誰にでも起こり得る個人情報漏洩の的確な予防と対策まとめ

  • このエントリーをはてなブックマークに追加

個人情報漏洩のニュースが非常に多く流れるようになり、情報を扱うためのリスク管理に不安を抱いていませんか?

個人情報の漏洩は、どんな個人・組織でも起こる可能性があり、今すぐに対策すべき問題と言えます。というのも、個人情報が一度外部に流出してしまうと、それが拡散してさらに大きな被害を引き起こしかねないからです。また組織が引き起こす個人情報の漏洩は、組織自体に非常に大きなダメージを与えます。

ここでは個人と組織に分けて、個人情報漏洩に対する予防・対策が万全なものであるかどうかをチェックしていきます。また、情報漏洩によって想定される損害や情報漏洩を引き起こす要因のほか、実際に起こった情報漏洩事件も取り上げていきます。個人情報漏洩対策の一環として、この機会に知識をしっかりと身につけましょう。

1.個人が情報漏洩を防ぐための8ヵ条

普段あなたが気づかないうちにNG行動をしていないか、ここでチェックしてみましょう。以下に挙げた行動を取っていませんか? 1つでも該当する場合、あなたの大事な個人情報が危険にさらされている可能性大。個人情報漏洩につながる要因は1つ残らず対策していきましょう。

1-1.電子メールやFAXを送る前に宛先を確認していない

電子メールやFAXの送り先を間違えたまま送ってしまうと、まったく知らない人に情報が漏洩してしまいます。送る際には必ず宛先を確認するクセをつけましょう。

1-2.個人情報が含まれている書類をシュレッダーなどで廃棄していない

個人情報が記載された書類などをそのままゴミ箱に捨てるのはNGです。ゴミとして捨てられた書類から個人情報が漏洩する危険性があります。

1-3.職場から個人情報を持ち出している

原則的に、個人情報や業務情報をUSBメモリなどの記録媒体に保存し、職場から勝手に持ち出すべきではありません。記録媒体を紛失や盗難によって持ち出した情報が漏洩する可能性があります。個人情報の持ち出しは、職場のルールに従った手順であってもできれば避けるべきです。

1-4.安全確認の取れていないWebサイト上で個人情報を入力

インターネット上には金融機関やオークションサイト、SNSサイトを装ったフィッシングサイトが存在するため、個人情報を入力する際は細心の注意が必要です。偽のサイトに誘導され、そこでID・パスワードなどを入力してしまうと、情報漏洩を引き起こす可能性があります。

1-5.定期的にパスワードを変更していない

各種サービスの利用で必要となるパスワードですが、単純なものを設定するのはNG。第三者に容易に推測されて盗まれ、さらには悪用される可能性もあるため、複雑なものに設定するとともに定期的に変更しなければなりません。

また、職場などで離席するときはパソコンにパスワードロックをかけることも忘れないようにしましょう。

1-6.ファイル共有ソフトを利用している

個人情報が入っているパソコンでWinnyやShare、BitTorrent、Perfect Darkといったファイル共有ソフトを利用すると、ウイルスに感染することがあり、実際にそういった事件も起きています。

また、誤操作によっても情報漏洩が発生する可能性があるため、ファイル交換ソフトは利用しないのが賢明です。

1-7.セキュリティソフトを導入・更新していない

セキュリティソフトを導入していなければ、当然悪意のあるプログラムの被害に遭うリスクが高まります。IDやパスワード、クレジットカード番号等の情報が盗まれ、金銭的被害を受ける場合も。さらに、感染したパソコンから他人のパソコンに被害が拡大するなど、自分が加害者になることもあり得ます。

またセキュリティソフトを導入していたとしても、常に最新の状態に更新しておかないと新種のウイルスに対応できない場合もあるので注意しましょう。

1-8.公共の場で個人情報を含む会話をする

電車やバス、エレベーター、レストラン、飲食店など、不特定多数の人が集まる公共の場で個人情報を含んだ会話をすると、そこから情報が漏洩する危険性があります。会話に暗号はかけられないため、個人情報を漏らさないよう常に意識することが大切です。

