まずは過去に世間を震撼させた海外の大規模な情報漏えいの事例を紹介します。

7000万件の個人情報が漏えいしたターゲット社の事例

ターゲット社という企業をご存知でしょうか。アメリカで第5位の流通小売り大手企業ですが、2013年にCEOであったグレッグ・スタインハーフェル氏が取締役会で解任されました。

厳しいビジネスの最前線で6年間もトップを務めてきた、筋金入りの経営者であるスタインハーフェル氏が解任された理由はただひとつ。ターゲット社が「空前の規模の情報漏えいに巻き込まれてしまった」ためです。

同社から漏えいした情報は、4000万件を超えるクレジットカード情報と、7000万件もの住所や電話番号などの個人情報、と市場稀に見る巨大かつ深刻な規模でした。

この情報漏えいは欧米諸国の経営者層に大きな衝撃を与えました。情報漏えいの直接的原因は「ハッカーによる攻撃」であり、珍しくないのですが、彼らの攻撃目標はターゲット社ではなく、ターゲット社の下請の空調設備会社だったのです。

ターゲット社のオフィシャルサイトに掲載されていた空調設備会社の従業員に狙いをつけ、フィッシングメールを送りつけ、「マルウェア」というウイルスソフトを忍び込ませることに成功。空調設備会社側からターゲット社のセキュリティをかいくぐってシステムに侵入し、情報を盗んでいったのです。

過去2年間で起きた最大の情報漏えいの被害額は6兆円超

VPNサービスを提供しているSurfcharkが発表した調査によると、2020年から2022年に起きた最大のデータ侵害の被害額は、以下の通りです。

1位／Advanced Info Service（AIS）：約580億ドル
2位／Keepnet Labs：約348億ドル
3位／BlueKai：約139億ドル
4位／Comcast：約104億ドル
5位／Weibo：約37億ドル

1位はタイ最大の携帯電話会社であるAISで、2020年に86億件もの個人情報の流出があり、その被害額は日本円にすると6兆円超と換算されています。この額は、顧客の喪失、評判の低下による喪失、法定費用、罰金、補償の回復と改善にかかるコスト、株価の下落などから計算されています。情報漏えいにおける企業のリスクの高さを痛感する数字となっています。

（参考：Surfshark「Cost of Data Breach - Surfshark」）

ハッカーなどネット上のサイバー攻撃は、あの手この手で企業や政府のセキュリティを乗り越えようとします。さらにセキュリティが強化されると、一層巧妙で悪質な手口が生まれるいたちごっこ、悪循環にあります。

日本でも状況は変わりません。日本年金機構やベネッセホールディングス、ソニー、ソニー・コンピュータエンタテインメント等、情報漏えいが発端で大変な騒ぎになり株価が暴落する等、損害を被った企業は枚挙にいとまがありません。

一方で、情報管理がしっかり行き届いていれば、情報漏えいはかなりの割合で防げるのも事実です。そこで、本稿では情報漏えいの状況を再確認し、その傾向と対策を取りまとめました。情報漏えいは起きてしまってからでは取り返しがつきません。予防と対策、皆様の情報管理体制強化の参考にしてください。

2021年1月に東京商工リサーチが発表した「上場企業の個人情報漏えい・紛失事故」調査（2020年）」によると、2020年に上場企業とその子会社で情報漏えいを公表したのは88社。事故件数は103件、漏えいした個人情報は2,515万47人分です。

日々進化するウイルスがもっとも多い要因

原因別で、もっとも多かったのが「ウイルス感染・不正アクセス」で49.5%と約半分を占めています。

ハッカー等による不正アクセスのメインは「マルウェア」と呼ばれる一連の不正プログラムです。「Malicious Software」（悪意のあるソフトウェア）を略したもので、さまざまな脆弱性や情報を利用して攻撃をするソフトウェア（コード）の総称です。

このマルウェアは、本物のウイルス同様、日々成長を遂げています。総務省「情報セキュリティに関する脅威の動向」によると、1月間で新たに発見されるマルウェアの数は300万を超すとされています。現在は、2014年に初めて発見されたEmotet（エモテット）が再びアメリカを中心に猛威を振るっています。

