会社の情報漏洩対策 7つのポイント〜重大漏洩事例と共に考える〜

情報漏洩とは

情報漏洩とは、企業や組織が内部に留めておく情報が外部に漏れてしまうことです。
情報漏洩が起きる原因は、大きく分けて2つあります。

1.内部要因
2.外部要因

内部要因では、人為的なミスや故意による行動が多く、外部要因はマルウェアやデータ端末の盗難が大きな要因となります。
また、情報漏洩で挙げられる項目として、以下の3つがあります。

1.機密情報
2.個人情報
3.顧客情報

上記3つの項目は、企業や組織が外部に流出しないように守るべき情報です。
万が一、情報が流出した際には、多額の「損害賠償」が発生しますので、十分に留意する必要があります。
そして、情報漏洩を起こさないように知識を習得し、予期せぬ事態を防ぐためにも対策をしっかりと講じましょう。

会社の情報漏洩対策 7つのポイント

会社の情報を漏洩させない対策は、どのような方法があるのか？
特に多く起きている情報漏洩に対する対策を7つ紹介していきます。
以下の方法を知ることで、自社の対策は万全にできているか見比べることができます。
また、どのような対策を講じればいいのかわからない方も大きく役立つ内容となっていますので、参考にしてください。

セキュリティ対策の強化

セキュリティ対策強化により、情報漏洩のリスクを大幅に軽減することができます。
セキュリティ対策強化に効果的な方法について、以下に4つの項目を紹介していきます。

1.通信データに暗号化
2.パスワードやID認証の二段階認証
3.OSアップデートを最新にする
4.重要な情報は担当者のみ閲覧可能にする

特に注意すべきポイントとして、公共の場で利用できるフリーWi-Fiです。
接続しているサイトをリアルタイムで閲覧され、暗証番号や企業の重要な情報が第三者に知られてしまう危険性があるため、注意が必要です。
昨今、テレワークをする企業が増えているため、発生事例も多くなっています。
また、ネットワークの脆弱性が原因となり、外部からの不正ログインを防ぐためにもOSを最新の状態にアップデートする必要があります。
セキュリティ対策をするポイントとしては、端末のセキュリティを最新の状態にアップデートし、情報漏洩させないように二重三重の対策を打つことが重要です。

データ持ち出しのリスク対策の強化

人為的要因で起こるデータの持ち出しのリスクは、会社にとって大きな損害となります。
特に多い事例として、退職者によるデータ情報の持ち出しです。
なぜデータの持ち出しをおこなうのか？

大きな要因としては2つあります。
1.闇サイトで情報を売却し、現金化する
2.転職先や起業した先に顧客情報を利用する

人為的な行動によって起きる要因となるので、対策方法としては以下が有効です。

1.USBへのデータ移管時に暗証番号を必要とする
2.ログ履歴による監視体制
3.就業規則に明記
4.書類で保管している倉庫は監視カメラを設置

データを持ち出せる心理状況を阻害し、行動に移させないことが重要となります。
また、民事や刑事罰の対象になることを従業員へ周知させることも効果があります。

ウイルス感染によって起こるリスク対策の強化

昨今、ウイルス感染の被害が拡大をしています。
その要因として、テレワークによる個人のパソコンを使用しているケースが増加したためです。
個人のパソコンを使用することで、すでに感染していたりOSのアップデートが不十分となり、情報漏洩が起きてしまうケースです。

この場合の対策としては以下の方法が有効です。
1.会社から端末の貸与
2.ウイルス用対策ソフトの確認
3.USB媒介ウイルスへの対策、検知

ウイルスに感染させないためには、対策用ソフトを導入することと、個人のパソコンやスマホは使用させないことが重要となってきます。

参照：ウイルス対策｜国民のための情報セキュリティサイト(総務省)

紛失・盗難に対する対策の強化

情報漏洩で起こる要因として、紛失や盗難などがあります。
自宅で仕事をするために会社のパソコンやUSBを持ち帰り、発生するケースが多く、実例では飲酒後の置き忘れによって紛失や盗難が起きています。

