はじめに

昨今は企業の情報漏洩に厳しい目が向けられ、コンプライアンス遵守を意識している企業も増加しています。

情報漏洩と言うと、フィッシングなどの不正アクセスや、ウイルスなどのマルウェアによるリスクを考えがちです。実際、こうした不正アクセスなどに対するセキュリティは万全という企業も多いでしょう。

しかし、現実の情報漏洩はこれらの不正アクセスなどに限られません。
社員や従業員による不正、様々な不注意による機密情報の漏洩も少なからず発生しているのです。

実際に2018年のNPO日本ネットワークセキュリティ協会(JNSA)の調査では、ウイルスなどの漏洩は0.2%で、不正アクセスやバグなどITに付随した情報漏洩を含めても約22%にすぎず、紛失・置き忘れ(26.2%)、誤操作(24.6%)を筆頭に、管理・設定ミス、不正や盗難など、ヒューマンエラーやリアル世界での犯罪が多くを占めています。

漏洩原因グラフ

出典:2018年 情報セキュリティインシデントに関する調査報告書(JNSA)



一度でも情報漏洩が発生すると、会社の信頼回復に時間がかかり、問い合わせ対応や多額の賠償金が必要なほか、漏洩した情報によって顧客や会社に大きな影響を与えてしまう可能性もあります。

そのため、IT関連だけではなく、様々なルートでの情報漏洩を遮断する対策が必要になります。この記事ではネットワークを介さない情報漏洩のリスクや事例、それぞれの対策についてご説明します。

SNSによる情報漏洩事例と対策のポイント

従業員がTwitterやFacebookなどのSNSに投稿することで情報漏洩してしまうことが多いです。

他の情報漏洩経路と異なり、漏洩者が意図しなくとも瞬く間に様々な人へ伝達されてしまうため、事前の対策が欠かせない漏洩経路です。

以下で、Twitterでの事例をご紹介し、SNS経由の情報漏洩リスクと対策のポイントをご説明します。

【2-1】Twitterでの情報漏洩事例とその影響

2011年、ウェスティンホテル東京で、アルバイト従業員が有名人の宿泊情報をTwitterに投稿する事案が発生し、当時大きな話題となりました。

また、アルバイトだけでなく、ソフトバンクのCTO(最高技術責任者)が報道発表前の他者との協業情報をツイートしてしまい、会社全体の情報管理に対する不安を抱かせる事案も発生しています。

通常、時間とともに事態は沈静化しますが、失われた会社の信頼を取り戻すことは容易ではありません。

宿泊情報や個人情報が漏洩されるとなれば、「自分の情報も漏洩するのではないか」と不安になり、安心してホテルやお店を利用できなくなります。特にCTOなど、責任が重くセキュリティ意識も高くあるべきと考えられる人が、他社にも関わる情報を漏洩したとなれば、今後の取引を打ち切られても不思議ではありません。

したがって、SNS経由での漏洩リスクを減らすための対策が必要になります。

【2-2】SNSによる情報漏洩対策

SNSは従業員個人で行うため、会社としては、アカウントを把握し、投稿を事前チェックすることはできません。

そのため、会社ができる対策のポイントは主に以下の2点になります。


・個人情報を閲覧できる従業員を減らす

例えば、知らなくても業務に差し支えない個人情報を非表示にすることや、一定の権限がなければ閲覧できないように設定することが考えられます。

・コンプライアンス、セキュリティ教育を定期的に行う

多くの会社では、入社時の研修や契約で守秘義務を負わせるとともに教育を行っています。

しかし、どれほど適切に研修を行ったとしても、人は時間の経過とともに忘れていきます。また、業務に慣れてくると「これくらいなら大丈夫」と思って漏洩してしまうこともあります。


そのため、定期的な研修や朝礼での唱和などでセキュリティ意識を育み、維持していくことが不可欠です。こうした継続的な対策が、従業員がSNSへ投稿したいと思ったとき一定のストッパーになります。

機密情報の持ち出しによる情報漏洩事例と対策のポイント

従業員が社内データ・機密情報・人事情報などを持ち出すことで漏洩してしまうリスクがあります。これも対策が非常に難しい情報漏洩経路の一つで、セキュリティ対策を行っている大手企業でも発生してしまう大きな課題です。

【3-1】機密情報の持ち出しによる情報漏洩事例とその影響

2017年、システム開発などを行うゼネテックでは、元従業員による顧客データの持ち出しが発生しました。

長い調査期間を経て、2019年にデータを持ち出した元従業員は逮捕されましたが、持ち出されたデータはライバル企業に流出していました。こうした悪意ある機密情報・データ持ち出しの場合、甚大な影響・被害が生じる可能性が高いです。

