個人情報漏洩とは?個人情報の定義や漏洩対策、原因と対応法も解説

個人情報漏洩とは?個人情報の定義や漏洩対策、原因と対応法も解説

記事更新日: 2023/04/10

執筆: 編集部

個人情報の漏洩リスクはどの企業にも存在しており、発生してしまわないよう万全の体制を整えておく必要があります

過去の情報漏洩事例も参考にしていただき、発生の防止策や万が一個人情報を漏洩させてしまった時の対応策を事前に練っておきましょう。

個人情報の漏洩とは?

個人情報の漏洩について理解するには、そもそも個人情報とは何か、漏洩の定義とは何かを整理することが大切です。

またさらに理解を深めるために、実際にどういった個人情報漏洩のケースがあったのかも併せて確認しておきましょう。

個人情報とは?

個人情報とは、生存する特定の個人に関する情報であって、特定の個人を識別できる情報のことを言います。

個人情報 氏名や住所、クレジットカード番号、銀行口座、メールアドレス、個人を識別できる画像や映像など

特定の個人を特定する情報の最たる例は、氏名や住所、クレジットカード番号、銀行口座、メールアドレス、そして個人を識別できる画像や映像などです。

また、上記のような情報と関連付けられて個人を特定できる情報は全て「個人を識別できる情報」と考えられるため、個人情報とみなされます。

そのため、単体では個人を特定できない情報あっても、氏名や住所などと一緒に記録されていれば全体で個人情報となるのです。

個人情報が漏洩するとは?

個人情報漏洩とは、個人情報を持っている人やその個人情報に該当する人の意思に反して、第三者に情報が渡ってしまうことを言います。

紙ベースで保管されている個人情報はもちろん、電子データとしてWeb上に保管されている個人情報が第三者に渡ってしまうことも、個人情報漏洩の一つです。

個人情報漏洩の被害事例

個人情報漏洩の被害事例としては、以下のようなものが挙げられます。

 

個人情報が漏洩してしまう原因

人為的ミス

個人情報漏洩の原因として非常に大きな割合を占めるのが、様々な機器の操作ミスや紛失などの人為的ミスです。

NPO日本ネットワークセキュリティ協会が行なった「情報セキュリティインシデントに関する調査結果」2018年度版によると、情報漏洩件数全体の50.8%が「紛失、置き忘れ、誤操作」を原因とするものでした。

マルウェアへの感染

個人情報漏洩の原因としてまず考えられるのが、マルウェアへの感染です。

現在では標的型攻撃メールなど外部からの悪意ある攻撃が巧妙となってきており、マルウェアへの感染経路が多様化してきています。

外部からのメールや初めて訪れるWebサイトを開くときには十分な注意が必要と言えるでしょう。

内部関係者による故意流出

悪質な個人情報漏洩原因として考えられるのが、内部関係者による意図的な情報漏洩です。

個人情報を使って不当に利益を得たり、漏洩させることで企業へ報復したりすることを目的として行われます。

個人情報の管理体制に問題があることが原因で発生することもあり、何らかの対策が必要です。

個人情報漏洩を防ぐ方法・対策

端末や資料の持ち出しルール制定と徹底

紙ベースの資料はもちろん、パソコンやスマホ、USBなどの持ち出しにルールを決めて遵守を従業員に徹底することが大切です。

実施に当たってはルールの形骸化を避けるため、業務フローの実態を踏まえたルール作りが大切と言えます。

また、ルールを守っていても紛失や盗難は避けられないこともあるため、そもそも資料を社外に持ち出さないとすることも、厳格ではありますが効果的でしょう。

ウイルス対策の徹底

下記のようなウイルス感染対策や社員への情宣などを行うことも、個人情報漏洩防止には大切です。

1. 標的型攻撃メールに対する訓練など情報漏洩に対する社員教育を実施

2. セキュリティソフトの導入・更新

3. 会社用パソコンと私用パソコンの区別を徹底

 

メールやFAXの誤送信対策

個人情報漏洩の原因として多いヒューマンエラーを減らすには、社外への情報発信時に気を付ける必要があります。

FAX送信は特に誤送信の危険性が高いため、ダブルチェックの徹底やよく送付する先の番号をあらかじめ登録しておくなどの対策が必要です。

また、メール送信に関しては誤送信防止システムも存在するため、導入を検討するのも良いでしょう。

個人情報が漏洩した場合のリスク・企業の責任

損害賠償責任

個人情報の漏洩は民法709条で規定される「不法行為」に該当し、不法行為によって相手に何らかの損害を与えた場合には損害賠償責任を負うこととなります。

また、1件でも個人情報を扱っている事業者には2017年に改正された個人情報保護法が適用され、違反した場合に罰則や損害賠償責任が発生するのです。

情報漏洩の損害賠償請求裁判では一人当たり数百円~1万円程度の支払い命令判決が下されることが一般的と言えます。

ただし情報漏洩の被害者から集団訴訟の提起を受ける可能性もあり、総額は数千万円~1億円以上となることも考えられるのです。

取引先や顧客からの信用失墜

顧客は企業に対し信頼をして、自分の個人情報を伝えています。

しかしもし個人情報漏洩を発生させると、顧客や取引先からの信頼を失うことにつながるのです。

一度失った信頼を回復することはとても困難であり、損害賠償金の支払い額以上に経済的ダメージを受けることにもなりかねません。

企業の規模によっては事業継続が困難になるほどの深刻なダメージとなる可能性もあり得るのです。

プライバシーマーク登録削除

プライバシーマークとは、個人情報の管理・取扱いが適切に行われている事業所に与えられる認定制度です。プライバシーマークは情報管理がきちんとでいている企業の証であり、登録していると取引先との契約などがスムーズに進むなどのメリットがあります。