この場合の対策としては以下の方法が有効です。
1.暗号化・パスワード設定をおこなう
2.持ち出しのルールを設定する
3.遠隔操作でのリセット機能

紛失や盗難対策として「保管場所」や「保管方法」のルールをしっかりと設定し、万一の事態には遠隔でリセットできる体制を構築することが重要となってきます。

参考：社用PCの紛失による3つのリスクと情報漏洩対策3選 | 漏洩チェッカー

誤送信による情報漏洩対策の強化

メールの誤送信による情報漏洩は、毎年のように起こっています。
その要因として、コロナ渦によるテレワークの増加にともない、集中力の散漫によって起きています。

人為的なミスを防ぐために効果的な方法は以下になります。
1.メールの送信保留機能を使う
2.クラウドストレージで共有する
3.メールセキュリティサービスを利用する

メールセキュリティサービスを利用することで送信前にポップアップが表示され、件名や宛先を再度確認することができます。
また、クラウドストレージで共有する方法を用いることで、該当ファイルを削除することができるため、誤送信による情報漏洩対策に有効です。

参照：メールの誤送信はなぜ起こる？事例から見えてくる3つの対策 | サイバーセキュリティ情報局

不正アクセス・マルウェア対策の強化

マルウェアによる脅威は世界各国共通です。
主な目的は個人情報や顧客情報の入手、サービスの破壊で、大規模企業が狙われやすい傾向にあります。

マルウェア対策に効果的な方法として、以下があります。

1.セキュリティパッチを利用
2.メールを安易に開かない
3.サイトへのアクセス制限をかける
4.エンドポイントにセキュリティを掛ける

マルウェア対策では、従業員へのセキュリティ教育と制限を掛けることが有効です。

参照：マルウェア｢ランサムウェア｣の脅威と対策（対策編）警視庁

人為的なミスに対する対策の強化

人為的なミスによる情報漏洩が最も多く、企業の課題でもあります。
ミスが起きる原因は個人だけではなく、企業の管理体制が問題となっており、対策をしっかりと講じる必要があります。

以下では人為的なミスに対して、効果的な方法を紹介します。
1.セキュリティ対策の社内教育をおこなう
2.ルールや運用マニュアルを作成
3.ログ履歴の管理

個人のミスは、起こりうる可能性が十分にあるため、管理方法や運用方法を変えることで防ぐことができます。
過去の事例から対策を講じると良いでしょう。

重大な内部不正によるPC情報漏洩事例3選

実際に起きた重大な情報漏洩事例から3つの事例を紹介します。なぜ起きたのか？どんな被害が起きたのか？発生理由は何か？具体的に知ることで、今後の対策へ繋がります。

ブロードリンク事件

ブロードリンク事件は、情報機器リユース会社、株式会社ブロードリンク(以下、ブロードリンク社)で起きた情報漏洩事件です。
事件の経緯として、2019年12月に神奈川県庁の行政文書を保存したハードディスク装置がインターネットで販売されていました。
神奈川県庁に情報機器をリースしていた富士通リースより、情報の削除依頼を受けていたブロードリンク社でしたが、情報を削除せずに従業員がハードディスクを盗難し、出品したことが事件の発端となっています。
被害の数は3,904個に上り、回収はわずか29個のみです。
ではなぜこのような事件が起きてしまったのか？原因は以下が挙げられます。

1.手荷物検査の時間帯・頻度
2.物理破壊時のプロセスの
3.物理破壊時のエビデンス保存

本件の事件をきっかけに対策としては以下が講じられています。

1.ハードディスクを破壊した時の写真撮影
2.監視カメラの増大
3.社内マニュアルの強化

本件は、従業員が個人的な利益を目的とした事件で、防止するためには管理、監視の強化対策が必要となります。

尼崎市USB紛失事件

尼崎市USB紛失事件は、2022年6月に尼崎市が委託していた業者が再委託をおこない、その業者(孫請け)から更に再々委託をした業者(ひ孫請け)によって起きた事件です。

