即刻対策!情報漏洩の被害を最小限に抑えて身を守る方法

  • このエントリーをはてなブックマークに追加

情報漏洩事件が連日のように報道され、対策を練らなければと焦っている企業の担当者さんもいらっしゃるでしょう。特に個人情報については被害額や社会的影響が甚大であるため、万全の対策で臨まなければ取り返しのつかない事件に発展する可能性が大いにあります。この記事にアクセスしている人の中には、情報漏洩の不安がある、あるいはすでに情報漏洩が発生してしまったという緊急事態に直面しているかもしれません。

そんな人は、この記事を読めば安心です。情報漏洩を防ぐ対策を、主な発生源である人的要因によるものを中心に、要点をしぼってまとめました。

もし万が一、実際に情報漏洩が起こった際には、どんなワークフローで行動すべきかも解説します。適切に対応することで被害を最小限に食い止められるので、ぜひ参考にしてください。

1.情報漏洩から企業を守る!今日からできる3大対策

1-1.社員に対するけん制と抑止

1-1-1.情報漏洩の大半が人災であると認識する

情報漏洩は、外部からの悪意ある攻撃(ウイルス、不正アクセスなど)によって発生する割合は少なく、内部の人的理由が約8割にものぼります。情報漏洩に対する認識不足や不注意、ルールの形骸化などが、事件の発生源となるのです。

leak07

1-1-2.データ送信での凡ミスを防止

社員が引き起こす情報漏洩でもっとも割合が高いのは、メールやファックスなどの誤送信です。誤送信防止にはさまざまな策が考えられますが、操作の手順づくりとその遵守が単純ながらも効果的です。

1-1-3.公言、おしゃべりの危険性を知る

情報はデータとして漏洩するだけではありません。社員が会社外で交わす会話から、漏洩することもあるのです。不特定多数の人が集まり、かつ仕事の話をしがちな場所としては、喫煙所や電車、喫茶店や居酒屋などがあげられます。またtwitterやfacebookなどのSNSも、本質的には同様です。こうした場所で重要事項を話すことの危険性を、社員で理解する必要があります。

1-1-4.情報を扱うことの重要性、公共性を再度理解する

顧客の個人情報を預かることの社会的責任を、あらためてスタッフ間で共有しましょう。情報そのものに形はありませんが、無形の資産、財産を取り扱っているという意識を持つべきです。

1-2.データ管理の徹底

1-2-1.データ持ち出しの制限

情報漏洩の主要因となるのが、ノートPCやUSBメモリなどの紛失・盗難です。これを防ぐためには、データの外部持ち出しに厳格なルールを設ける必要があります。また持ち出しを許可するにしても、そのデバイスやデータにパスワードやロックをかけるという二段構えでリスクを抑えることができます。

2011年10月、大阪府のある小学校において、児童の成績表を紛失する事件が起こりました。その一部は駅の周辺で拾われ戻ってきましたが、残りの大多数は発見されていません。

1-2-2.安易なデータ放置・破棄の禁止

たとえ会社内であっても、部外者が立ち入ることもあるのですから、データを安易に放置してはいけません。パソコンにはロックをかける、書類は見えるところに置かないなど、普段からのこころがけで対策できることはいくつもあります。またデータの破棄にも気を配る必要があります。書類はシュレッダーに、HDDはしかるべき手段で破棄するなど、です。

2008年1月、あるメーカーが廃棄したビジネスPCのハードディスクの一部が、中古品量販店に流出。資源リサイクル業者から誤って持ち出されたことにより発生しました。

1-2-3.暗号化によるデータの保護

顧客情報など重要なデータの暗号化を義務づけることで、データを紛失したり、盗まれたりしても、第三者が中身を見ることが実質的に不可能になります。

ただし暗号化したものを復元するためにはパスワードが必要なので、パスワードの管理は確実に行う必要があります。パスワードも盗まれれば暗号化の意味がありませんし、パスワードを紛失してしまえばファイルを開けなくなってしまいます。

1-3.PCやネットワークのセキュリティ対策

ヒューマンエラーに比べて原因となる割合が小さいとはいえ、外部からの悪意ある攻撃によってPCやサーバーが侵され、情報漏洩してしまうケースもあります。これを防ぐには、まずセキュリティソフトでの防御や、OSやソフトを最新版に更新することが重要です。

これに加えて、自社の内側から起こり得るマルウェアへの感染にも注意します。USBメモリなどのデバイスでデータを持ち込む際や、PCにアプリケーションをインストールする際にスパイウェアに感染する可能性もあるので、不用意な行動は制限するべきです。

2.情報漏洩が本当に発生したらすぐ行うべきワークフロー

2-1.まず事実確認を行う!