しかし個人情報漏洩を起こしてしまえばやはり認証取り消し措置を受けてしまうことになり、ブランド力や社会的信頼の低下につながってしまうのです。

個人情報が漏洩したときの対応方法

流出した原因や情報の整理と被害拡大防止

個人情報の漏洩が発生した時にはまず、流出した原因や情報の内容、範囲を特定することが肝心です。

流出減のシステムや社員を特定し、情報を整理することで有効な対応方法を検討することができます。

また、情報漏洩の原因によっては二次被害の拡大を防止することも必要であり、例えばマルウェア感染であればネットワークの一時切断などを行うことが必要です。

漏洩事実の公表と関係先への説明

個人情報の漏洩状況を把握したら、漏洩事実を公表して関係先への説明や謝罪を速やかに行うことが非常に大切です。

対外的にスキのない対応が必要ですので、情報システム部門だけでなく、総務部や法務部など関係各部門と連携して意思決定をしていきましょう。

ここでの初動遅れが発生すると、個人情報漏洩を隠蔽しているとも取られかねませんので、誠意ある迅速な対応が肝心と言えます。

再発防止策の策定

個人情報の漏洩が発生した後には、同じことを繰り返すことの無いよう再発防止策を策定することが非常に大切です。

一度発生したことは、自然体のままでは再び起こる可能性があります。

再発防止策を明確に示し、企業としての体質改善に努めていることをアピールして取引先や顧客からの信頼を回復しましょう。

テレワーク(リモートワーク)に必須の個人情報漏洩対策

テレワークの導入にあたっては、社員個人の自宅にあるインターネット環境とPCを使用して業務を行う方法や、ノートPCを各社員に貸与し、自宅などで業務を行う方法などがあります。

その際には、様々な観点から個人情報漏洩対策をとる必要があります。

テレワークとは

「遠く」を表す「テレ(tele)」と、働くを意味する「ワーク(work)」を掛け合わせた造語がテレワークです。

つまりテレワークとは、情報通信技術を駆使した、時間や場所にとらわれない働き方のことで在宅勤務や、外出先で業務を行うことを言います。

1. 暗号化

暗号化とは、データに対して一定の処理を行うことにより、別のデータに置き換える処理のことを言います。

暗号化した情報にカギをかけておくことで、特定の人のみが暗号化されたデータを元に戻すことを可能にするのです。

暗号化をすることで、ノートPCの置き忘れや紛失によって第三者の手にパソコンやUSBが渡った場合や万が一データが流出した時にも中身を読み取られる可能性が減ります。

2.無線LANの利用を禁止する

テレワーク実施の際には、会社外における無線LAN(Wi-Fi)の使用について注意しなくてはいけません。

公共の無料無線LANなどにおいてはセキュリティが不十分なものも多く、情報が傍受により筒抜けになってしまうことも考えられるのです。

情報管理に万全を期すのであれば、無線LANの利用は原則禁止にすべきでしょう。

3.VPNを利用する

テレワークにおける情報管理には、VPNの活用も有効です。

VPNとは、「Virtual Private Network」の略であり、「仮想専用回線」を意味します。

インターネット上に専用線を用意し特定の人のみが利用できるようにすることで、より安全な環境で情報のやり取りをすることができるのです。

社員個人のインターネット環境やPCを利用してのテレワークにおいては、VPNの利用が推奨されています。

4. 個人情報検索・管理ソフトを導入する

PCやサーバ内にある個人情報を含むファイルをリアルタイムで検索し、管理できるソフトもあります。

検索した個人情報ファイルは、保管用フォルダに移動したり、自動的に暗号化・削除するなどの設定も可能。

個人情報ファイルを開く、保存(コピー)、転送するなどの操作が行われた場合に、管理者に通知することもでき、個人情報管理を徹底できます。

PCFILTER


画像出典元:PCFILTER 公式HP

特徴

PCFILTERでは、独自の高速検索技術により、通常の作業に影響を与えることなく、マイナンバー、クレジットカード番号などの個人情報のほか、任意設定の文字列が含まれたファイルの検索が可能

あらかじめ設定した警告条件に応じて管理者にアラートが届くため、管理者が業務の優先順位をみて管理でき業務の負担にもなりません。

資料請求リストに追加する 

 

まとめ

個人情報の漏洩には様々な原因があり、過去の事例も参考にしてそれぞれの原因に合った防止策を検討する必要があります。

万が一個人情報漏洩が発生してしまった場合の対応策についても事前に確立しておき、万全の態勢で事業活動を継続していただけたら幸いです。

画像出典元:Burst

最新の記事

ページトップへ