再々委託を受けていた業者の従業員が、全市民４６万人の個人情報が入ったUSBメモリーを持ったまま居酒屋で飲酒し、その後一時的に紛失しました。USBメモリーが入ったかばんは、紛失判明から約５６時間後に、警察官が発見し。市の第三者調査委員会は、解析の結果、情報漏洩はなかったと結論付けました。市が公表している主な事件の要因は以下になります。

1.市から個人情報を運搬する具体的な手法の許可を得ていない
2.個人情報をセキュリティ運搬を利用せず、個人で事業所外へ持ち出した。
3.データ移管後、速やかにUSBメモリー内を消去していない。

事件後の対策として、以下が講じられています。

1.具体的な運搬方法について市の許可を得る
2.暗号化によるセキュリティ対策をおこなう
3.セキュリティマネジメントを徹底する

社外に持ち出す際には、セキュリティ対策や携帯方法のルールが重要となります。
万が一紛失した際は、直ちに対応できる体制を整えておくと良いでしょう。

関連記事：USB紛失に関連する情報漏洩事件まとめ | 漏洩チェッカー

東急コミュニティー不正事件

東急コミュニティー不正事件は、2019年と2020年の2回に渡り、従業員が個人情報を持ち出したことで起きた情報漏洩事件です。
細かい内容については非公開となっていますが、マンション管理組合に登録されている個人情報を別の法人へ情報提供していました。
事件の要因としては以下になります。

・元従業員が社内業務管理システムへ不正アクセス

事件後の対策としては以下になります。

1.社内業務管理システムへのアクセス制限強化
2.全社員教育を実施

退職者が容易にアクセスできないよう、従業員毎のアカウントを管理したり、定期的なパスワードの更新が重要です。

情報漏洩対策をすべきデバイス、媒体

情報漏洩を防ぐために必要なデバイスや媒体についていくつかピックアップし、どのような点に注意すべきか紹介していきます。

業務用PC

業務用パソコンで気を付けておきたいことは、持ち運びしやすいノートパソコンです。
理由としては、紛失や盗難の可能性が極めて高くなるからです。
この場合、万一の事態に備えて以下の対策をしておくと良いです。
1.ファイルの暗号化
2.指紋認証や生体認証付パソコンにする
3.アクセス権の制限
大事なことは、機密情報や個人情報など外部に持ち出さないことです。
しかしながら、業務上難しい場合もあるので、上記の対策を打つと情報漏洩対策に有効です。

参照：内部不正による情報漏洩を防ぐPCセキュリティ対策ソフトとは？| アセット

業務用スマホ・タブレット

業務用スマホやタブレット端末は、パソコン以上に注意すべきポイントとして、置き忘れや盗難です。
そのため、情報漏洩対策として以下を参照ください。
1.遠隔でコントロールできるようにする
2.SSL化する
3.ダウンロード制限をかける
4.パスワード設定をする
パソコンに比べて小型になり、取り出し回数の頻度が多くなります。
そのため、置き忘れや紛失する可能性が高く、上記対策をしておくことで情報漏洩を防ぐことができます。

参照：タブレットからの情報漏えいを防ぐ方法｜テックウインド株式会社

インターネット接続

インターネット接続時に注意しておきたいポイントとして、セキュリティの脆弱性です。
無料Wi-Fiや誰でも接続できる回線の場合、気付かない内に第三者からの閲覧やウイルス感染を引き起こします。
そのため、情報漏洩対策として以下の方法があります。
1.VPNサービスを使う
2.暗号化されたWi-Fiを使う
3.社内ネットワークのみ使用
外出先でインターネット回線を利用する場合にVPNサービスを利用することで、第三者からの閲覧やウイルス感染を防ぐことができます。

参照：社外ネットワーク接続による情報持ち出しリスク | アシスト

記録媒体

記録媒体とは、持ち運びしやすい機器で、SDカードやUSBを指します。
持ち運びがしやすい反面、紛失や盗難されやすくなります。
そのため、情報漏洩対策としては以下の方法があります。