携帯電話での会話は周囲への注意が散漫になりがちなので、特に気をつけなければなりません。

2.企業・組織が個人情報漏洩を防ぐための6ヵ条

こちらは個人情報を保有&管理する側の企業・組織の方が、個人情報漏洩に対する予防・対策状況をチェックする項目になっています。

企業から個人情報が漏洩した場合、当然ながらその組織の信用や信頼は大きく失われます。1つでも該当した場合は、早急に改善しなければなりません。

2-1.個人情報漏洩への取り組みを行っていない

このご時世に個人情報漏洩に対する取り組みを行っていない企業・組織はもってのほかです。早急に経営者層が主導で推進しなければなりません。内部にセキュリティポリシーや実施要領などをしっかりと明示し、それに沿った対策を実施しましょう。

それと同時にすべての従業員に対する定期的な教育も必須です。個人情報漏洩は他人事ではなく、自分(自社)が起こしてしまう可能性があることを意識づけることが重要です。

2-2.守秘義務に関する書面を取り交わしていない

業務上知り得た情報を口外しないといったことは、個人情報を取り扱う一般的な社会人としてのモラルですが、それを守れない人が少なからずいるのも事実です。個人情報を守るために従業員とは必ず守秘義務契約を結びましょう。

2-3.Webサイトやソフトの脆弱性対策を実施していない

運営しているWebサイトにセキュリティ上の問題点=脆弱性があると、それを悪用して攻撃され、企業・組織内の大事な情報を盗まれかねません。またOSやソフトも同様に脆弱性が発見される場合があり、情報漏洩の起点となりえます。必要に応じて脆弱性対策はしっか行わなければなりません。

特に気をつけたいのが、WordPressなどオープンソース(プログラムの仕組みが公開されていること)のCMSです。あるバージョンに脆弱性が見つかると、それを突いてサイトにマルウェアが埋め込まれるケースがあります。この状態を許してしまうと、サイトにアクセスした訪問者がマルウェア感染する可能性があるため、CMSの最新バージョンが公開されたらすぐにアップデートしたほうがよいでしょう。

2-4.個人情報に対するアクセス制限を行っていない

個人情報に誰でもアクセスできてしまう環境は非常に危険です。情報漏洩のリスクを抑えるためにも、限られた従業員が必要最小限の情報にのみアクセスできる環境にしておくのが理想です。

2-5.従業員が自由にソフトをインストールできる

業務用パソコンにおいては、インストールできるソフトを制限しておかないと、安全性が確認できていないソフトがインストールされた場合、それが原因で情報が漏洩する可能性があります。業務上、必要なソフトのみをインストールできる仕組みがベストです。

また、セキュリティ確保のためにも私用パソコンと業務用パソコンは明確に区分し、目的外利用を防ぎましょう。

2-6.セキュリティ事故発生時の対応手順が明確でない

セキュリティ関連の事故が発生した際に、企業・組織として適切な対応を行うためには、事前に対応手順を検討しておく必要があります。緊急時の連絡先や組織の体制については、日ごろから調整しておくべきです。

またノートPCなどはディスクそのものを暗号化しておくことにより、盗難や紛失が発生してもデータが見られることはありません。

3.個人情報漏洩によって想定される損害は甚大!

3-1.個人情報の漏洩が生じた本人の場合

個人情報が外部に漏洩した場合、情報元となった本人には様々なリスクが発生します。

特に、個人情報がインターネット上に流出すると、その情報が悪用され、以下のように様々な損害を受ける可能性が考えられます。

3-1-1.迷惑メールやDMが増える

氏名や住所、電話番号、メールアドレス等が情報漏洩で不正流出することにより、迷惑メールやDM、電話による勧誘などが頻繁に行われる可能性があります。

迷惑メールの対策については、『迷惑メールの対処法|すぐに確認したい事と今後の対策方法』や『迷惑メール断固拒否!携帯3キャリア&PCの簡単設定法』で詳しくまとめられています。迷惑メールでお悩みの方は今すぐ対策しましょう。

3-1-2.Webサービスのアカウントが乗っ取られる

会員登録をしているWebサービスが個人情報漏洩事件を起こし、あなたのID・パスワードが流出したとしましょう。もし、あなたが他のサービスでもそのID・パスワードを使っているとしたら、悪意のある第三者が流出したID・PASSを使って不正ログインするかもしれません。ログインさえしてしまえば、そのサービス内でできることは第三者であってもほぼ全て利用できてしまうのです。

3-1-3.クレジットカードが不正に使用される

あなたのクレジットカード番号・セキュリティコード・有効期限・誕生日・名義人を含んだ個人情報が流出した場合は非常に危険です。これらの情報を入手した人物はインターネット上で容易に買い物ができてしまいます。

