情報漏えいを防ぐための対策方法


企業経営上のリスクの1つとして、社内情報の漏えいが挙げられます。

企業の社会的信用が低下し、損害賠償責任を負うことになったり、最悪のケースでは倒産に追い込まれたりすることもあり得ます。

情報漏えいが増える背景にはリモートワーク導入による働き方の変化と管理負荷の増加が考えられます。

しかし、正しく情報を管理することで漏えいリスクを押さえることは可能です。

本コラムでは情報漏えいが増える背景や事例を紹介し、漏洩を防ぐ対策方法や漏えいした場合のリスクまで解説いたします。


目次[非表示]

  1. 1.情報漏えい増加の背景
    1. 1.1.リモートワークの増加
    2. 1.2.管理負荷の増加
  2. 2.情報漏えいの事例
    1. 2.1.従業員SNSからの漏えい
    2. 2.2.従業員の個人情報持ち出しによる漏えい
    3. 2.3.社外での書類・データの紛失
    4. 2.4.メールによる誤送信
  3. 3.個人情報が漏洩したときに企業が受ける罰則
    1. 3.1.刑事上の責任
    2. 3.2.民事上の責任
  4. 4.情報漏洩を防ぐための対策
    1. 4.1.社内情報の取扱い規程の整備
    2. 4.2.社内情報へのアクセス権の制限
    3. 4.3.社内情報の持ち出しの禁止
    4. 4.4.社内研修の定期的な実施
  5. 5.守秘義務違反をしてしまったとき
    1. 5.1.懲戒処分
    2. 5.2.損害賠償請求
  6. 6.まとめ


情報漏えい増加の背景

情報漏えいが増加している背景にはリモートワーク導入と管理負荷の増加がかかわっています。

リモートワークの増加

2019年に世界中に広まった新型コロナウィルス(COVID-19)により企業にとって大きな変革を必要とする時代になりました。

企業では三密を避けるため、リモートワークを選ぶ従業員が増加し、ネットワーク周りに費やす会社としてのセキュリティ費用はもちろんのこと、リモートワークを要因としたデータ侵害や不正アクセスが企業の平均コストを増加させていることも事実です。その結果全体的な予算不足に陥ってしまうケースが多くみられます。

さまざまな課題に直面をする中で企業でもクラウド製品の導入や、新しい社内の管理システムを導入するようになるとコストは計り知れません。

IBMのレポートによると、2021年の平均コストは17年間で最高を記録しており、今後のウィズコロナの時代に企業として情報資産をどのように扱っていくかがカギとなります。

出典:2021年「データ侵害のコストに関する調査」レポート | IBM Security



管理負荷の増加

DX(デジタルトランスフォーメーション)推進を国策として掲げている今、従来のやり方では管理しきれない問題や課題を日々扱っています。

紙や判子での承認方法からデジタルデータでのやり取りが年々増加している企業が直面する、管理体制の不十分さが大いに影響しています。人材不足が大きな社会問題になっている影響で研修などを実施できる余裕がない企業も少なくはないのでは。

そのような企業での管理負荷が、従業員へのセキュリティ対策不足や管理体制の低下へつながります。

情報漏えいの事例

ここでは情報漏えいの事例として次の4つを紹介いたします。

  • 従業員SNSからの漏えい
  • 従業員の個人情報持ち出しによる漏えい
  • 社外での書類・データの紛失
  • メールによる誤送信


従業員SNSからの漏えい

国民のスマートフォンの普及とともに進んだSNS(Social Networking System)利用に伴い日頃から投稿者本人が気が付かずに載せているセンシティブな情報は数多く存在しています。

とある調査「スマートフォンにおけるよく使われるアプリ」では、どの年代においてもインターネットのブラウザよりもSNSの使用率が高くなっているの調査結果が出ました。若者の間では、流行りのカフェを訪れる時はSNS検索をしてしまう方が信憑性があるというアンケートも。

