完璧であることはないからです。

会社などの組織で働いていれば、自分がちょっとしたミスをして情報漏えいを起こしてしまったり、あるいは同僚や先輩、後輩など周りの人が情報漏えいをしたのを発見したりすることもあるでしょう。その場合は、自分で対処しようとはせず、速やかに上司や情報システム管理者に報告することが大切です。

社内だけでなく、個人情報を漏えいされたエンドユーザーやクライアント、取引先など被害者となる可能性のある関係者の被害を最小限に抑えるためには、初動の対応が重要です。情報漏えい事故が起きたときに速やかに対応するためには、社員からできるだけ早く報告をもらうことが必要不可欠です。

そのため、情報セキュリティや情報漏えいに関して就業規則などに個々がすべきことを明記し、社員に周知徹底させておきましょう。口頭での伝達と書面による伝達のいずれかだけでは不十分なので、ルールを書面で明らかにした上で、定期的にミーティングなどを開いて社員がお互いに確認しあうことが必要です。

情報漏えいの対策として個人情報保護法の改正点を把握しよう

2017年5月、個人情報保護法が改正されました。改正前は5000人を超える個人情報を保有する事業者のみがこの法律の適用対象でしたが、改正後は、事業者がたった1人分の個人情報を保有しているだけでも適用対象になります。これまで適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があるでしょう。

個人情報保護法の改正点に疑問がある場合や、情報の管理の仕方に不安がある場合は、ITや個人情報保護に詳しい弁護士に相談することをおすすめします。