情報漏えいのリスクは？発生する原因と有効な5つの対策を解説

情報漏えいが発生すると、企業としての社会的信用の低下だけでなく、売り上げの低迷による業績への影響や株価の下落など金銭的損失などのリスクが発生します。

情報漏えいは外部からのサイバー攻撃だけでなく、従業員の不注意や内部不正が原因で起きるケースも少なくありません。企業の規模にかかわらず、情報漏えいに備えたセキュリティ対策の実施が重要です。

今回は情報漏えいの概要やリスク、セキュリティ対策について解説します。情報漏えい対策の実施によってセキュリティを堅固にしたい企業の方は、ぜひ参考にしてください。

情報漏えいとは

情報漏えいとは、企業が保有している機密情報や個人情報が外部に流出することです。中でも以下の3つの情報が漏えいすると、企業や個人に大きな悪影響を与えます。

情報の種類	概要
機密情報	独自製品の開発情報や営業秘密など、外部に開示する予定がない情報
個人情報	氏名や生年月日などの組み合わせで、特定の個人を識別できる情報
顧客情報	顧客のクレジットカード番号や連絡先、問い合わせ履歴など、顧客に関わるすべての情報

東京商工リサーチの調査^※1によると、2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、漏えい事故の件数は165件で、漏えいした個人情報は592万7,057人分でした。同社が調査を開始した2012年以降の11年間で最多です。

2023年に警察庁が公表した企業・団体におけるランサムウェア被害^※2は、上半期だけで103件を超えていました。被害に遭った企業の規模は大企業が約3割、中小企業が約6割、団体などが1割という内訳でした。

業種は製造業が33％で最も多いものの、サービス業や情報通信業、運送業など、まんべんなく被害が発生しています。ランサムウェア被害というとデータの暗号化のイメージが強いですが、機密情報や個人情報漏えいのリスクも高いです。

2022年4月1日には個人情報保護法が改正され、個人情報が漏えいした際には、個人情報保護委員会への報告と本人への通知が義務化されるようになりました。^※3情報漏えいが起きると悪影響が大きいため、企業はしっかりと対策を行う必要があるでしょう。

情報漏えいによるリスク・影響

情報漏えいが発生すると、様々なリスク・悪影響があります。具体的にどのようなリスクがあり、それによってどのような悪影響を受けるのかを知っておくと、対策を考えやすくなります。事前にしっかり確認しておきましょう。

損害賠償が発生する

個人情報や機密情報などが漏えいすると、高額な損害賠償が発生する可能性があります。日本ネットワークセキュリティ協会が2019年に公表した調査結果^※4によると、1件当たりの平均想定損害賠償額は6億3,767万円です。

氏名や電話番号など一般的な連絡先情報のみの漏えいであれば、損害賠償額は低い額で済む傾向にありますが、信用情報が漏えいしたり、漏えいした情報が第三者に悪用されたりした場合は、損害賠償額が高額になるケースがあります。

企業イメージが低下し業績悪化につながる

情報漏えいが発生してニュースに取り上げられると、悪いイメージが広がり企業の社会的信用が低下するリスクがあります。

また、個人情報や顧客情報が漏えいすると、取引先やユーザが金銭的な損失を被るおそれもあるでしょう。ユーザが離れたり取引先から契約を切られたりすれば、業績が悪化する可能性が高くなります。

事故対応に時間やコストがかかる

情報漏えいが発生した場合、原因調査や復旧作業に時間やコストがかかります。再発防止に向け、運用ルールの見直しやセキュリティ対策の強化も欠かせません。

また取引先やユーザからの問い合わせが増大し、多くの従業員が事故対応に追われるでしょう。監督官庁への事故の報告や、報道機関への対応も必要です。

さらに事故対応が優先され、本来の業務を停止して対処しなければならないケースも珍しくありません。計画していた事業が進まず、経営に悪影響を及ぼす可能性があります。

二次被害につながる

Webサイトの認証情報が漏えいした場合、管理画面に不正にアクセスされてWebサイトが改ざんされるといった二次被害が発生するおそれがあります。

たとえば、フィッシングサイトに誘導するリンクが貼られたり、マルウェアを含んだファイルが埋め込まれたりし、IDやパスワードなどの情報が盗み取られる危険があります。Webサイトの改ざんにより訪問したユーザが不利益を被るため、さらに社会的信用が損なわれるおそれがあるでしょう。