まず漏洩してしまった情報と、その被害状況を確認します。個人情報だった場合は、個人情報保護法に準拠する問題ということもあり、特別に対応を急ぐ必要があります。その他の場合は、公共性の高い情報なのか、企業の一般情報なのかによって、対処法を判断します。

なお、事実確認にかかわるすべては、対策本部を設置して一元管理するのが原則です。また外部との連絡窓口を設ける際も一本化します。

leak01

2-2.流出した情報を整理する

どんな情報が流出したかを整理しなければいけません。情報により対応策が異なるからです。

2-2-1.もっとも高リスクで被害も大きい「個人情報」

住所・氏名などの個人情報なのか、クレジットカード番号のようなすぐにでも悪用されるリスクがあるものなのか、正確な情報を確認します。後者の場合は経済的な実害が発生しうるので、より一層の迅速な対応が求められます。

2-2-2. 社会的責任の大きい「公共性の高い情報」

社会の重要なサービスや、安全に関する情報かどうかを確認します。これらに該当する場合は、すばやく世間に公表しなければなりません。

2-2-3. 企業としての対応を求められる「企業の一般情報」

取引先等の情報であれば秘密保持契約(NDA契約)を交わしているものかどうか、また自社の情報であれば社外秘かどうかを確認し、その重要さや影響を勘案したうえで行動します。また、相手の意向に沿った対応を行います。

2-3.漏洩継続の阻止

ネットワークの遮断、情報の隔離、サービス停止など、情報漏洩の発生源をシャットダウンします。これにより被害拡大と、新たな二次被害の発生を防止します。

2-3-1.サーバーやパソコンへの不正アクセスが考えられる場合

情報が管理されているサーバーやPCへの不正アクセスが疑われる場合は、まずネットワークから物理的に遮断します。また漏洩した可能性のある情報を、安全な環境の元へ移すことで、第二第三の不正アクセスを空振りさせます。

2-3-2.Webサイトからの漏洩が考えられる場合

Web改ざんの可能性、管理方法やサイトの脆弱性に問題があると考えられる場合は、サイトおよびサービスそのものを停止させます。

2-4.事実の公表と謝罪

個人情報や公共性の高い情報の場合は、どんな内容が、どのような規模で漏洩したのか? 対処方法や考えられるリスクは何か? といった事項を、ホームページやマスコミを通して公表します。同時に被害者への個別対応が可能であれば、速やかにお詫びの連絡をします。ここでの誠意ある行動が、経済的な損失や信用の失墜を防ぐことになります。

leak02

2-5.問い合わせ窓口の設置

被害者からの問い合わせ、苦情対策として、専用のホットラインを用意するなどが一般的です。回線はフリーダイヤルとし、電話対応時間も明記することで、無用なトラブルの発生を防ぐことができます。

2014年7月、ある教育関係企業が最大2070万件におよぶ顧客情報が流出したと発表しました。同社は専用の対策本部を設置し、専用ダイヤルを設けて対応しています。

2-6.原因究明

情報漏洩が起きてしまった、その事実関係の裏付けや証拠などを調査します。5W1H(いつ、だれが、どこで、なにを、なぜ、どのように)の観点で突き止めます。なお、原因が犯罪性のある不正アクセスや盗難であった場合は、警察へ届け出ます。

前述の教育関係企業は、「お客様情報の漏洩についてお詫びとご説明」というニュースリリースにて、原因究明調査の進め方について公表し、適宜情報開示を行うという姿勢を示しました。

2-7再発防止策の策定

究明された原因をもとに、事故発生時の対策の不備を検証し、その見直しと改善を行います。また必要に応じて、社内体制を整備します。こうした再犯防止策を公表し、二度と事件・事故を起こさないと表明することが、信頼回復につながります。