1.セキュリティUSBメモリを使用
2.暗号化
特にセキュリティUSBメモリは情報漏洩対策に有効で、採用している企業が増えています。

共有フォルダ

共有フォルダを使用する際に注意すべきポイントとして、第三者による不正ログインです。
ログインされてしまうと情報漏洩に繋がりますので、以下の対策が有効です。
1.IPアドレス制限
2.デバイス認証
3.ファイルの暗号化
セキュリティ製品によっては、ファイルを暗号化することで、ダウンロードされたファイルを第三者に操作されても防ぐことができます。
共有ファイルは、セキュリティ上弱くなってしまうため、上記対策を講じると良いでしょう。

参照：ファイル共有のセキュリティ| NRIセキュアテクノロジーズ

オンラインストレージ

オンラインストレージで注意すべきポイントとして、データベースの提供企業によってはセキュリティが弱く、誤操作による情報漏洩に繋がります。
そのため、以下の対策方法を意識しておくと良いです。
1.無料のストレージを避ける
2.信頼できる提供会社を選択
3.ファイルの暗号化
4.SSL暗号化通信
万一の事態に備えて、データのバックアップを取っておき、ファイルは暗号化すると良いです。

SNS

SNSを運用している企業では、注意しておくべきポイントとして、アカウントへの不正ログインがあります。
これにより、社内の機密情報の漏洩や不正送金がおこなわれます。
そのため、以下の対策が有効です。
1.プライバシー設定をおこなう
2.セキュリティソフトを使用する
3.アクセス制限をかける
SNSに実装されているセキュリティ設定をおこなうことで、万一の情報漏洩を防ぐことができます。
またアクセス制限をかけて、担当者のみ編集できるように設定しておくと良いでしょう。

参照：企業SNSでの情報漏洩事例まとめ | 株式会社BLITZ Marketing

個人情報取扱の注意点

個人情報保護法は2017年に大きく改正され、全ての事業者に対して規制が強化されており、取扱いが厳重になりました。個人情報を取り扱う際には以下の5つの項目が鉄則となっています。

1.取得するとき
2.利用するとき
3.保管するとき
4.他人に渡すとき
5.開示要求されたとき

法律により厳しく守られているため、5つの項目を実行する際は厳重に取り扱う必要があります。
具体的にどのような点に注意すべきか以下に解説していきます。

リモートワークでの個人情報の取扱い

リモートワークで実際に起こった事例をもとに、注意すべきポイントを紹介します。
【事例】
1.メールの誤送信
2.周囲への情報漏洩
3.セキュリティ対策の不十分

リモートワークの場合、作業機器や環境がオフィスと異なるため、ミスが起きやすくなります。
また、作業機器や周辺機器が個人や公共の物を利用する場合が多く、セキュリティが弱くなってしまいます。そのため、作業する場合は以下に注意しておくと良いです。

【オフィス以外での作業時】
1.パソコン端末のセキュリティ設定
2.公共のWi-Fi接続
3.書類の管理
4.音漏れ
5.作業手順の再確認
6.パスワードの設定

参照：個人情報の取扱いに関する事故を起こさないために | 一般財団法人日本情報経済社会推進協会

第三者へ提供する場合に同意書を交わす

個人情報を第三者へ提供する場合には、必ず同意書や電子記録を残しておく必要があります。
万一、本人の同意なく情報を提供した場合に企業の信頼を大きく失墜させてしまいます。
そのため、以下のポイントに注意しておくと良いでしょう。
1.第三者へ提供する場合、一定事項の記録を残す
2.オプトアウトで第三者提供する場合

参照：個人情報の第三者提供とは｜LEGAL MALL

管理マニュアル・取扱いマニュアルの徹底

個人情報を取り扱う場合に注意すべきポイントとして、社内の管理や運用マニュアルの設定です。
マニュアルがない場合、適切な保管や運用ができずに情報漏洩へと繋がってしまいます。
そのため、以下の対策を講じると良いです。
1.責任者を設置する
2.社内マニュアルの完備
3.セキュリティ教育の実施
個人情報の保管や管理がマニュアル通りにできているか監視するため、責任者を設置すると良いです。

