顧客情報の流出、情報漏洩とは?原因や対策、リスクなどを徹底解説!

顧客情報の流出、情報漏洩とは?原因や対策、リスクなどを徹底解説!

記事更新日: 2020/02/12

執筆: 編集部

顧客情報の流出や情報漏洩がニュースになることがあります。これは具体的にはどのようなことが起きているのでしょうか。顧客情報の流出、情報漏洩が起こる原因や対策と万が一発生してしまったときのリスクについて解説します。

顧客情報の流出、情報漏洩とは?

顧客情報の流出や情報漏洩とはどういったことなのでしょうか。

この点が理解できていなければ原因や対策を考えられません。リスクなど想像できないことでしょう。まずはここを解説します。

そもそも顧客情報とは?

顧客情報とは経営学用語として定義されているものです。簡単に説明すると、企業活動において顧客に関する情報全般のことを指しています。

大きく分けると2種類あり、顧客の個人情報(属性)に関わるものと顧客の行動に関わるものがあります。

■顧客情報

個人情報(属性) 顧客の氏名や居住地、クレジットカード番号、など
顧客の行動 どのような商品をどれくらい購入したか、など

前者は顧客の氏名や居住地、クレジットカード番号などが該当します。後者は顧客がどのような商品をどれくらい購入したかなどが該当します。

どちらも企業活動において得られる重要な情報です。

顧客情報の流出が起こるとは?

顧客情報の流出が起こるとは、上記の情報が意図せず社外に流出してしまうことを指します。

例えば以下の情報が流出すると、顧客情報の流出であると考えられます。

  • 個人データ(属性)
  • 要配慮個人情報

どちらも個人情報保護法などで適切な管理が義務付けられているものです。

顧客情報の全てが法律で定義されているものではありませんが、そのようなものが含まれている意識が必要です。

顧客情報が流出してしまう原因

顧客情報が流出してしまう原因を知ることは対策を考えることにつながります。

様々な事例がありますが注目したいものを以下にご紹介します。

人的ミスによるメールの誤送信

メール送信時の誤操作によって顧客情報が外部に流出する可能性があります。誤操作は人間が起こすミスが大半であり、例えば以下のケースです。

  • 宛先の設定ミスに気づかないことによる情報流出
  • 添付ファイルの選択ミスによる機密情報の流出
  • To・CC・BCCといった送信区分の設定ミスによるメールアドレスの流出

 

顧客情報が記録された媒体の紛失や盗難

顧客情報が記録された媒体を物理的に紛失したり盗難に遭ったりすることでも情報流出が起こる可能性があります。例えば以下のケースです。

  • 飲み会のあとにPCを入れたかばんを置き忘れて盗難に遭い流出
  • USBメモリーに情報を移したのち紛失したことで流出

 

不正アクセス(サイバー攻撃)やコンピュータウイルス(マルウェア)感染

不正アクセス(サイバー攻撃)やコンピュータウイルス(マルウェア)感染による顧客情報の漏洩もあります。例えば以下のケースです。

  • データベースへの不正アクセスによる顧客情報の流出
  • Webサイトへマルウェアが仕込まれたことによる入力情報の流出

 

社員の不正

社員の不正による情報漏洩も発生します。例えば以下のケースです。

  • 特定の担当者だけが知り得る情報を他者に提供したことによる流出
  • 社内の不正アクセスによる流出

 

顧客情報の流出(漏洩)を防ぐ方法・対策

顧客情報の流出や漏洩を防ぐ対策や方法にはどのようなものがあるのでしょうか。具体的な方法を3種類ご説明します。 

メールの誤送信防止システムを導入して人的ミスを削減

メールの誤送信防止システムを導入して、人的ミスを削減する方法があります。人的ミスを完全になくすことは不可能ですが、可能な限りゼロにするためにシステムを利用します。システムを利用することで以下のような効果が期待できます。

  • メールの送信前に宛先を確認する表示画面が出る
  • ファイルが添付されたメールを送信する際に上司の許可が必要となる
  • あらかじめ許可されたドメインにしかメールが送信できない

これらも完璧ではありませんが、チェックにより人的ミスを防げます。

端末の管理ルールを徹底 

端末の管理ルールを徹底して、情報漏洩に対する従業員の意識を改善する方法もあります。

例えば顧客情報が含まれたUSBメモリーは、上司の許可なく持ち出しを禁じるなどです。また、飲み会の際は顧客情報の有無を問わず、PCの持ち出しを禁じるなども考えられます。

会社としてルールを設定すれば、そのルールを守らない人は処分の対象となります。そのため、端末を管理する意識が高まり情報漏洩の防止につなげられます。

セキュリティ対策ツールの導入

外部に対するセキュリティ対策ツールを導入することで、不正アクセスやマルウェアによる顧客情報の流出を防げます。このような対策は何もしていなければバッシングを受ける可能性があります。

