はじめに
昨今は企業の情報漏洩に厳しい目が向けられ、コンプライアンス遵守を意識している企業も増加しています。
情報漏洩というとウイルスなどのマルウェア感染やフィッシング詐欺、不正アクセスなどIT関連の情報セキュリティのリスクを考えがちです。実際、こうしたIT関連に対するセキュリティに関しては、予算やマンパワーを割いている企業も多いでしょう。
しかし、現実にはIT関連による情報漏洩だけとは限りません。むしろ正社員・派遣社員・アルバイトなどの従業員による不正、様々な不注意による機密情報の漏洩の方が割合的に多いのはご存じでしょうか。
実際に2018年の NPO日本ネットワークセキュリティ協会(JNSA)の調査では、ウイルスなどの漏洩は0.2%で、不正アクセスやバグなどセキュリティホールや技術的な不具合の情報漏洩を含めても約22%にすぎず、紛失・置き忘れ(26.2%)、誤操作(24.6%)を筆頭に、管理・設定ミス、不正や盗難など、ヒューマンエラーやリアル世界での不正や犯罪が多くを占めています。
【出典】NPO日本ネットワークセキュリティ協会 報告書・公開資料
2018年 情報セキュリティインシデントに関する調査報告書
一度でも情報漏洩が発生すると、会社の信頼回復に時間がかかり、お問い合わせの対応や多額の賠償金が必要なほか、漏洩した情報によっては顧客や関連企業に大きな損失・影響を与えてしまう可能性もあります。
そのため、最近ではパソコン・インターネットを介したIT関連だけではなく、敢えてアナログ的な盗聴・盗撮を含む様々な情報漏洩対策も行っている企業が増えつつあります。
この記事ではマルウェアやフィッシング詐欺、不正アクセス以外の情報漏洩のリスクや事例、それぞれの対策についてご説明いたします。
SNSによる情報漏洩事例と対策のポイント
従業員(特に派遣社員やアルバイトなど正社員以外)によるTwitterやFacebookなどのSNSへの投稿が原因で情報漏洩してしまうケースがあとを絶ちません。
他の情報漏洩経路とは異なり、漏洩者が意図しなくとも瞬く間に様々な人へ伝達されてしまうため、事前の対策が欠かせない漏洩経路です。
以下でTwitterでの事例を紹介し、SNS経由の情報漏洩リスクと対策のポイントをご説明いたします。
【2-1】Twitterでの情報漏洩事例とその影響
2011年、ウェスティンホテル東京の中にある飲食店のアルバイト従業員が有名人の来店情報を無断でTwitterに投稿したことでホテル側が謝罪する事案が発生し、当時大きな話題となりました(*1)。
また、Twitterによる情報漏洩では、アルバイトという立場だけでなく、ソフトバンクのCTO(最高技術責任者)が報道発表前の他社との協業情報を誤って投稿してしまい、会社全体の情報管理に対する不安を抱かせる事案も発生しています(*2)。
ネットの炎上は、通常、時間とともに事態は沈静化しますが、失われた会社の信頼を取り戻すことは容易ではありません。
利用情報や個人情報が漏洩されるとなれば、「自分の情報も漏洩するのではないか」と不安になり、安心してホテルやお店を利用できなくなります。また、CTOなど、責任が重くセキュリティ意識も高くあるべきと考えられる人が、他社にも関わる情報を漏洩したとなれば、今後の取引を打ち切られても不思議ではありません。
したがって、SNS経由での漏洩リスクを減らすための対策が必要になります。
*1【参考リンク】ITmedia NEWS(2011.01.12)
Twitterに有名人の来店情報を店員が投稿 ウェスティンホテルが謝罪
*2【参考リンク】ケータイWatch(2011.06.01)
「携帯各社のSMS相互接続」、6月1日に発表か
【2-2】SNSによる情報漏洩対策
個人で利用しているSNSに関してはプライバシーの観点からも会社として管理することは難しく、たとえ管理していたとしても従業員が裏アカウントを利用する場合もあるため、完全に把握することは困難であると言えます。
そのため、会社ができる対策のポイントは主に以下の2点になります。
