企業情報漏えいの原因やリスクとは?取り組むべき防止策も解説
監修者プロフィール
SBフレームワークス マーケティング/広報
玉橋 丈児
物流×輸配送×テクニカルソリューションで、お客様の課題解決を目指すSBフレームワークスのマーケティング担当。テクニカルソリューション分野での実務経験を活かして、弊社のサービスや、業界の話題などを解説いたします。物流技術管理士補。
IT技術の発展に伴い近年はサイバー攻撃が巧妙化し、企業情報の漏えいリスクが高まっています。また、内部不正や人的ミスによる情報漏えい事案も増えています。
企業情報が漏えいした場合は、損害賠償や刑事上の責任が発生し、企業活動に重大な影響を与えかねません。
情報漏えいは、いつ・どこでも起こる可能性があり、企業の規模や業種に関係なく常に警戒が必要です。
本記事では、企業情報の漏えいが起こる原因や企業にもたらすリスク、防止のために取り組むべき対策を解説します。
企業情報の漏えいを防ぐためには、デバイス導入時点で強固なセキュリティ設定を行うことが重要です。自社においてデバイスの強固なセキュリティ設定を行うことが難しい場合は、キッティングサービスの利用も視野に入れましょう。SBフレームワークスのキッティングサービスでは、デバイス導入時のアンチウイルスソフトのインストールや暗号化作業など、お客様のニーズに応じたセキュリティ設定を行います。
\年間30万台のキッティング実績にもとづき提案/
目次
情報漏えいは他人事ではない!企業で広がる被害の実態
企業の機密情報の漏えい事故は、企業規模を問わず多くの企業で発生しています。
情報処理推進機構(IPA)が2020年に行った調査によると、全回答企業(2,161社)のうち5%以上の企業で、過去5年間に情報漏えいと思われる事案がありました。漏えいした情報の内訳では、顧客情報が最多、次いで製造に関するノウハウ・成分が多くなっています。
一方、情報漏えいがあったかどうかを認識・把握できていない企業が16.5%存在しており、実際にはより多くの企業で事故が発生している可能性があります。
画像引用:独立行政法人 情報処理推進機構「企業における営業秘密管理に関する実態調査 2020 調査実施報告書」
企業情報の漏えい事故は、2016年と比べて減少傾向ですが、依然として0にはならない点を踏まえると、油断できる状況ではないでしょう。
情報やセキュリティに対する意識の不足は、情報漏えいを招きかねません。そのため、企業の担当者は情報漏えいを起こしやすい要素を理解し、正しいセキュリティ対策を行うことが重要です。
情報漏えいが企業にもたらす致命的リスクとは
情報漏えいは、以下のような致命的リスクを企業にもたらします。
- 社会的信用の失墜
- 損害賠償責任への対応
- 刑事上の責任の発生
情報漏えいは、単なる一時的なトラブルでは済まされません。顧客や取引先からの信頼喪失、損害賠償の発生、業務の一時停止など、企業の経営に直接的な影響をおよぼす重大な事案です。
企業情報の漏えいを防ぐためには、まず情報漏えいが自社にもたらすリスクを理解し、危機意識をもつことが不可欠です。
社会的信用の失墜
情報漏えいが発生した場合は、企業の社会的信用に深刻な打撃を与えます。たとえ故意でなくても、顧客や取引先の個人情報や営業秘密が外部に流出すれば「情報管理体制に不備がある企業」として評価され、信用を大きく損なう結果になります。
特に、健康情報や刑罰歴などの「要配慮個人情報」を漏えいした場合には、被害者への影響も深刻で、信頼の回復が極めて困難になるでしょう。結果として顧客離れや取引先からの契約解除が発生し、業績悪化を招く恐れもあります。
損害賠償責任への対応
漏えいした情報が個人情報や取引先の営業秘密であり、相手側に損害が発生した場合、企業は個人情報保護法違反や民法上の債務不履行責任を問われ、損害賠償責任を負う可能性があります(※1)。
損害賠償額は漏えいした情報の性質や件数によって異なりますが、1件あたり数千円〜1万円程度となることが多い傾向です。漏えい件数が増えれば損害外賠償額は膨らみ、重大な事故だと賠償総額が1億円を超えるケースもあります。
顧客だけでなく従業員の個人情報が漏えいした場合には、従業員から損害賠償を請求されかねません。
相手との契約関係により適用される法的根拠は異なりますが、いずれの法律においても十分な安全管理義務を果たしていたかが法的責任の有無を判断する重要な基準になります。
情報を保護するための適切な処置を講じずに漏えいさせた場合は、法的責任を問われる可能性が高いでしょう。
※1 参考:デジタル庁「民法」
刑事上の責任の発生
個人情報の漏えいが役員や従業員によって意図的に行われた場合、個人情報保護法の両罰規定(184条1項)により、法人にも「1億円以下の罰金」の刑事罰が科される可能性があります。