ただし、通常クレジットカードの契約には不正使用についての保険がついているため、その金額を支払うケースはほぼありません。

3-1-4.詐欺被害に巻き込まれる可能性も

たとえば年齢・性別・実家の電話番号が流出した場合、振り込め詐欺の被害に遭うことがあります。また商品の購入履歴などの情報から、それを利用した詐欺や架空請求に発展する危険性もあります。漏洩した情報の内容によっては、詐欺師に狙われる可能性が相対的に高くなるということです。

なお、最近では個人情報漏洩事件を逆手に取り、公的機関の関係者を装って個人情報の削除を持ちかけ、金銭をだまし取ろうとする詐欺が急増しています。

3-2.個人情報漏洩事件を起こした企業・組織の場合

個人情報漏洩によって損害を受けるのは、情報元になった本人だけではありません。むしろ、個人情報漏洩事件を起こした企業や組織が、とてつもく大きな代償を払う場合も多くあります。

被害者への謝罪費用、原因調査費用といったコスト面だけではなく、社会的信用やブランドイメージの低下など、そのダメージは計り知れません。

3-2-1.原因の調査・対応によって生じる損失

情報漏洩が起きてしまった場合、その事実関係の裏付けや証拠などを調査しなければなりません。調査費はもちろん、マスコミ会見や謝罪広告費、クレーム処理における人件費、コンサルティング費用など、あらゆる面で相当の時間とコストを要します。

3-2-2.民事・刑事上の責任によって生じる損失

個人情報漏洩はプライバシー権の侵害にあたり、損害賠償の責任が生じるため、被害者から慰謝料などの損害賠償を請求される可能性があります。ただし、これまでには訴訟へ発展する前にお詫び金を支払う方法がとられたケースが多くありました。その額は事件の規模にもよりますが、億単位という巨額の負担になることも。

また、個人情報保護法の観点において、情報漏洩は安全管理義務違反、第三者提供違反などにあたり、「6か月以下の懲役または30万円以下の罰金」という刑事罰が科せられることになります。

3-2-3.経営上の損失

民事上の責任を含めた費用だけでなく、社会的信用の失墜や企業イメージのダウン、風評による経営上の損失も発生します。そこから派生して従業員の士気や社内のモチベーションが低下すると、生産性は上がらずに業績は下がり、挙句は優秀な人材が流出することも考えられます。

個人情報漏洩は、企業・組織の存続を脅かす大きな脅威と言えるでしょう。

4.個人情報漏洩を引き起こす要因

個人情報漏洩の約8割はヒューマンエラーによるものです。その他、内部関係者によるものや、外部からの悪意ある攻撃によるものもあります。

001
NPO 日本ネットワークセキュリティ協会調べ

4-1.誤操作

メールやFAX等の通信手段で、宛先あるいは内容、添付ファイルを間違える、操作ミスするといったケースが情報漏洩の主な原因となっています。残念ながら、メールやFAXの送信は人間が行う以上、ミスを100%防ぐことはできません。しかし、個人の心掛けや行動でミスの発生割合を下げることはできます。

また企業・組織としては、ルールを明確化したりシステムを導入したりすることで、対策することも可能です。

≪メール送信ミスを防ぐための取り組み≫

▼個人で対策できること

  • メール作成後、宛先、CC、BCCを確認
  • 送信前に内容、添付ファイルを確認
  • 複数人で宛先、内容、添付ファイルを確認
  • 上司へのCCやBCCを義務づける

▼企業・組織で対策できること

  • メールを暗号化
  • 自動送受信を禁止
  • 個人情報を含むメールの禁止
  • 添付ファイルの容量を制限
  • 誤送信と気づいた後にでも対応できるようにメーラーを設定
  • 誤送信対策のソフトやサービス、システムを導入

≪FAX送信ミスを防ぐための取り組み≫

▼個人で対策できること

  • 送信先を必ず再確認する
  • 送信時には複数人で送信先、内容を確認する

▼企業・組織で対策できること

  • 短縮ダイヤルを義務づける(番号入力での送信を禁止)
  • 使用は許可制とする

4-2.管理ミス

情報管理のルールがあるにもかかわらず、それを守ることができなかったというケースがこれにあたります。もしくは管理ルール自体の不備も考えられます。

たとえばオフィスの移転後に個人情報の行方がわからなくなってしまったり、受け取ったはずの個人情報を紛失してしまったりする場合などです。また、書類の誤破棄などもこれに含まれるもので、特に金融業や保険業を代表とする大量の情報書類を抱えている業種で起こる割合が高いという特徴がありま す。