- 機密情報/個人情報を閲覧できる従業員を減らす
- 機密情報や個人情報を保管しているフォルダなどに閲覧権限を設け、中身を確認できる者を限定するのがよいでしょう。
- コンプライアンス/セキュリティ教育を定期的に行う
-
入社時の研修や契約で守秘義務を負わせるとともに教育を行う企業も多いかと思います。しかし、どれほど適切に研修を行ったとしても、人は時間の経過とともに忘れてしまい、慣れるとともに気が緩んできます。
そのため、定期的に研修、啓蒙を行うことが必要不可欠です。
ルールを決めたり、物理的に制限を設けたりすることも必要ですが、最終的には従業員の意識の問題になりますので、継続的な教育が重要になります。
機密情報の持ち出しによる情報漏洩事例と対策のポイント
従業員・退職者が社内データ・機密情報・個人情報などを持ち出し、漏洩してしまうリスクがあります。これも対策が非常に難しい情報漏洩経路の一つで、セキュリティ対策を行っている大手企業でも発生してしまう大きな課題です。
【3-1】機密情報の持ち出しによる情報漏洩事例とその影響
2017年、システム開発やソフトウェアの販売などを展開するゼネテックでは、元従業員による顧客データの持ち出し事件が発生しました(*3)。
長い調査期間を経て、2019年にデータを持ち出した元従業員は逮捕されましたが、持ち出されたデータはライバル企業に流出してしまいました。こうした悪意のある機密情報・データ持ち出しの場合、当該事件のように会社への甚大な影響・被害が生じる可能性が高いです。
また、2019年12月にはインテックの従業員が不正に情報を持ち出し(*4)、2020年1月にはソフトバンクでも元従業員による持ち出しが発生しています(*5)。
このように、セキュリティ対策を万全に行っているようなIT系企業でも度々不正なデータの持ち出しが発生しており、事例については枚挙に暇がありません。
情報漏洩は一度持ち出されれば不正に利用される可能性が高いため、「逮捕されたからよかった」というわけにもいきません。
重要なことは、こうした不正なデータ持ち出しを防止することです。
*3【参考リンク】Security NEXT(2019.03.01)
取引先情報不正持出の元従業員が起訴 - ゼネテック
*4【参考リンク】日本経済新聞(2019.12.09)
病院の個人情報持ち出し インテックが陳謝
*5【参考リンク】ITmedia Mobile(2020.01.25)
ソフトバンク元社員が情報漏えいで逮捕 「機密性の高い情報は含まれない」
【3-2】機密情報の持ち出し対策のポイント
データ持ち出しの情報漏洩対策は、在籍中の従業員への対策と、退職した元従業員への対策の2つに大きく分けられます。
- 内部の犯行/不正に対する対策
-
SNSと同様に研修や啓蒙活動を継続的に行いセキュリティ意識の定着などリテラシーの向上を地道に行うことが第一です
また、重要な情報・ファイルについては、アクセス制限を設ける、パスワードを設定し定期的に変更する、などの物理的な対策も欠かせません。一方、顧客情報、契約書、図面などの紙媒体についても、必ず施錠できる棚やロッカーなどに保管し、鍵の取扱についてもルールを設けることが重要です。
- 退職した元従業員に対しての対策
-
退職者に不正にデータを持ち出されるには、以下のような要因があります。
- 社屋に入ることができる
- 外部から情報にアクセスできる
- 情報のパスワードが更新されていない
社屋に入られないよう鍵やカードキーなどの返却は忘れずに行われると思いますが、生体認証で入退室・勤怠管理を行っている企業は、情報の更新を忘れないようにしなければなりません。
また、パソコンでもアクセス権限の変更やパスワードの変更が行われていないと、退職者がリモートワークを行っていた場合、そのまま利用できる環境が残ってしまう可能性もあるので、注意が必要です。
特に重要な情報を保管しているパソコンはUSBメモリなどの物理的な使用制限を行い、防犯カメラの設置を検討するのもよいでしょう。
【参考リンク】あんしんライフ
