サイトへの不正アクセス、個人情報流出など、近年では数々の情報漏えい問題がささやかれています。
しかし、それらはすべて、莫大な情報を持つ企業ばかりが狙われるもの……そのように油断していませんか?
情報漏えいの可能性は、企業の規模や業種に関わらず起こりうる問題です。だからこそ今、「情報漏えいの対処法」をしっかりと考えてみませんか?
そこで今回は、情報漏えいに関する具体的事例をご紹介すると共に、その対処法について解説いたします。
このページの目次
情報化社会と呼ばれる現在において、ベンチャーや中小企業であっても情報管理が必要である場合はめずらしくありません。
いまや情報漏えいのリスクは、会社の規模にかかわらず、すべての経営者が把握しておくべきリスクだといえます。
情報漏えいは簡単に起きます。実際に情報漏えいの原因として、よくあるケースは以下の通りです。
たった1枚の書類を紛失しただけでは漏えいする情報も少ないものですが、パソコンやUSBメモリだとそうはいきません。誰か一人がうっかりUSBメモリを紛失しただけで、大規模な情報漏えいが起きてしまう可能性があります。
社外からオンラインネットワークを通じて、企業のシステムに入り込み、情報が盗まれる。報道でも多い、定番の情報漏えい問題。
もちろん、情報を盗むことが目的ではなく、サイトを破壊して運営の妨害をしたり、システムダウンにより業務を停止させたりといったサイバーテロも存在します。
後ほどより具体的な事例を紹介しますが、これだけをみても情報漏えいが自分の会社で絶対起きないと自信をもっていえる経営者は少ないはずです。実際、多くの経営者は問題が起こってから、対策不足を後悔するものなのです。
では情報漏えいが起こってしまった場合、企業はどのような損害を被るのでしょうか。
情報漏えいを起こすと、当然のことながら企業は信頼を失います。経営をする上で、信頼を失うというのは、何よりも辛い痛手です。
そればかりか、情報漏えい問題を解決するために必要な費用は、膨大なものとなるため、当然の財務面でも多大な損失を負うことでしょう。
特に顧客が関わる情報漏えいともなると、企業や事業の規模が大きいほど被害者も多くなり、慰謝料や謝罪金なども莫大な額となります。このようなケースを報道で目にしている方も多いのではないでしょうか。
このように、実際に情報漏えいが起きたときのリスクの大きさを考えると、情報漏えいのリスク回避に向けた対策は欠かせないといえます。
情報漏えいにおける企業のリスクを考えると、情報管理の難しさを感じるのも無理はありません。
ただし、情報漏えいはリスクを事前に把握することで、未然に防げる問題だということにお気づきでしょうか?
つまり情報資産を安全に管理するためには、あらゆるリスクが発生する可能性を分析し、リスクを回避・低減するための「リスクアセスメント」を設定することが重要なのです。
そこで「情報漏えいの具体的事例」から、あなたの企業におけるリスクアセスメントのヒントを探してみましょう。
リスクを正しく認識するためには、実際にどのように情報漏えいが起こってしまうのか、またどれほどの損害を受けるのかを具体的に知ることが重要です。
今回は、実際にあった身近に起こり得る情報漏えいの事例を4つご紹介します。
大手流通業(スーパーマーケット・コンビニエンス等)を経営するA社は、ネットショッピングサイトを運営していました。しかし、このサイトへ不正アクセスがあり、クレジットカード情報が流出。漏えい件数はなんと、約15万件にも及びます。
この情報漏えい事件によりA社は、以下のような損害を負うこととなりました。
費用損害支払額:約3,000万円 / 賠償損害支払額:約5,910万円
金額や漏えい件数など、具体的な数字を見ても、恐ろしい事件ではありますが、何よりも注目すべきはネットショッピングという現代にとって身近なシステムで起こった問題だということです。
ネットショッピングは、便利がゆえに消費者の大量な集客も見込める事業ではありますが、外部からの攻撃により起こりうる損失にもしっかり目を向けた上で、対策を考える必要があります。
こちらも先ほどと同じく、ネットショッピングシステムによる事例。
