連日ニュースを騒がせる企業や機関の情報漏えい事故。インターネットが普及した現在、企業が抱える個人情報を狙ったサイバー攻撃はますます巧妙化しており、大企業のみならず中小企業、さらには公的機関が情報漏えいの被害に遭うケースも増えてきています。
そこで今回は、近年発生した情報漏えいの事例も交えつつ、情報漏えいの危険性や、セキュリティ対策の基本的なポイントについてご紹介していきます。
目次
後を絶たない情報漏えい事故・事件
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が2018年6月15日に発表した「2017年 情報セキュリティインシデントに関する調査報告書(速報版)」によれば、2017年に起こった個人情報の漏えい件数は519万人、想定損害賠償総額は1,914億2,742万円にのぼることが報告されました。また、情報漏えい事故(インシデント)1件あたりの平均損害賠償額は5億4,850万円と推定されており、情報漏えいが発生すると多大な賠償が必要になることがわかります。
さらに、情報漏えいが発生した場合には金銭的な影響だけにとどまりません。今まで積み重ねてきた取引先や顧客からの信用を失うことになり、今後の経営に非常に大きな悪影響を及ぼすことは言うまでもありません。
参照:NPO日本ネットワークセキュリティ協会 報告書・公開資料
大企業による情報漏えいの事例も多数
これだけ大きな被害をもたらす情報漏えいですが、人的ミスやサイバー攻撃によって情報漏えいしてしまう企業は後を絶ちません。ここでは、近年発生した大企業による情報漏えい事故・事件の事例をご紹介していきます。
【ホテル・レジャー事業P社】12万件以上の個人情報流出
2018年6月26日、ホテル・レジャー事業大手のP社が運営する外国語ウェブサイトへの不正アクセスにより、12万4,963件の個人情報が流出したことが明らかになりました。このうち6万6,960件には、クレジットカード情報が含まれていたことが発覚しています。
【乳製品メーカーM社】9万件以上の個人情報漏えい
2018年5月9日、乳製品メーカーM社が運営する通販サイトが脆弱性を悪用した不正アクセスを受け、サイト利用者の個人情報9万件以上が漏洩したことが明らかになりました。漏洩した情報のなかには、サイト利用時に登録したクレジットカード情報も含まれています。
【自動車メーカーP社】顧客情報3万1,574件が漏えい
2018年2月26日、自動車メーカーP社の日本法人が自社データベースへの不正アクセスを受け、過去にカタログ請求やキャンペーン登録を行った利用者の顧客情報が流出しました。当初、流出した個人情報は2万8,722件とされていましたが、その後の調査によって3万1,574件にのぼることが判明しました。
【インターネット関連事業G社】9万件弱の個人情報流出
2018年1月26日、インターネット関連事業を展開するG社が運営するECサイト作成サービスが不正アクセスを受け、同サービスを利用しているECサイトオーナーや利用者の個人情報8万9,546件が流出しました。
また、同グループ会社においても、2017年10月30日には不正アクセスによって個人情報1万4,612件、2017年2月16日には元従業員が3万2,800件の個人情報を不正に持ち出したことが話題となりました。
【旅行業H社】最大1万1,975件の顧客情報流出
2017年8月22日、旅行業H社が提供する国内バスツアーの予約者の個人情報が最大1万1,975件流出しました。情報が流出したのはいずれもサイトからの予約者で、サイトリニューアル時のデータ移行作業に不備があり、不正アクセスによるダウンロードが原因とされています。
大企業はもちろん、中小企業も注意が必要
上述した情報漏えい事例はいずれも知名度の高い大企業ですが、「中小企業だから関係ない」と楽観視するのは非常に危険です。近年では、中小企業においてもセキュリティ対策が必要不可欠になっているのです。では、その理由について確認していきましょう。
中小企業がサイバー攻撃の対象に
独立行政法人 情報処理推進機構(IPA)の「2016年度中小企業における情報セキュリティ対策の実態調査報告書」では、組織規模が小さいほどセキュリティ対策が不十分な傾向にあると報告されています。そして、セキュリティ対策が不十分な中小企業ほど、サイバー攻撃の対象となってしまうのです。
中小企業では一度の情報漏えいが命取りに
さらに中小企業においては、一度の情報漏えいがその後の経営に致命傷を与える可能性が非常に高いと言えます。先述の「2017年 情報セキュリティインシデントに関する調査報告書(速報版)」によれば、情報漏えい事故(インシデント)1件あたりの平均損害賠償額は5億4,850万円と推定されていますが、これは資金が潤沢な大企業であっても小さな額とは言えません。
また、情報漏えいの原因調査費用やセキュリティの再構築費用、被害拡大を防ぐための通常業務の停止も必要になります。さらに、失った社会的信用を取り戻すことが並大抵のことでないのは想像に難くないでしょう。
情報セキュリティ対策はもちろん、社員の意識向上も不可欠
では、情報漏えいを防ぐためにはどういった対策が必要になるのでしょうか。情報漏えい事例を見ても分かる通り、技術的要因はもとより、人的要因でも発生する可能性があります。そのため、社内で扱う情報のセキュリティ対策だけでなく、従業員のセキュリティ意識向上が不可欠だと言えます。
情報セキュリティ対策は万全に
まず、情報漏えいを防ぐための情報セキュリティ対策を確認しておきましょう。情報処理推進機構(IPA)は、情報を安全に管理することの重要性や、基本的な対策方法をまとめた「中小企業の情報セキュリティ対策ガイドライン」を公表しています。このガイドラインでは、必ず実施するべき対策として「情報セキュリティ5か条」を提唱しています。その5か条とは、「OSやソフトウェアを常に最新に保つ」「ウイルス対策ソフトの導入」「パスワードの強化」「共有設定の見直し」「サイバー攻撃に関する情報収集」です。
また、ホームページを運営している場合には、通信内容を盗み見られないためのSSL化や、強固なサーバーの使用、データベースのバックアップなども必要になります。
関連記事:「SSL」でサイトの安全性・信頼性アップ!役割と重要性をご紹介!
従業員のセキュリティ意識向上も必要
上述したような情報セキュリティ対策はもちろんですが、従業員のセキュリティ意識向上も必要不可欠です。企業として情報セキュリティポリシーを策定し、それに基づいた行動をルール化していく必要があります。もちろん、ビジネスの内容によって、直面する可能性があるセキュリティ関連のリスクは異なるため、他社を参考にポリシーを策定することはできません。
さらに、全従業員に情報セキュリティポリシーに則った行動を徹底してもらうためにも、社内で定期的な講習や勉強会などを開催し、一人ひとりのセキュリティ意識向上に努める必要があると言えるでしょう。
セキュリティ対策の徹底と意識向上を
今回は、情報漏えいの危険性や近年の事例、そしてセキュリティ対策の基本的なポイントについてご紹介しました。顧客・取引先との信頼関係や会社の経営状況に非常に大きな打撃を与える情報漏えいは、大企業のみならず中小企業においても万全の対策が必要です。そして、情報漏えいを防ぐには、情報セキュリティ対策はもとより、従業員一人ひとりのセキュリティ意識向上が不可欠です。今回ご紹介した内容も参考に、情報漏えい対策に取り組むことをおすすめします。
[あわせてお読みください]