また、情報漏えいが発生した際は、個人情報保護委員会により事故を発生させた企業への立入調査が行われることがあります。調査を拒否したり虚偽の報告をしたりすると、「50万円以下の罰金」の対象です。
調査後は、個人情報保護委員会から是正勧告が行われますが、従わなかった場合は「1億円以下の罰金」が科されます。
過失による漏えいであっても、管理体制に重大な問題があると判断された場合は、刑事罰の対象となる可能性があるため注意が必要です。
参考:デジタル庁「個人情報の保護に関する法律」
【外部要因】企業情報の漏えいにつながる主な原因
企業情報の漏えいは、主に以下のような外部要因によって引き起こされます。
- 不正アクセス
- マルウェア感染
それぞれの内容について詳しく解説します。
不正アクセス
企業情報漏えいの原因で多いのが、ネットワーク回線を利用した不正アクセスです。悪意のある第三者が社内システムやネットワーク回線の脆弱性を突き、サーバーに不正アクセスすることで企業情報が盗み出されます。
最近ではテレワークの普及に伴い、VPN機器の脆弱性を狙った犯行が増えています。高度なセキュリティ対策が施されていない中小企業を狙い、芋づる式に取引先情報を得るサプライチェーン攻撃も増加傾向です。
不正アクセスにより漏えいする情報の中でも多いのが、IDやパスワードです。また、入手したIDやパスワードにより、インターネットバンキングなどが不正利用される被害も発生しています。
マルウェア感染
企業情報の漏えいには、マルウェアへの感染を介して発生するものもあります。マルウェアとは、不正・有害な動作を発生させることを目的として作られたソフトウェアやコードの総称です。
マルウェアは、ソフトウェアのダウンロードや電子メール、ホームページの閲覧など、さまざまな方法でコンピューター内に侵入します。コンピューターがマルウェアに感染すると、データを勝手に収集したうえで外部ネットワークに公開するなど、不正な動作が発生する可能性があります。結果、情報漏えいへとつながるのです。
特に多いのが、実在の人物や業務連絡を装った電子メールを送付し、添付ファイルを開かせることでマルウェアに感染させるケースです。
こうした特定の組織や個人を狙った標的型攻撃に対しては、技術的対策に加え従業員教育と内部統制の強化も求められます。たとえマルウェア感染によって起きた情報漏えいでも、企業の注意義務や監督義務の不履行などの法的責任が問われる可能性があります。
【内部要因】企業情報の漏えいにつながる主な原因
企業情報の漏えいは、以下のような内部要因によっても起こり得ます。
- 情報の不正な持ち出し・流用
- 業務ツールの誤操作・メールの誤送信
- サーバーやアクセス制限の設定ミス
- デバイスの置き忘れ・紛失・盗難
それぞれの内容について詳しく解説します。
情報の不正な持ち出し・流用
企業情報の漏えいは、社内関係者による情報の不正な持ち出し・流用などの内部不正によっても起こり得ます。社内関係者による情報の不正な持ち出し・流用は、近年最も多い情報漏えいルートです。
情報処理推進機構の調査によると、2020に発生した漏えい事案の中で最も多かった漏えいルートは、「中途退職者による漏えい」であり、全体の36.3%を占めています。現職従業員による漏えいも全体の8.0%と、他の漏えいルートと比較して割合が高めです(※1)。
社内関係者による情報の持ち出し・流用は、知識がなくても実行が容易で、機密性の高い情報でも持ち出しやすい傾向にあります。そのため、企業に大きなダメージを与えやすいのが特徴です。
また、従業員による情報の不正な持ち出しは、不正競争防止法や個人情報保護法違反として、企業側にも刑事罰が科される可能性があります。不正行為を防げなかった責任が、組織側にもあると見なされるためです。
内部不正によって自社が被害を受けた場合でも、管理体制の不備があれば法的責任を問われる可能性があるため注意しましょう。
※1 参考:独立行政法人 情報処理推進機構「企業における営業秘密管理に関する実態調査 2020 調査実施報告書」
業務ツールの誤操作・メールの誤送信
業務ツールの誤操作やメールの誤送信などの従業員の人的ミスにより、意図せず企業情報が漏えいすることも少なくありません。たとえば、以下のようなケースです。
- 不特定多数の人が閲覧できるサイトに誤って社外秘資料をアップロードしてしまった
- 特定の人に送るメールを誤って全体に送ってしまった
- メールの宛先を間違えてしまった
- CCに別の宛先が入っていることに気付かないまま送信した
人的ミスは誤りに気付くのが遅れがちなため、気付いたときにはすでに被害が拡大している可能性があります。