日々新たに数十万単位で誕生するウイルスと戦う必要があるのですから、「戦い方」を知っておくのは極めて重要と言えます。

次いで「誤送信・誤表示」「紛失・誤廃棄」のヒューマンエラー

情報漏えいの原因で「ウイルス感染・不正アクセス」に次いで多かったのが人為的ミスである「誤表示・誤送信」で31%、そして必要メディアや書類の「紛失・誤廃棄」が13.5%とつづきます。

情報漏えいの発端が「ついうっかり」といった従業員のミスによるものであったとしても、重篤な結果を招きかねないことを肝に銘じておく必要があります。

（参考：東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査（2020年）」）

◎情報漏洩のリスクと対策は？企業の個人情報漏洩やテレワークでの事例も解説

それでは情報漏えいの発生事由となるケースごとに傾向と対策を解説します。

誤送付・紛失等の従業員のヒューマンエラー

​人間は必ずミスするもの、という前提のもとにミスが発生しても被害を最小限に食い止められるように準備をしておく必要があります。Faxを例にあげると、外部に送信するときは、原則として送り先を番号登録し、複数人で指を指しながらお互いに数字を読み上げ、間違いが無いことを確認して送信するのが望ましいでしょう。

◎社用携帯の管理にルールは必須。作り方のコツとツールの活用について

しかし、煩わしい手続きをルールとすることで自然と従業員がFax送信を避ける力学が生まれます。また紛失については、「電車の網棚に放置、忘れてしまった」が多く見受けられます。多くの企業が取り入れているようにデバイスや記録媒体の持ち運びを原則禁止とし、そもそもヒューマンエラーが起きる機会を減らすような考え方が必要となります。

外部からの不正アクセス・ハッキング

情報システムによる管理が行き届いたオフィスであれば、PCやスマホなどの各種デバイスに違和感があればすぐに発覚しますし。ハッキングやウイルスの被害にあったケースの大半が「会社のルールを守らず、個人が勝手にソフトをダウンロードしていた」「会社の案内に従わず怪しいメールを開き、URLをクリックした」等の事象によるもの。ルールを守る、という大原則からしっかり案内していきましょう。

セキュリティ教育の徹底

効果的なのは定期的な「研修」等を通じたセキュリティ教育です。例えば、従業員５名ごとのチームに分け、「情報漏えいが発生した場合の対策チーム」と仮定し、役割を割り振っていきます。Ａさんは原因究明、Ｂさんはマスコミ対応、Ｃさんはクレーム処理……等のように。ここで大事なのは時間設定です。チーム内で役割分担をしたあと、進行役が「5分30秒で次のアクションを決めてください」と発言します。

しかし、5分30秒では何もできないことがよくお分かり頂けると思います。ですが、情報漏えい発生直後の現場最前線に残された時間は大抵５～６分程度であることがほとんど。その間にどのデータが流出されたのかを把握し、次の行動を考え即座に決断を下し、動き出さなくてはならないのです。

また、定期的に記者会見の練習をしておくのも予防対策として非常に効果的です。「情報漏えいを起こしたしまった」というケースを想定し、記者会見の練習をするのです。スピーカーも腰の曲げ具合や目線の置き方などをレクチャーしますが、大事なのは「記者役」です。記者役は記事を書くために、質問しなくてはなりません。

この質問を考えることで、今の情報管理制度への理解が深まったり、逆に現行制度のネックが見つかったり、非常に効果的といえます。

いかがでしたでしょうか？情報漏えいを防ぐためにはチーム全体でのセキュリティリテラシーを引き上げるような日頃の地道な取組みが最も効果的です。即効薬はありません。セキュリティ対策は意識改革も重要な項目のひとつ。皆で声を掛け合いながら情報漏えいを抑え込むようなチームを目指しましょう！

またコネクシオでは、デバイス管理のMDMなど様々なセキュリティソリューションをご提供しています。お気軽にお問い合わせください。