情報漏えいが発生する3つの原因

情報漏えいは、主に以下の3つが原因で発生します。

• サイバー攻撃
• ヒューマンエラー
• 内部不正

原因を知ると効率的に対策できるため、ぜひ参考にしてください。

サイバー攻撃

東京商工リサーチの調査によると^※1、2022年に発生した情報漏えいのうち、もっとも多い原因は「ウイルス感染・不正アクセス（91件、55.1％）」でした。

• ウイルス感染
  メールにマルウェアが潜んだファイルを添付し、開封したパソコンを感染させる。有害なWebサイトへのURLを添付するケースも。
• 不正アクセス
  悪意ある第三者が不正に入手したID・パスワードを使って社内データにアクセスしたり、OSやソフトウェアの脆弱性を突いて内部に侵入したりする。

特に2022年はマルウェア「Emotet（エモテット）」の感染が増加しました。Emotetとは、メールアドレスを盗んだり、別のウイルスへ二次感染させたりするマルウェアのことで、主な感染ルートはメールです。政府系機関をはじめ、金融機関を含む多くの民間企業が被害に遭いました。

また情報漏えいの原因になった媒体は、社内システム・サーバが最多でした。社内サーバが不正アクセスの被害に遭い、情報が漏えいするケースが増加しています。

ヒューマンエラー

情報漏えいの原因で、約半数を占めるのがヒューマンエラーです。東京商工リサーチの調査では、「誤表示・誤送信」が43件（26.0％）、「紛失・誤廃棄」が25件（15.1％）という結果が出ています。

• 誤表示・誤送信
  メールの送信先を誤る。外部に公開しない予定のデータをアップしてしまう。
• 紛失・置き忘れ
  重要な情報が記載された書類や記録媒体を紛失する。
• 誤廃棄
  重要な情報が記載された書類をシュレッダーにかけずに廃棄する。記録媒体のデータを消さずに廃棄する。

外部からの攻撃に備えるだけでなく、従業員のミスを減らすための対策を考える必要があるでしょう。

内部不正

従業員が意図的に情報を持ち出し、情報漏えいが発生するケースも少なくありません。

独立行政法人 情報処理推進機構（IPA）が発表した「情報セキュリティ 10大脅威 2024 [組織]」^※5によると、社会的に影響が大きい脅威として「内部不正による情報漏えい」が、前年の4位から1つ上げて第3位にランクインしています。

順位	「組織」向け脅威	「組織」向け脅威	2023年 順位
1位	ランサムウェアによる被害	1位
2位	サプライチェーンの弱点を悪用した攻撃	2位
3位	内部不正による情報漏えい等の被害	4位
4位	標的型攻撃による機密情報の窃取	3位
5位	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	6位
6位	不注意による情報漏えい等の被害	9位
7位	脆弱性対策情報の公開に伴う悪用増加	8位
8位	ビジネスメール詐欺による金銭被害	7位
9位	テレワーク等のニューノーマルな働き方を狙った攻撃	5位
10位	犯罪のビジネス化（アンダーグラウンドサービス）	10位

実際に、機密情報を持ち出して競合他社に渡したり、顧客情報・個人情報を売却したりする事例が発生しています。企業への不満から1個人が犯行に及ぶケースもありますが、産業スパイによる組織的な犯行も横行しています。

情報漏えいの事例3つ

標的型攻撃による漏えい

ある組織に所属する職員が、知人を装ったウイルス付きのメールを業務用のパソコンで開封してしまい、組織の内部情報が漏えいする事件が発生しました。

ターゲットから情報や財産を盗取する目的で送信する標的型攻撃メールでは、受信者が不審に思わないよう巧妙なテクニックが駆使されています。そのため、本物と見分けがつかずメールを開封してしまうケースが珍しくありません。

たった1台のパソコンがウイルスに感染しただけで被害が拡大するため、注意が必要です。被害を防ぐには、一人ひとりのセキュリティ意識を向上させる取り組みが求められるでしょう。

誤廃棄による漏えい

中古パソコンの購入者がデータ復元ソフトを使用してデータを復元したところ、ある医療機関の診療報酬明細書の画像データが残っていた、という事件が発生しました。パソコンを廃棄する際にデータを完全に消去しないと、こうした情報漏えいの原因になるため注意が必要です。

企業の機密情報を取得する目的で、中古パソコンなどを購入してデータを復元する手口もあります。必ず復元できない状態にしてから廃棄することが重要です。

内部不正による漏えい

大手企業の経営層が、前職の営業秘密を不正に持ち出した疑いで逮捕されたという事件がありました。業界大手の社長が起こした情報漏えい事件として、執行猶予付きの懲役刑と罰金が科されました。