≪管理ミスを防ぐための取り組み≫

  • 情報管理ルールを徹底する
  • 保管期限の設定と明記
  • 廃棄方法の明確化
  • 廃棄の記録を残す

4-3.紛失・置き忘れ・盗難

情報機器やデータを外部に持ち出し、紛失・置き忘れしてしまうケースも、高い割合で発生しています。特に紙媒体の事例が多く、次いでUSBメモリなどの記録媒体、パソコン本体の順となっています。

また、車上荒らしや事務所荒らしなどにより、情報機器とともに機密情報が盗難されるケースもあります。

≪紛失・置き忘れ・盗難を防ぐための取り組み≫

  • データの持ち出しに厳格なルールを設ける
  • デバイスやデータにパスワードやロックをかける
  • 持ち出すデータの暗号化を義務づける
  • 機密情報を保持する機器は肌身離さない
  • 盗難防止グッズを利用する

4-4.内部関係者による意図的な情報漏洩

個人情報および機密データを本来の目的以外(転売、報復など)で利用・流用するために、内部関係者が意図的に外部へ持ち出したり外部に公開したりするケースがあります。その方法は、データをUSBメモリなどにコピーして持ち帰る、個人情報が記載された書類をそのまま持ち帰る、ネットワークを通じて流出させる…などさまざまです。

≪内部不正を防ぐための取り組み≫

  • 重要な情報にはアクセス権限を付与する
  • アクセス権限を持つ従業員を限定する
  • データの持ち出しや持ち込みを監視
  • 情報機器や記憶媒体の管理を厳格化
  • アクセス履歴や操作履歴の定期的な監視と監査
  • 職場環境や処遇を見直す

4-5.外部からの悪意ある攻撃

割合は低いですが、外部からの不正なアクセスによって個人情報が盗み取られることもあります。また、パソコンがウイルスに感染することで、内部の情報がネットワーク上に公開されてしまい、インターネット経由で流出に至るケースも存在します。

≪外部からの悪意ある攻撃を防ぐための取り組み≫

  • セキュリティソフトを導入する
  • ファイアウォールを活用する
  • サーバーのログを取得・監視する
  • OSやソフトを最新の状態に保つ
  • ファイルの共有設定を最小限にする
  • ファイル共有ソフトは利用しない

5.個人情報漏洩を引き起こしてしまった場合の対処法

5-1.個人が情報漏洩してしまった場合

5-1-1.Web上のログインパスワードを変更する

Gmail、Twitter、Facebook、amazon、Dropbox、ネットバンキングなど、IDとパスワードでログインするインターネット上のサービスは、パスワードを変更することで、流出した情報を元にした不正ログインを防ぐことができます。

ただしすでに第三者がすでに不正ログインしているケースも考えられます。この場合、サービスに接続している見覚えのないアカウントを強制的に接続解除しましょう。

画像でわかる。ドロップボックスのセキュリティ対策方法』で、アカウントへの不正アクセスと、その解除法法を解説しています。

5-1-2.迷惑メール設定を見直す

個人情報が流出したことにより、迷惑メールが急増する可能性もあります。実際にそういった状況になった時点で、あわてずに迷惑メールへの対策をしてください。

迷惑メール断固拒否!携帯3キャリア&PCの簡単設定法』で、スマホ・PC、携帯それぞれの迷惑メール設定を解説しています。

5-1-3.カード、銀行などを必要に応じて停止

クレジットカードや銀行の口座が不正利用される可能性があるなら、それぞれのサポートセンターに連絡して使用停止などの措置をとってもらいましょう。

5-1-4.知人や家族に連絡

流出した個人情報が詐欺に使われる可能性があるため、知人や家族にあらかじめ連絡しておくことで、実際の被害に発展することを防止できます。

5-2.企業・組織が情報漏洩してしまった場合

会社などが顧客の情報を漏洩してしまった場合、迅速かつ的確な対応をすることで、被害の拡大や信頼の失墜をある程度食い止められます。

以下は情報漏洩後の対応の流れの一例です。

  1. 事実確認を行う
  2. どんな情報が流出したか整理
  3. 漏洩継続の阻止
  4. 事実を公表し謝罪
  5. 問い合わせ窓口の設置
  6. 原因究明
  7. 再発防止対策を策定
  8. 事後対応