また、誤送信による情報漏えいも、重大な法的責任を招きかねません。特に、要配慮個人情報を誤送信した場合は、速やかな報告・通知と是正措置が求められます。
サーバーやアクセス制限の設定ミス
サーバーやアクセス制限の設定ミスも、ありがちな企業情報漏えいの原因です。クラウドサービスの普及により、本来は公開すべきではない情報を公開してしまうことも起こり得ます。
サーバーやアクセス制限の設定ミスによる情報漏えいも、管理体制の不備として法的な責任を問われることがあります。特に個人情報保護法では、安全管理措置の一環として適切なアクセス制御が義務付けられており、設定ミスにより情報を漏えいした場合は刑事罰が科される可能性があるため注意しましょう。
デバイスの置き忘れ・紛失・盗難
デバイスの置き忘れ・紛失・盗難など、従業員の不注意により情報漏えいが発生することもあります。
特によくあるのが、パソコンやUSBメモリを電車やタクシーに置き忘れるケースです。置き忘れたデバイスが悪意ある第三者によって不正に利用されることで、情報漏えいにつながる恐れがあります。
また、テレワークで自宅や外出先にデバイスを持ち出し、仕事をする機会が増えたことにより、デバイスを置き忘れるケースも増えています。自動車内やコワーキングスペースにパソコンを置いたままその場を離れるなど、少しの油断で車上荒らしや置き引きに遭うケースも珍しくありません。
デバイスの置き忘れ・紛失・盗難は、誰でも起こす可能性がある情報漏えいの要因です。適切な安全管理措置が講じられていなければ法的責任を問われることがあります。
特に個人データの場合、個人情報保護委員会への報告や本人通知が義務付けられるケースもあるため注意が必要です。
企業情報が漏えいした事例
実際に企業情報が漏えいした事例を2つ紹介します。
システムの脆弱性を狙った不正アクセスにより個人情報が漏えいした事例
外部のシステム業者と契約し、VPN機器によりグループ会社間で個人情報を共有していたA社では、システムの脆弱性を狙った不正アクセスによる情報漏えい事故が発生しました。ソフトウェアの更新を適切に行わず、セキュリティの脆弱性を放置していたことが主な原因です。
セキュリティの脆弱性が放置されていた背景には、外部システム業者との間で、セキュリティ対策に関するシステム保守の業務委託契約を締結していなかったことがあります。また、グループ会社の間で、脆弱性対策を行う役割分担が明確化されていなかったことも要因として挙げられます。
参考:個人情報保護委員会「不正アクセスによる個人データ漏えい防止のための注意喚起」
サーバーの設定ミスにより顧客の個人情報が漏えいした事例
大手エステ会社のB社では、資料請求を行った3万人以上の顧客の氏名、住所、年齢、メールアドレスなどの個人情報が漏えいしました。
原因は、サーバーの初歩的な設定ミスです。自社ホームページの公開設定を誤り、顧客情報が誰でも閲覧可能な状態になってしまったことで情報漏えいが起きました。
漏えいした情報の中には、エステの施術に要する体のサイズなどのプライバシー情報が含まれていたため、重大な情報漏えい事案として扱われました。
参考:総務省「事故・被害事例および対処法(セキュリティ事故が起きた後にやるべきことは)」
情報漏えいは企業だけでなく政府機関でも起こり得る
個人情報保護委員会によると、2024年第3四半期(10〜12月)に報告された個人情報の漏えい件数は、国の行政機関で71件、地方公共団体で447件にのぼります(※1)。
最近でいえば2023年8月に、厚生労働省が指定難病患者に関する個人情報を誤って研究機関に提供し、延べ5,640人分の氏名・生年月日・住所などが流出する事故を起こしました(※2)。この事案では、本来削除すべき個人情報をデータ作成者が失念し、加えてダブルチェックの体制も不十分だったことが原因とされています。
国や地方公共団体は、住民の生活や安全に関わる業務の中で、大量かつ機微な個人情報を日常的に扱っており、その管理には高度な注意を払わなければなりません。
いかにセキュリティ体制が整っていても、人的ミスや確認漏れなどのヒューマンエラーによって情報漏えいは発生し得ます。公的機関であっても情報管理に「絶対」はなく、常に高い危機意識を持ち続け、継続的な対策と改善を講じていく必要があります。
※1 参考:個人情報保護委員会「令和6年度第3四半期における漏えい等報告の処理状況」
※2 参考:厚生労働省「指定難病患者データの研究利用のための第三者提供における個人情報の流出及びその対応について」
企業情報の漏えいを防ぐために行うべき対策
企業情報の漏えいを防ぐためには、以下のような対策が必要です。
- デバイスごとに適したセキュリティ対策を行う
- システムやソフトウェアの更新をこまめに行う
- 従業員のセキュリティ意識を高める