そのように、制約が無く、かつコミュニケーションの気軽さが、SNSで情報漏えいが起きる一因となっているのが現状です。

たとえば、プロフィール情報や過去の投稿から勤務先や企業名などが特定されてしまうといった事例が企業の情報漏えいのリスクにつながります。



従業員の個人情報持ち出しによる漏えい

従業員の顧客や社内情報への個人情報持ち出しによる漏えいも顧客ロス、情報の不正利用、不正行為などのリスクになりえます。

または、元従業員が退職をした際に誤って企業秘密を持ち出してしまったりすると大きな被害を被る可能性があります。

過去の経済産業省の調査によると、企業の機密情報の漏えいルートの7.6%が現職の従業員による動機を持った漏えいであったとの結果が出ており、実際に従業員の情報流出や不正利用によって企業が大きな被害を被る事件が多発しています。

出典:「企業における営業秘密管理に関する実態調査」| 経済産業省


社外での書類・データの紛失

誰しもが一度は手にしたことがあるであろう重要書類やデータを、ちょっとした不注意により、紛失してしまったり破損してしまった経験がある方も多いはず。

たとえば、次のような事例があります。

  • 電車の網棚にカバンを置き忘れ、電車を降りてしまった
  • お客様の出先で休憩中に近くのカフェにUSBを置き忘れてしまった
  • 他の書類と一緒に誤ってシュレッダーにかけてしまった
  • 乱雑なデスクに紛れ込んでしまいゴミに捨ててしまった

注意散乱している状態で大切なデータを紛失してしまい、お客様や社内情報システム部に謝りに行ったケースも耳にします。



メールによる誤送信

お客様への返信に焦って誤った宛先に送信をして後悔したことがあるのではないでしょうか。または単純なヒューマンエラー、サーバー障害などが情報漏えい事故を引き起こしてしまう可能性も考えられます。

東京商工リサーチが2021年1月に発表した「上場企業の個人情報漏洩・紛失事故」調査によると、原因として最も多かったのが「ウィルス感染・不正アクセス」で49.5%、続いて、「誤表示・誤送信」が31.0%、メールの送信間違いなどの人為的ミスが中心とされています。

これらは間違うと被害は想定以上に深刻で、ある企業では取引先企業一覧を添付ファイルで誤った宛先へ送信をしてしまったというアクシデントや、自治体で試験受講者のメールアドレスを誤って受講者全員に送信してしまったという事故も実際に起こっています。

こういった宛先の設定ミスや、データファイルの添付ミスが大きな情報漏えいの要因として考えられます。

参考:「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」/東京商工リサーチ


個人情報が漏洩したときに企業が受ける罰則

情報が漏えいしてしまったときに企業はどんな罰則が科せられるのかを、刑事上の責任と民事上の責任の2つの側面からみてみます。



刑事上の責任

個人情報を漏えいすると、国から是正勧告を受け、是正勧告に従わない際には、「6か月以下の懲役または30万円以下の罰金刑」が科せられます。

不正な利益を得る目的をもって個人情報を漏えいした場合の罰則はより重くなり、1年以下の懲役または50万以下の罰金刑が科されます。また行為者のみに限らず、会社に対し50万円以下の罰金刑が科されることもあります。



民事上の責任

個人情報を漏えいすると、民事上も法的責任(損害賠償責任)が発生してしまいます。賠償金額は、状況によって異なり、1人数千円~数万円、合計数千万円以上になるケースもあります。

またこれらに加えて、その他、個人情報の漏えいなどに関する事案が以下の刑法上の犯罪に該当する可能性もあります。

  • 電子計算機使用詐欺罪 (刑法第246条の2)
  • 背任罪(同法第247条)
  • 横領罪(同法第252条)