即刻対策!情報漏洩の被害を最小限に抑えて身を守る方法』にて、情報漏洩後組織がとるべき対応について詳しく解説しています。

6.日本国内で起こった個人情報漏洩の例

ここでは、ごく身近でも起こり得る人的ミスや不正アクセスによる個人情報漏洩のケースを取り上げ、それぞれを詳しく見ていきます。

6-1.メールマガジンの誤配信により漏洩が発生した事例

【通信系企業】

≪概要≫
2014年12月、ある通信系企業はメールマガジンの誤配信で、顧客の個人情報を流出したことを公表しました。

12月4日に配信したメールマガジンにおいて、本来受信するはずの顧客宛のメールが、他の顧客に送信される誤配信が発生。配信件数は16万4650件で、他の顧客の法人名または名字(姓)、ドメイン名、会員IDなどが誤配信されました。

≪原因≫
メール配信を行うための対象リストの生成における作業工程で、人的ミスにより送信先メールアドレスと掲載情報の組み合わせに相違が発生しました。チェック作業はあったものの、その際に発見できなかったとのことです。

6-2.従業員による個人情報の売却が原因となった事例

【寝具販売会社】

≪概要≫
2014年10月、ある寝具販売会社は、同社従業員が顧客の個人情報を第三者に売却していたことを公表しました。流出の可能性があるのは氏名、住所、電話番号、年齢、購入商品名などの購入情報。

≪原因≫
同社従業員による個人情報の売却が原因でした。同従業員は2012年1月~2014年6月ごろまでの間、顧客情報を数回にわたって第三者に売却。個人情報が流出した人数は約100名とされています。同従業員が入社して以降に取引のあった顧客数は約540人にのぼり、対象となる顧客の特定には至っていないようです。

6-3.外部からの悪意ある不正ログインが原因となった事例

【インターネットサービス会社】

≪概要≫
2014年11月、あるインターネットサービス会社は、同社で運営するアプリ開発者向けレビュー申請サイトにおいて不正ログインが発生し、アプリ開発者の情報が不正に取得された可能性があることを公表しました。

漏洩したのは、同サービスに登録している個人や法人のアプリ開発者2821人分の氏名、会社名、住所、電話番号、メールアドレスなど。

≪原因≫
11月21日に発生した不正ログインにより、同サービスに登録している個人や法人のアプリ開発者2821人分の氏名や会社名、住所、電話番号、メールアドレスなどが取得された可能性があるとしています。

上記の事例は氷山の一角であり、小さなものを含めればかなりの数の個人情報漏洩事件が発生しています。『16の事例から学ぶ情報漏洩の全て|怖さや原因、対応策まで』では、その他の事例も詳しく解説されていますので参考にしましょう。

7.まとめ

個人情報漏洩の多くは企業・組織内で発生するヒューマンエラーであり、人災と言っても過言ではありません。つまり、個人情報漏洩対策でもっとも有効なのは、人への対策を徹底することであると言えるわけです。日頃から個人情報漏洩を誘発する要因は一切排除しておくとともに、いかなる状況においても漏洩を防止できる対策を用意しておくことが大切です。

ただし、個人情報の紛失や盗難に関しては不可抗力的な側面もあり、いくら対策を講じていても100%防ぐことはできない、ということも理解しておきましょう。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

  • このエントリーをはてなブックマークに追加
パソコンの動きが遅いと感じたら、
無料でウイルススキャンしてみませんか?
ノートンセキュリティ

あなたは現在、パソコンの動きが遅い、ソフトがすぐに落ちる、重要なデータが開けない、 などのおかしな症状に悩まされていませんか? 
近年、ネット犯罪が増加し、様々なトラブルが発生しています。「自分は大丈夫だろう」と対策を怠った結果、 知らないうちに、悪質なウイルスに感染してしまうことも少なくありません。

あなたのパソコンが安全かどうかを調べるもっとも確実な方法は、セキュリティソフトを使った『ウイルススキャン』です。この方法は、以下のようなメリットがあります。

  • ボタンひとつで、パソコン全体を簡単にスキャン
  • ファイルを隅々まで調べ、ウイルスを高確率で検出
  • 危険なウイルスを発見次第、そのまま駆除

現在、ノートンセキュリティでは、30日間無料で最新版がご利用いただけます。今すぐインストールして、ウイルススキャンをしてみてください。