また、内部に対するセキュリティ対策ツールを導入することも検討するべきです。例えば顧客情報が管理されている部屋への入室を管理して、情報の流出を防ぐものです。

外部からだけではなく内部からの情報漏洩を防ぐ対策も必要です。

顧客情報が流出してしまった場合のリスク

顧客情報が流出するとさまざまなリスクが発生します。どのようなリスクがあるのかを例でご説明します。

流出原因を改善するための対策費用の発生

流出原因を改善するための対策に必要な費用が発生するリスクがあります。

例えばシステムが原因の場合、緊急でシステムを改修する費用が発生します。予算に積んでいなければ想定外の支出となってしまう可能性があります。

また、社員の人的ミスであれば社内教育が必要です。教育資料を作成したり教育のための時間を要します。

実質的には費用が発生していますので、こちらも対策費用が発生するリスクがあります。

顧客へのお詫び費用の発生

場合によっては顧客へのお詫び費用が必要です。

例えばお詫びの気持ちとして何かしらの商品を発送することがあります。ただ、それ以前に状況をお伝えするために、お詫び文と共に報告資料を送付することもあります。お客に対するお詫び全般の費用が発生するリスクがあります。

対象となる人が多ければ多いほどこの費用は高まります。つまりリスクが拡大します。また、社会に与える影響度合いなどにもよって発生する費用が高額になるリスクもあります。

顧客情報が流出した場合に企業が果たすべき責任

万が一顧客情報が流出してしまった場合、企業が果たすべき責任はどういったものなのでしょうか。どのように対応するべきなのでしょうか。企業がやるべきことについてご説明します。

顧客情報の流出を最小限に留める

情報漏洩の原因が外部からの攻撃やコンピューターウイルスの感染によるものであれば、それ以上の情報流出を防止しなければなりません。

対策をとらなければ顧客情報の流出が続く可能性がありますので、流出を最小限にとどめるようにしなければなりません。

例えば外部からの攻撃であれば、被害を受けたサーバーをネットワークから切り離す対応が考えられます。また、攻撃を続けているアクセス元からのアクセスを遮断する方法も考えられます。

マルウェアの感染であればこちらもネットワークから切り離すのが最善の策です。情報の流出が起こらない環境を作り、被害を最小限に抑える行動をとらなければなりません。

流出情報を適切に把握して顧客への連絡や報告をする

流出を最小限に抑えるのと同時に、どのような情報が流出したのかを適切に把握しなければなりません。

顧客情報ですので情報の流出が疑われる顧客に関しては速やかに連絡をしなければなりません。情報収集のスムーズさが求められます。

適切な情報を発信することはもちろん重要ですが、速やかに情報を発信することも求められています。

そのため、判明した情報から段階的に情報発信をする方法も考えられます。発信する情報は5W1Hに基づいたものにしましょう。

■流出時の、顧客への連絡方法

ポイント:5W1Hに基づいて情報を発信する

【最初の情報発信】

・外部からの不正アクセスにより情報漏洩が発生した可能性を公表

・具体的に漏洩した顧客情報について説明し、対象となる人数を公表

※このとき、新しい情報がいつ発表できるのかも目途を立てて報告

例えば最初の情報発信としては、外部からの不正アクセスにより情報漏洩が発生した可能性を公表します。続いて具体的に漏洩した顧客情報について説明し、対象となる人数についても公表していきます。

全ての情報を一度に公表できないのであれば、発表時点で分かっている正確な情報を公表しなければなりません。

この時に意識しておきたいことは、次の報告がいつ頃になるのかということです。企業の報告から状況が把握しやすいように、新しい情報がいつ発表できるのかも目途を立てて報告することが重要です。

システムトラブルであれば改修する

情報の流出原因がシステムトラブルであればシステムの改修をしなければなりません。

システムの設計ミスによって不正アクセスを受けたのならば、同じことが起こらないような設計に見直しが必要です。また、システムが老朽化していることが原因であれば、新しいシステムへの切り替えも考えなければなりません。

顧客情報の流出が起こった場合、システムの改修を考えるのは比較的あとの段階です。対応しなければならないことには間違いありませんが、まずは顧客への対応を優先しなければなりません。

まとめ

顧客情報が流出する理由は様々です。人的なミスである場合もありますし、外部からの攻撃が原因の場合もあります。

ただ、どのような理由であっても責任を持つべきは情報を流出させてしまった企業です。

情報の流出が発生すると、企業が被るリスクは大きいものとなります。社会的信用を失墜させる可能性も十分にあります。

そのようなことにならないためにも、顧客情報を流出させないような対策を常日頃から意識しなければなりません。

画像出典元:Pexels

最新の記事

ページトップへ