情報漏洩を防ぐための対策

日常茶飯事のように頻発する情報漏洩を防ぐにはどのような具体策が企業では不可欠になるのでしょうか。具体的な対策を紹介します。


社内情報の取扱い規程の整備

まずは、社内の情報管理規程をしっかりと整備することです。

どの部署がどのような情報やデータを管理しているのか、誰がどこにどのような情報を持ち出しているのかなど、しっかり把握ができるような社内ルール作りが大切になってきます。

策として情報管理規程ハンドブックを作成して、次のようにそれぞれ組織内での個人の役割や管理方法を詳細に文書化し、対策を講じることです。

  • 規程の対象となる情報が何か(電子データ、紙データなど)
  • 個人情報管理体制
  • 機密情報レベルの明確化(社外秘資料、社外共有資料)


社内情報へのアクセス権の制限

上記の整備が整ったら、それぞれの情報へのアクセス権の制限を掛けるような施策が必要になります。情報の管理レベルによる権限の付与をシステム上で適切に行う為に、社内では事前の協議と話し合いが大切です。



社内情報の持ち出しの禁止

社内情報の持ち出しが禁止されている社外秘資料はもちろんのこと、SNSなどで仕事に関する投稿をしたり、社用メールアドレスを誤って娯楽目的で個人用として利用をしてしまったりしてはいけません。

会社を一歩出てしまうと注意が散乱してしまい、制約のない場で情報を外部へ流出してしまう可能性がありますので、十分に対策を取るようにします。



社内研修の定期的な実施

セキュリティ対策を十分に取っている企業は社内研修が豊富です。定期的な所持品の検査や、不定期のセキュリティ検査も効果的です。



守秘義務違反をしてしまったとき

では万が一従業員が守秘義務に違反してしまい、外部に個人情報や社内情報を漏えいさせてしまった場合、企業としては当該従業員に対し懲役処分をおこなうとともに、損害賠償請求を検討することができます。



懲戒処分

従業員が守秘義務に違反して社内情報を漏えいさせたとき、企業がとる措置として多く見受けられる項目に懲戒処分があります。

懲戒処分とは、会社などの組織において、社内の秩序を維持するために、組織のルールに違反した従業員に対して、制裁として行われる人事上の措置のことをいいます。

処分の程度が低いものとして戒告・けん責があり、その他に減給・出勤停止・降格、そして最も重いものとして懲戒解雇があります。就業規則で守秘義務違反が懲戒事由として規程がある場合、この様な措置の行使が可能になります。



損害賠償請求

また社内の機密情報を漏えいした従業員に対して損害賠償請求をすることも可能性としてはあります。

情報漏洩の程度や態様によっては企業が被った損害の全額を負担させることは難しいことが多いため、個人に対してその金額を支払わせるか否かに関しては弁護士や専門家の判断が必要になります。



まとめ

ここまで企業が直面する情報漏えいに関してのリスクについて紹介してきました。

誰しもに起こりうるこの様なリスクを、どのように防いでいくか今だからこそ真剣に熟考する必要があります。実際に情報漏えいが起こってからでは遅いのです。

企業のデータは企業内で守っていくことで、人材やコストの損失を防止でき、自社に最適な対策を取ることができます。そのための必要なセキュリティツールとしてDropSuite(ドロップスイート)が利用されています。Dropsuiteではメールのアーカイブ機能や監査等に特化した機能が充実しており、万が一の場合にも過去のデータを証拠として残すことが出来ます。(Dropsuiteの詳細についてはDropsuite特設サイトをご参照ください。)

最適な製品やサービスを活用することで社内での管理負荷を軽減でき、結果的に体制の強化へとつながるのではないでしょうか。

Miyuki
Miyuki
ISFNET, INC グローバル統括本部グローバルビジネス部

セキュリティの強化を低コストで叶えたいなら
お気軽にご連絡ください

お電話でのお問い合わせはこちら
平日09:00~17:00
ご不明な点はお気軽に
お問い合わせください
各サービスの資料をダウンロードできる
一覧をご用意しています

人気記事ランキング

カテゴリ一覧

タグ一覧