IT事業社・A社は、衣料品販売会社B社のインターネットショッピングシステムの保守運用業務を請け負っていました。
しかしA社が管理するシステム・セキュリティ(SQLインジェクション)の不備により、不正アクセスが発生。クレジットカード情報を含む、B社の顧客情報が流出することとなりました。
ただし、この事件の問題点は、発覚のきっかけにあります。なんと顧客から「身に覚えのない請求をされた」との訴えがあったことで、不正アクセスの事実が確認されたのです。
つまり、システム管理側の問題発見ではなく、実際の被害が発生してから明るみになった問題ということに。もちろん顧客よりも先に問題を見つければいいという問題ではありませんが、問題に気付かなかったという事実は、より一層問題を深め、企業の信頼を失う原因になります。
これによりインターネットショッピングサイトを運営していたB社は、ホームページに謝罪文を掲載。さらに顧客対応に関する損害(費用損害支払額約4,600万円、賠償損害支払額約2,900万円)を負うこととなりました。
そう、システム不備を起こしたA社ではなく、被害者とも言えるサイト運営側のB社が、多大な損失を被ったのです。
おそらくこの問題において、システム不備を起こしたA社もB社へ何らかの形で賠償をしたものと考えられます。
しかし顧客目線で見ると、実際にサービスを利用していたサイト運営側・B社への不信感が目立ってしまうところです。だからこそ運営側・B社は誠意を見せて、終結したものと思われます。
このような背景から見えるのは、たとえ自社が起こした事件でなくても、矢面に立つのは顧客から一番見える位置に立つ企業であるということ。
また情報の管理体制を他社に任せる際にも、受注側の企業へどのような対処、責任を求めるのか、しっかりとした取り決めを行うことも重要だといえます。
次にご紹介する事例も、信頼して任せた結果が悲しい事態になったケースです。
情報処理業者の従業員が作業を行うことを目的に、自宅へノートパソコンを持ち帰っていました。その作業内容とは、自治体より受託した図書館のシステム開発。
しかし、その従業員のノートパソコンが盗難にあってしまいます。これによりパソコン内で管理されていた図書館利用者約10万件強の個人情報が流出。
自治体および情報処理業者はそれぞれ、新聞に謝罪広告を掲載しました。その際、情報処理業者側は自社の広告費用はもちろん、自治体の謝罪広告掲載にかかった費用も請求されました。
この謝罪広告という対処法から予測するに、漏えいした情報は具体的に金銭が関わる被害を被るものではなかったことが予想されます。とはいえ、情報を漏えいされた図書館利用者からすると、自治体という安全なポジションに預けたはずの個人情報が流出したことで、大きな不安や不快感を感じたことでしょう。
謝罪広告だけで、図書館や自治体に対する信頼を取り戻すことができたのか、住所や電話番号を流出された不安が解消されたのか、疑問に感じるところです。
とはいえ、このケースにおいて情報漏えい事件を発生させたのは、情報を管理する側ではなく、第三者によるもの。つまり、依頼主である自治体や図書館が信頼を失う。
発生源である情報処理事業者が信頼を失うことは当然ですが、信頼して任せたはずの発注業者の人物が問題を発生させる可能性があるという点は、情報管理の安全性を考える上で見逃せないポイントとなることでしょう。
あるホテルは、同社のメンバー会員に対して、メールマガジンを発行していました。しかし、システム内部に不具合があり、メールマガジンに会員約1,400名分のアドレスが添付される事態に。個人情報を流出したホテル側は、各会員にお詫びとして商品券を送付しました。
「登録するとお得になります」「旅先のHOTな情報を配信しています」など、現代の集客手法においてメジャーな位置を保つメールマガジン。ホテルをはじめ、サービスのファン(利用者)を囲いこむために有効な方法ではありますが、その運営一つを誤るだけで大きな損失につながるということがわかる事件です。
またメールアドレスの漏えいは、直接金銭の被害を生みだすものではありませんが、近年では金銭を巡る迷惑メールトラブル被害も増加しているため、情報漏えいされた側からするとその不安は想像以上となることでしょう。