2013年3月、あるオンラインショップが不正アクセスにより情報漏洩を起こしました。ホームページ上で「今後の再犯防止策」としてクレジット決済に関する施策を公表することで、ユーザーの不安を払拭しています。

2-8.事後対応

被害者に対するお詫びや補償、損害賠償など、必要な措置を都度行っていきます。これらについても情報公開することで、社会的責任を果たします。

2011年4月に起きた、某電機メーカーが運営する大型ネットワークでの不正アクセスを原因とした情報漏洩事件。この事後対応として、同社は特設ページにて新たな安全管理体制や、顧客への補償内容を公表しました。

3.億単位になりうる個人情報漏洩の損害を知っておく

3-1.民事上の責任

個人情報の漏洩はプライバシー権の侵害にあたり、損害賠償の責任が生じます。あるいは訴訟へ発展する前に、お詫び金を支払う方法がとられることもあります。

3-1-1.自治体の住民基本台帳データ漏洩

1998年に関西地方の自治体で起こった住民基本台帳データ漏洩事件の裁判では、一人当たり1万5千円の損害賠償支払い命令が下されました(提訴者は3名)。個人情報漏洩では、初めての判例であり、これが以降の情報漏洩事件の裁判やお詫び金に大きく影響していると言われています。

3-1-2.コンビニエンスストアチェーンの個人情報漏洩

2003年、約56万人におよぶコンビニエンスストアチェーンのカード会員情報が漏洩した事件が起こり、運営会社は補償金500円の商品券を送付しました。一人当たりの補償金が小さくても、送付コストを含めて総額は5億円以上かかりました。

3-2.刑事、行政上の責任

個人情報保護法の観点において、情報漏洩は安全管理義務違反、第三者提供違反などにあたります。この件に関する主務大臣からの命令にも違反した場合は、「6か月以下の懲役または30万円以下の罰金」という刑事罰が科せられることになります。

3-3.法的責任とは関係なく発生するコスト

マスコミ会見や謝罪広告費、コールセンター等の人件費、調査費用、コンサルティング費用など、あらゆる面で費用がかかります。また、社会的信用やイメージが下がることに伴い、経営上の損失が生まれることも覚悟しなければなりません。

3-3-1. インターネットサービスプロバイダの顧客情報漏洩

2004年2月、あるインターネットサービスプロバイダ登録者の個人情報が約450万人分も漏洩する事件がありました。一人当たり500円の商品券が補償金として送付され、これを単純計算すれば約23億円となります。しかしこれ以外にもかかった費用を合わせると、被害総額は約100億円とのことでした。

4.まとめ

情報漏洩が起こってしまったときは、迅速に誠意ある対応をとることが、企業を守ることになります。特に情報の公開と謝罪は、タイミングを逸すると、信用を失うことになってしまいますので注意が必要だと言えます。

情報漏洩自体を完璧に防ぐことは簡単ではありませんが、起きてしまった際にとるべき行動は迷いなく実行できるはず。ここで解説したワークフローを、実際に行う目には遭いたくないものですが、いざ直面した時にしっかりと行動できるようシミュレートしておくのも、リスク管理の一つと言えるでしょう。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

  • このエントリーをはてなブックマークに追加
パソコンの動きが遅いと感じたら、
無料でウイルススキャンしてみませんか?
ノートンセキュリティ

あなたは現在、パソコンの動きが遅い、ソフトがすぐに落ちる、重要なデータが開けない、 などのおかしな症状に悩まされていませんか? 
近年、ネット犯罪が増加し、様々なトラブルが発生しています。「自分は大丈夫だろう」と対策を怠った結果、 知らないうちに、悪質なウイルスに感染してしまうことも少なくありません。

あなたのパソコンが安全かどうかを調べるもっとも確実な方法は、セキュリティソフトを使った『ウイルススキャン』です。この方法は、以下のようなメリットがあります。

  • ボタンひとつで、パソコン全体を簡単にスキャン
  • ファイルを隅々まで調べ、ウイルスを高確率で検出
  • 危険なウイルスを発見次第、そのまま駆除

現在、ノートンセキュリティでは、30日間無料で最新版がご利用いただけます。今すぐインストールして、ウイルススキャンをしてみてください。