また、2019年12月にはインテックの従業員が不正に情報を持ち出し、2020年1月にはソフトバンクでも元従業員による持ち出しが発生しています。

このように、システム系の会社でも度々不正なデータ持ち出しが発生しており、事例については枚挙に暇がありません。

一度持ち出されれば不正に利用される可能性が十分にあることから、「逮捕されたからよかった」というわけにもいきません。

重要なことは、こうした不正なデータ持ち出しを防止することです。

【3-2】機密情報の持ち出し対策のポイント

データ持ち出しの情報漏洩対策は、在籍中の従業員への対策と、退職した元従業員への対策の2つに大きく分けられます。


・内部の犯行・不正に対する対策

SNSと同様に、研修やセキュリティ意識の定着などを地道に行うことが第一です。

また、悪意ある在職者も想定されるため、重要な情報についてはパスワードを設定し、誰もがアクセスできる状態に置かないという、基本に忠実な対策を忘れないことが重要です。

その他の対策としては、顧客情報、契約書、図面などの紙媒体について、保管場所を決め、施錠するとともに管理者を定めることが考えられます。


・退職した元従業員に対しての対策

退職者が不正にデータを持ち出せる理由としては
  • 社屋に入ることができる
  • 外部から情報にアクセスできる
  • 情報のパスワードが更新されていない
などがあります。

元々リモートワークなどをしていた従業員は、パスワードなどの変更がなければ、退職後もデータへのアクセスが可能な場合があります。また、社屋に入ることができれば、パソコンなどからUSBメモリにデータを移すことも可能です。

会話・プライベートでの情報漏洩事例とその影響

SNSともデータ持ち出しとも異なる情報漏洩経路として、従業員の会話やプライベートでの悪意のない情報漏洩があります。

【4-1】会話・プライベートでの情報漏洩事例とその影響

2019年10月には、百十四銀行の行員が数ヶ月に渡って顧客情報を知人に漏洩していたことが発覚しました。

この事案では、1件の顧客で詐欺事件の被害が発生しており、漏洩した情報が詐欺の犯人に渡った可能性が高いとされています。

また、社員同士の飲み会などでは、どうしても取引先の話題になり、それに附随して重要な情報が漏れてしまうこともあります。取引先を出たあとの会話や、屋外での電話などでも、本来は守秘義務であるはずの内容を話してしまい、重大な情報漏洩につながることがあります。

こうした会話を取引先に聞かれた場合「こんな信頼できない会社に任せるのは止めよう」という判断になる可能性もあります。

【4-2】会話・プライベートでの情報漏洩対策

基本的には社員の行動による漏洩ですので、会社として万全の対策というものはありません。 ただ、SNSの対策と同様、研修などを定期的に実施することで、社員のセキュリティ意識を高め、間接的に防止することは可能です。

なお、社内での重要な会話などを「盗聴」して情報漏洩させるケースも多いです。 こうしたケースは内部で気づくことが難しいため、盗聴器発見サービスなどで調査することが重要です

『あんしん.com』は、東京・渋谷で1978年創業の信頼できる警備会社が提供する盗聴器・盗撮器発見サービスです。

万が一盗聴器が設置されていたら確実に発見するために、「盗撮されているかもしれない」と思ったら、まずは電話・メールの無料相談をご利用ください。

東京渋谷 警備会社の盗聴・盗撮調査 | あんしん.com

https://anshin.com/tocho/

情報漏洩による民事上の責任

情報漏洩では、会社が損害賠償請求を受けることがあります。

例えば、従業員の行為によって顧客の個人情報が漏洩した場合、これによって顧客に損害が発生すると、不法行為(民法709条)に基づく損害賠償請求を受ける可能性があります。

本来、不法行為は行為者本人が請求されるものですが、会社は従業員が事業に関して他者に与えた損害を賠償するものと定められています(民法715条1項本文)。

例えば、Yahoo!BB顧客情報漏洩事件では、顧客1人あたり6,000円の賠償が命じられ、被害総額は100億円を超えるとされています(大阪地裁平成18年5月19日)。

東京近辺で、盗聴・盗撮の調査をご希望の方へ

会社の情報漏洩経路は、ご説明してきたSNS、不正なデータ持ち出し、従業員の会話の他、正当に持ち出したデータの紛失、誤操作など、様々なものがあります。

しかし、一つ一つの漏洩経路について、丁寧に対策をしていくことで、情報漏洩の可能性を低くすることはできます。

社内での盗聴・盗撮による情報漏洩については、ぜひ盗聴器・盗撮器発見サービスをご検討ください。

『あんしん.com』は、東京・渋谷で1978年創業の信頼できる警備会社が提供する盗聴器・盗撮器発見サービスです。

当サービスの強み・特長は、

  1. 1978年創業で、安心な警備会社
  2. 最新機器による徹底的な調査
  3. 低価格で分かりやすい料金設定
  4. 女性スタッフによる対応が可能

です。生活の平穏と安心を取り戻し、万が一盗聴器が設置されていたら確実に発見するために、「盗撮されているかもしれない」と思ったら、まずは電話・メールの無料相談をご利用ください。