退職者によるデータ(営業秘密)の持ち出しと情報漏洩を防ぐために
会話やプライベートでの情報漏洩事例と対策のポイント
SNSへの投稿や不正なデータの持ち出しなどが情報漏洩の要因として広く知られていることかと思います。しかしながら、盲点となる要因として従業員の会話から情報漏洩が発生するということを考えておかなければなりません。
【4-1】会話・プライベートでの情報漏洩事例とその影響
2019年10月に百十四銀行の行員が数ヶ月に渡って顧客情報を知人に漏洩していたことが発覚しました(*6)。この事件では一部の顧客が詐欺事件の被害に遭い、漏洩した情報が詐欺事件の犯行に利用された可能性が高いとされています。
従業員同士の飲み会などではどうしても取引先の話題になり、普段注意していてもお酒が入ることにより気が緩み、重要な情報を漏らしてしまうこともあります。
また、取引先を出たあとの上司・部下・同僚との会話や屋外での電話などで、本来は守秘義務であるはずの内容を周囲の人に気づかずに話してしまうことがあり、そのことが重大な情報漏洩につながることもあるので注意が必要です。
*6【参考リンク】日本経済新聞(2019.10.31)
百十四銀行員が情報漏洩 一部の顧客、詐欺被害に
【4-2】会話・プライベートでの情報漏洩対策
会話をするなというわけにはいかないので、具体的な対策というものが非常に難しい情報漏洩になりますが、SNS対策と同様に定期研修などでセキュリティ意識(リテラシー)を高めるほかにありません。自分の扱っている情報が会社にとっていかに重要であるかを認識させることが必要です。
なお、最近では企業の機密情報だけではなく、会社内での人間関係や派閥争い、社内ストーカーなどを要因とした盗聴・盗撮を意識して調査を行う企業も増え始めました。
盗聴については、非現実的な世界の話という認識がまだ強いため、会社内に設置されるとなかなか発見されにくく情報が垂れ流しの状態になることもあります。また、企業情報とは別に会社のトイレに盗撮用のカメラを設置する事件が増えており、特に女性従業員は注意が必要です。
【参考リンク】あんしんライフ
盗聴器が企業(法人・会社)に仕掛けられる目的と調査方法
会社・職場での盗撮調査|更衣室・トイレの隠しカメラの場所と種類
情報漏洩による民事上の責任
情報漏洩では、会社が損害賠償請求を受けることがあります。
例えば、従業員の行為によって顧客の個人情報が漏洩した場合、これによって顧客に損害が発生すると、不法行為(民法709条)に基づく損害賠償請求を受ける可能性があります。
本来、不法行為は行為者本人が請求されるものですが、会社は従業員が事業に関して第三者に与えた損害を賠償するものと定められています(民法715条1項本文)。
例えば、2004年に発覚した「Yahoo!BB顧客情報漏洩事件(約450万人の個人情報が漏洩)(*7)」では、Yahoo! BB全会員に金券500円を配布し、一部の利用者は損害賠償訴訟を起こして1人6000円という賠償金判決を得ました。被害総額は100億円を超えるとされています。
*7【参考リンク】ウィキペディア(Wikipedia)
Yahoo! BB顧客情報漏洩事件
東京近辺で、盗聴・盗撮の調査をご希望の方へ
会社の情報漏洩はパソコンのセキュリティ対策のみではなく、盗聴・盗撮対策などを含めた総合セキュリティ対策となりつつあり、大手企業だけではなく中小企業でも意識されるようになってきました。
これには企業の機密情報の情報漏洩だけではなく、社会的にプライバシーが重視されるようになった背景の影響もあり、従業員が安心して働ける環境づくりの一環にもなります。
『あんしんライフ』は、東京・渋谷で1978年創業の信頼できる警備会社が提供する盗聴・盗撮調査サービスです。
【当サービスの強み・特長】
- 1978年創業の信頼できる警備会社
- 本格的でわかりやすい説明の徹底調査
- 他社に比べ低価格で明瞭な料金設定
- 女性スタッフ同行の安心・安全対応
「盗聴・盗撮されているかもしれない」と感じたら、まずは電話・メールの無料相談をご利用ください。