- 組織内の情報取り扱いルールを整備・周知する
情報漏えいの防止策は、セキュリティの強化だけではなく法令遵守の一環としても捉える必要があります。個人情報保護法にもとづく安全管理措置や報告義務を理解し、適切な対策を講じることが、企業においてリスク管理をするうえでの重要なポイントになります。
デバイスごとに適したセキュリティ対策を行う
情報漏えいを防ぐためには第一歩として、使用するデバイスごとに適切なセキュリティ対策を講じることが大切です。具体的には、以下のような対策が推奨されます。
- 強固なパスワードの設定
- 通信の暗号化
- 多要素認証の導入
- アプリ・Webサイト利用の制限設定
- 盗難・紛失時に自動ロック・遠隔操作が可能な設定
これらの対策は、デバイスの導入初期段階で確実に実施する必要があります。社内での設定が難しい場合は、キッティングサービスなど専門業者の支援を活用するとよいでしょう。
システムやソフトウェアの更新をこまめに行う
システムやソフトウェアの更新は、企業の情報資産を守る基本的かつ継続的な対策です。システムやソフトウェアの脆弱性は、情報漏えいの大きなリスク要因となります。たとえ導入時点で安全なソフトウェアであっても、時間の経過とともに新たな脆弱性が発見されるため、定期的な更新が不可欠です。
特に、アップデートを怠ったままにすると、不正アクセスやマルウェア感染のリスクが高まります。
セキュリティソフトによる脆弱性診断や不正通信の検知も有効ですが、他のシステムやソフトウェアの更新とあわせて常に最新版に保つ必要があります。
従業員のセキュリティ意識を高める
情報漏えいを防ぐためには、技術的な対策だけでなく従業員のセキュリティ意識を高める対策も欠かせません。情報漏えいの多くは、従業員の操作ミスや不注意に起因して発生しているからです。
従業員の操作ミスや不注意による過失を防ぐには、以下のような基本行動の徹底が求められます。
- 権限の無断変更や不必要なユーザー招待を行わない
- 勤務時間外に社外へデバイスを持ち出さない
- 私物端末の業務利用を禁止する
- 不審なメール内のリンクや危険なWebサイトにアクセスしない
- セキュリティが担保されていない公共Wi-Fiを使用しない
上記の行動を従業員に意識づけるには、定期的なセキュリティ研修の実施が有効です。研修では、自社のセキュリティポリシーに加え、過去の情報漏えい事例も共有すると、情報漏えいに対してより危機感をもつようになるでしょう。
組織内の情報取り扱いルールを整備・周知する
組織内の情報取り扱いルールを整備・周知することは、従業員のコンプライアンス意識の向上と内部不正の抑止につながります。デバイスの操作方法やセキュリティポリシーなど、組織内で決めたルールを社内マニュアルやガイドラインに明文化し、社内全体で共有しましょう。
デバイスや情報の不正持ち出しなどの内部不正に対しては、入社時の守秘義務契約の締結、内部通報制度の導入が有効です。
また、委託先の過失による情報漏えいでも、管理不備として委託元企業に監督責任がおよぶ可能性があります。そのため、委託契約においても秘密保持条項の明記と定期的な監査体制の整備が必要です。
漏えい対策を適切に行い自社の企業情報を守ろう
企業情報の漏えいは、企業の規模や業種を問わず、企業の経営に重大な影響をおよぼします。顧客・取引先からの信頼を失う結果となり、場合によっては損害賠償や法的責任も発生しかねません。
企業情報を守り、漏えいさせないためには、自社において情報漏えいが発生しやすい要素を把握し、適切なセキュリティ対策を行う必要があります。
その手始めとして、まずはデバイスの導入初期段階で強固なセキュリティ設定を行いましょう。リソースが足りないなどの理由で、自社におけるデバイスのセキュリティ設定が難しい場合は、キッティングサービスの利用がおすすめです。
SBフレームワークスのキッティングサービスでは、アンチウイルスソフトの導入や暗号化作業など、お客様のセキュリティポリシーに合ったセキュリティ対策を行います。マニュアル作成にも対応しており、デバイス導入後のアフターケアも可能です。
\年間30万台のキッティング実績にもとづき提案/
監修者プロフィール
SBフレームワークス マーケティング/広報
玉橋 丈児
物流×輸配送×テクニカルソリューションで、お客様の課題解決を目指すSBフレームワークスのマーケティング担当。テクニカルソリューション分野での実務経験を活かして、弊社のサービスや、業界の話題などを解説いたします。物流技術管理士補。
関連記事
サービスの詳細について資料をご用意しております。社内での検討などにご活用ください。
サービスの詳細や料金へのご質問、商談のお申し込みや、お見積りのご相談は、こちらよりお問い合わせください。