事例から見て、多くの経営者が自社でも同様のことが起こりうると感じたことでしょう。そこで情報漏えい防止のためにとりうる対処法・対策を紹介します。
情報を安全に管理するためには、その管理体制における「ルールの設定」が必要不可欠となります。セキュリティに関する有効なルールとして見習いたい事例は、以下の5つです。
多くの企業で取り入れていることではありますが、なかには情報を扱う業務委託や外注のセキュリティソフト体制までは管理・把握していないケースも珍しくはありません。
しかし、パソコン一つあれば、自宅やカフェに持ち帰って仕事をできる現代。公共のWi-Fiを使うことで、ウィルスに感染したり、情報が流出されたりといった問題も発生しています。
だからこそ、社内の情報を扱うすべてのパソコンに対し、セキュリティソフトの導入を徹底する必要があるのです。
例え社内であっても、担当している業務に関する情報は、社員それぞれの責任で管理すべき、重要な情報です。
あまり考えたくないことではありますが、社内の人間が悪意を持って情報を流出させる可能性も0ではないのです。
だからこそ、情報を管理しているパソコンやデスクから離れる時には、ロック(鍵)を徹底するルールを作ることでリスク回避につながります。
パソコンで管理している情報ももちろんですが、アナログで管理している書類の処分も慎重に。
例えば、会社でリースしているパソコンに情報を残したまま、リース会社に返却してしまうというのも、情報漏えいを引き起こす原因になり得ます。また書類(紙類)はシュレッダー処理がマストです。
退職した社員が解放感から愚痴を言っている間に、情報が流出。ありえないことではないですよね。こうした問題を防ぐためにも、退職後も続く機密情報保持契約を結ぶことで、社員一人ひとりに情報を口走ることへの責任を認識してもらうという対策も有効です。
また退職した社員からUSBメモリなど備品を回収しそびれたことで、情報が流出してしまうケースも考えられます。他にもオンラインで閲覧できる共有情報のアクセス権限を解除しないままにしてしまうと、退職後も情報管理の場に出入りができるということに。
つまり、今業務を行っている社員だけではなく、先々に退職した際のルール徹底も情報漏えいを防ぐ重要な対策となるのです。
芸能人の方が自社のサービスを利用した情報を、従業員がSNSで流出。これも立派な情報漏えい問題に発展します。
他にも、ランチや会社帰りに同僚と訪れた飲食店、その道すがらで、つい話題にしてしまった社内情報が、実は重大なものであるといったこともありえます。
社内の情報は極力外部で話題にしないことが、情報管理の観点では得策です。
情報管理はすべての会社でやらないといけないことではあるものの、情報管理の知識を有している会社は少ないのが実態。また人的ミスはルール設定で情報漏えい防止の対策ができても、サイバー攻撃など企業の不可抗力により情報が漏えいしてしまうケースは残念であり、誰しもが起こり得る問題です。
そのように考えると、いくら自社で情報管理を強化しても、リスクをゼロにすることは不可能です。
そのため、情報管理を徹底することはもちろんですが、それと同時に情報漏えいやサイバー攻撃に備えた法人向け保険への加入をおすすめします。
近年では、企業のサイバー攻撃被害に備えた、法人向け保険が登場しています。事故発生時の費用補償だけでなく、事故対応サービスも受けることができるのが、保険の大きな魅力です。
情報漏えいのリスクの大きさを考えると、保険加入は有効な対策だといえます。一度検討するだけでも、自社の情報管理体制を見直す良い機会にもなります。
企業を経営する上で、避けては通れない情報漏えい対策。リスクを回避、軽減するためにも、日頃から社員全員で情報管理に対する緊張感と責任を共有することが、安全な経営につながることでしょう。
ただリスクをゼロにすることはできません。最悪の事態に備えて、法人向け保険への加入もおすすめします。
日頃意識しないリスクだからこそ、思い立ったら忘れないうちに対策を始めましょう。
画像出典元:Pexels