情報漏えいの原因と対策　～個人情報・顧客情報の流出を防ぐために～｜お役立ち情報｜　情報セキュリティ対策に関するお役立ち情報｜企業の情報セキュリティ対策・ITシステム運用のＪＢＳＪＢサービス株式会社ＪＢサービス株式会社

情報漏えいに関するさまざまなニュースが報じられている昨今。

ひとたび情報漏えいが発生すると、どれくらいの損害賠償額が発生するかと1度は考えたことのある方も少なくないでしょう。

情報漏えいと聞くと、不正アクセスを始めとした外部からのサイバー攻撃を思い浮かべる方も多いかもしれませんが、実際に発生した情報漏えいの原因のうち不正アクセスが占める割合はわずか2割程度にとどまっています。では、不正アクセス以外の原因にはどのようなものがあるのでしょうか。

今回は、情報漏えいが起こる原因と、それを防ぐための対策についてご紹介します。

情報漏えいの主な原因

個人情報・顧客情報の流出などの情報漏えいは、どのようなことが原因で発生するのでしょうか。

メールは社内外問わず使える分、誤操作の影響も社内外へ渡る可能性があります。たとえばこのような誤操作によって、情報漏えいが発生しています。

＜例＞

宛先間違えによる情報漏えい
送信すべきファイルの選択ミス
本来BCCに入れるべきメールアドレスをToやCCに入れてしまい、メール受信者に全員分のメールアドレスが漏れるBCCで送信すべきメールアドレスをTo、またはCCに入れてしまう事によるメールアドレスの漏えい

PCや記録媒体、書類を失くしたり、置き忘れたりすることが情報漏えいにつながるケースもあります。

＜例＞

情報漏えい発生件数は全体の2割ほどではあるものの、漏えいの規模が拡大しがちなのが不正アクセスやマルウェア感染による情報漏えいです。

＜例＞

情報漏えいの発生を防ぐためには、下記のような対策が考えられます。

メールの誤送信に対しては、「メール誤送信防止システム」を導入するのも一手です。

「メール誤送信防止システム」には、メール送信時にアドレスが適切かどうかを判断する機能や送信先を制限する機能、第三者が承認の上送信するなどの仕組みがあります。

端末を社外へ持ち出すときはルールを定め、社員・関係者に徹底して遵守させるようにしましょう。

ただし、ルールを複雑にすると社員や関係者は煩雑さを覚え、ひいてはルールそのものが形骸化してしまう可能性もあります。

効果と遵守の両面でルールを考えることが肝要です。

ECサイトなどオンラインショッピング事業や会員制Webサイトの運営、Web経由で他社へサービスを提供している組織の場合はWAFの導入もおすすめします。

Webアプリケーションの脆弱性を悪用した攻撃に対処するためのWAF（Web Application Firewall）というシステムがあります。

かつてWAFの導入・運用は専門知識が必須でハードルが高いものでしたが、最近はクラウド型が登場し、コスト・人的負荷の両面が改善されています。

万が一情報漏えいが発生した場合、報告を受けた情報システム部門はどのような対応を取れば良いのでしょうか。

情報漏えい発生時に取るべき対応を、順を追って見ていきましょう。

二次被害を防ぐ
まずは二次被害防止のための初動対応をします。たとえば端末がマルウェアに感染したのであればネットワークから隔離する、といったことです。
状況整理
いつ、誰が、どこでなど5W1Hで状況を整理します。もし端末の紛失が起こったのであれば、端末の製造番号などを調査し、控えておきます。
連絡・公表
漏えいした情報の重要度によって、取引先への連絡やマスコミへの公表が必要となります。金銭の要求など犯罪性がある場合は警察へ届け出ることも検討したいところです。これらの対応については情報システム部門が単独で判断をするのではなく、総務部や法務部などと連携して対応を協議します。
システムの復旧
被害拡大を防止し、システムを復旧するための措置を行います。漏えいした情報によっては専用の相談窓口も設置も必要です。

今回は、情報漏えいの原因と対策などをご紹介しました。

メールの誤送信やノートPCの紛失などのヒューマンエラーや、悪意の第三者によるWebサイトへの不正アクセスなどの原因によって、多くの情報漏えいが発生しています。

特に、不正アクセスによる情報漏えいは1件あたりの流出個人情報件数が多い傾向にあり被害が大規模になるケースが多いため、社会的な影響も大きくなります。

情報漏えい対策として、まずはルールの見直しをしてみてはいかがでしょうか。

また、オンラインショッピング事業や会員制Webサイトの運営、Web経由で他社へサービスを提供している場合は、WAFの導入などのWebサイトセキュリティの強化を検討されてみてはいかがでしょうか。