このように、金銭目的や移った会社で成果を出したいといった理由から、内部不正は多く発生しています。内部不正による漏えいを防ぐには、重要なデータにアクセスできるアカウントを制限するのが有効です。

情報漏えいを防ぐための5つの対策

情報漏えいを防ぐために有効な対策を5つ紹介します。サイバー攻撃やヒューマンエラー・内部不正を防止する対策を紹介しているため、実施していないものがあれば自社に取り入れましょう。

セキュリティソフトを導入する

セキュリティソフトを導入すると以下の機能により、情報漏えいの原因になる脅威を遮断できます。

• 不審なメールのフィルタリング
• 有害なWebサイトの閲覧制限
• 通信ネットワークの制御
• 外部へのデータ持ち出し制御

ウイルス対策ソフトを導入すれば、基本的なマルウェア検知が期待できます。万が一マルウェアに感染した場合は排除もできるため、導入しておくと安心です。

ただし、警戒すべきマルウェアを事前に定義するシグネチャー型と呼ぶ対策ソフトには、定義されていないマルウェアは検知できない限界も指摘されています。

従業員のセキュリティ意識を向上させる

内部不正やヒューマンエラーを防ぐには、情報漏えいのリスクを周知して従業員のセキュリティ意識を高めることが重要です。以下の内容を含んだ研修を実施し、情報セキュリティ教育を徹底しましょう。

• 業務に関係ないWebサイトにアクセスしない
• 不審なメールは開かない
• メールの誤送信を防ぐためにルールを徹底する
• 重要なデータの管理を徹底する
• OSやソフトウェアのアップデートを欠かさない

一度だけ研修を実施しても、時間が経つにつれてセキュリティ意識が薄れていく可能性があります。定期的な研修の実施を検討しましょう。

機器の持ち出し・持ち込みを制限する

ヒューマンエラーによる情報漏えいの中でも、機器の紛失・置き忘れを原因とする事案が多い傾向があります。そのため、パソコン・USBメモリ・外付けハードディスクなどの記録媒体の持ち出しを制限しましょう。

記録媒体が持ち出され紛失してしまうと、第三者に悪用されて大量のデータが流出するリスクがあります。データを持ち出す必要がある場合は、暗号機能が付いた機器を使用するのがおすすめです。

また、個人で使用しているスマホやUSBメモリを社内のパソコンに接続すると、ウイルスに感染する可能性があります。許可されていない機器を社内に持ち込まないよう、従業員に徹底させましょう。

データを暗号化する

第三者によるデータの閲覧を防ぐには、データを暗号化しておくのが有効です。情報が漏えいすると社会的信用の損失や二次被害の発生などの悪影響が大きいため、個人情報保護法ガイドライン^※6では個人情報の暗号化を求めています。

不正に入手したID・パスワードを使って不正アクセスをする事例が増加していますが、暗号化しておけば外部にデータが漏れるリスクを抑えられます。またパソコンや記録媒体に保存されたデータも暗号化しておけば、紛失・置き忘れが起こっても情報漏えいのリスクを減らせるでしょう。

認証方法を強化する

不正アクセスを防ぐのに有効なのが、認証方法の強化です。IDとパスワードによる認証だけだと突破される可能性があるため、多要素認証（MFA）を取り入れるとよいでしょう。多要素認証とは、知識情報・所持情報・生体情報のうち、2つ以上の要素を組み合わせて認証することです。

また1度IDとパスワードを入力するだけで複数のサービスにログインできる「シングルサインオン」も便利です。サービスごとにID・パスワードを使い分ける必要がないため、利便性が向上します。

情報漏えいの原因を知り対策を強化しよう

情報漏えいが発生すると、損害賠償額を請求されたり、社会的信用が低下したりするなど、多大な悪影響を受けます。情報漏えいの主な原因は、外部からのサイバー攻撃や内部不正、ヒューマンエラーなどです。情報漏えいを防ぐためにも、外部と内部の両面からセキュリティ対策を実施しましょう。

ラックでは、独自の自動解析と専門アナリストによる情報漏えい調査のサービスや、サイバー攻撃を防ぐためのセキュリティ製品を提供しています。自社の安全性を高めたい企業の方は、ぜひお気軽にお問い合わせください。

参考情報

※1 個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ～ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ～ | TSRデータインサイト | 東京商工リサーチ

※2 令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について｜警察庁

※3 漏えい等報告・本人への通知の義務化について ｜個人情報保護委員会

※4 2018年情報セキュリティインシデントに関する調査結果～個人情報漏えい編～（速報版）｜JNSA

※5 情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

※6 個人情報の保護に関する法律についてのガイドライン（通則編）｜個人情報保護委員会