顧客情報取扱の注意点

顧客情報の取扱いについて知ることで、以下のトラブルを防ぐことができます。
1.従業員による情報漏洩
2.外部からの不正アクセス
3.顧客情報漏洩による損害
4.企業の信用性や信頼性の失墜
顧客情報漏洩によって倒産してしまう企業もあるので、以下に紹介する注意点を参考に対策を講じてください。

システム監視の強化

システム監視は、情報漏洩を未然に防ぐために必要な対策方法です。
システムを監視することで、不正なアクセスやマルウェアを防ぐことができます。
注意しておくべきポイントとしては、以下になります。
1.ログの確認や追跡、分析をおこなう
IT資産管理ツールを用いることで、ファイルのコピーやダウンロードなど、詳細にログ履歴を確認することができます。
不正なアクセスや必要のないファイルのダウンロード抑制に繋がり、顧客情報の漏洩対策に有効です。
また顧客情報の場合、社員によるデータ持ち出しが多くなりますので、強固な対策を講じておく必要があります。

参照：IT資産管理ツールで情報漏洩をどこまで防げるか？ | ＪＢサービス株式会社

紙媒体ではなくクラウド上で保存

顧客情報の管理で注意すべきポイントとして、紙媒体での管理です。
紙媒体の場合、コピーをすることができるため、容易に社員の持ち出しが可能となります。
また顧客台帳を紙で管理していた場合に紛失や盗難が起きやすく、顧客情報の漏洩へと繋がります。
そのため、クラウド上での保管をすると良いです。
クラウド上で保管するメリットとしては以下があります。
1.管理しやすい
2.監視しやすい
3.アクセス制限ができる
また、見落としてしまう情報として、名刺も含まれます。
顧客情報である名刺もクラウド上で保管し、管理や監視をおこなうと良いでしょう。

企業のPC管理なら「漏洩チェッカー」

情報漏洩対策について紹介しましたが、IT資産管理ツール導入には費用と工数が掛かってしまいます。
また、実際に導入を検討しているけど、どのツールを導入すればいいのかわからない方も多いのではないでしょうか。

そこで「漏洩チェッカー」であれば、費用や工数を抑えて運用目的に合ったIT資産管理の実現が可能です。
以下では、漏洩チェッカーの3つの特徴について紹介していきますので、IT資産管理ツール導入を検討する際の参考にしてみてください。

漏洩チェッカーの3つの特徴

漏洩チェッカーの3つの特徴について、詳しく解説していきます。

1.自社の運用目的に合わせてIT資産管理ができる

端末毎に利用したい機能を選択できるため、無駄な費用を支払う必要がありません。
そのため、パッケージ販売の様に無駄な機能や無駄な費用が掛からず、効率的で効果的な運用方法ができます。

2.人為的工数を軽減できる

常に担当者が監視や管理をする必要がなく、一定の基準値を超えた場合にアラートで知らせてくれます。そのため、管理や監視する時間を大幅に削減することができ、人件費を抑えながらIT資産管理をすることができます。

3.運用負担が少ない

クラウド型のサービスなので、バージョンアップや運用の保守、管理が不要になります。
そのため、専門的な知識が必要なく、保守や管理の面倒な手間を省くことができので、誰でも運用が可能です。更に漏洩チェッカーの特徴的な監視機能は以下の4つです。

1.フォルダー監視
2.ごみ箱監視
3.スクリーン監視
4.USB監視

情報化社会において、企業は、情報セキュリティの管理を求められています。
情報漏洩対策に役立つ機能を搭載している「漏洩チェッカー」をぜひ一度ご検討ください。

▼関連記事
リモートデスクトップの仕組みとセキュリティ対策を解説
フォレンジックとは？デジタルフォレンジックのツールも紹介
営業秘密の漏洩事例は？3要件を踏まえた防止策をわかりやすく解説