個人情報流出まとめ、

企業がとるべき対応や予防ポイント

 

今回は前回に引き続き、個人情報流出についてまとめていきます。流出を防ぐためのポイントや、万一事故が起こってしまった場合に企業がとるべき対応についてみていきたいと思います。

 

個人情報が漏れた場合の影響

 前回にも個人情報漏えいによるリスクと社会的影響について触れましたが、もう一度その影響についておさらいしてみましょう。

 

• 顧客の名前や住所、電話番号などの個人情報が漏れると、顧客はもちろん、漏らした本人や企業にとっても大きな損失になります。
• 漏えいした個人情報の中に、銀行口座やクレジットカード番号などの決済情報が含まれていたために、勝手に自分になりすまされて、知らない間に高価な買い物をされてしまう等の金銭的な被害に遭う危険性があります。
• クレジットカード番号や電話番号等の個人情報を闇市場で売買される例もあります。闇市場に流れた個人情報はどこで悪用されるか分かりません。
• 企業から個人情報が漏えいした場合には（社員個人から漏えいした場合も同じです）、企業の信用失墜、損害賠償等、大きな損失に繋がります。

 

• 企業に置ける被害額算出モデル

 

情報漏えいが起こった場合、実際のどれ位の被害額が発生するのか『IPA 独立行政法人 情報処理推進機構』がまとめた算出モデルがあります。

 

引用：https://www.ipa.go.jp/files/000027865.pdf

 

この算出モデルでは一時的被害と二次的被害に分かれています。一時的被害では機器の性能低下・停止、データの破壊や流出、顧客対応、原因究明によるコストの他、ECサービスの停止や業務遅延や停止によって被った売り上げの損失など、直接的な被害額が算出できるようになっています。そして二次的被害は体制の強化、補償・損害賠償、訴訟費用、信用低下や風評被害の対策など、間接的なコストについて書かれています。企業は日頃、情報漏洩が発生した場合、どれ程の損害が発生するのかきちんと数値をだして把握する必要があるでしょう。

 

情報漏えいを防ぐ予防措置

個人情報が漏れた場合、企業にとっては多額の賠償、そしてなにより信用低下を招いてしまいます。そうならないためにも日頃から予防措置をとっていく必要性があります。あなたが経営者(責任者）なのか、システム管理者なのか、または自社でECサイトを運営している事業主なのかでチェックする項目が変わってきますので、下記を参考にそれぞれ一度見直してみましょう。

 

経営者（責任者）としてチェックするポイント

• 個人情報漏えいに対する取り組みを自ら主導し推進している
• 社内でセキュリティポリシーを策定し対策を計画している
• 採用、退職の際には守秘義務に関する次項を書面で交わしている
• 個人情報保護の必要性を全ての従業員に周知している
• WEBサイトの管理者が脆弱性対策をきちんと行っているか把握している

 

システム管理者がチェックするポイント

• OSやミドルウェアなどのソフトウェアの脆弱性情報を把握し、必要に応じてパッチの適用を行っている
• ファイアウォールを使用して社内ネットワークを目的毎に分割し、それぞれに応じたセキュリティレベルの設定をしている
• 退職者のアカウントを速やかに削除し不正アクセスを防止している
• 誰が、いつ、どの情報にアクセスしたかログ記録を取り、確認している
• 個人情報の管理を適正に行い、情報にアクセスできる社員を限定している
• 社外に持ち出すPCやUSBメモリの持ち出しの管理、パスワード設定、データの暗号化など紛失や置忘れに対する対策を行っている
• 無線ＬＡＮにはWPA2-PSKなどの適切な暗号化方式を選択している
• セキュリティ事故発生時の対応手順を明確にしている
• 社員が使用する業務用PCに対しては、業務上必要なソフトウェアのみをインストールできるようにしている
• 私用PCの業務利用または業務PCの私的利用ができないようにしている

 

ECサイト運営者がチェックするポイント

• ECサイトを外注して開発する場合、脆弱性対策や情報漏えい対策を盛り込み、保守契約の締結を適切に行っている
• 自社開発のECサイトにはWEB上の脆弱性を熟知し適切な対策、プログラムで構築している
• 運営中のECサイトに新たな脆弱性が発見された場合、対応できる体制になっている
• 個人情報をウェブサーバの公開フォルダには置いていない
• ECサイトの利用者をフィッシング詐欺から守る対策を講じている
• ECサイトのアタック状況を把握し、日頃から監視している

 

前回にあげた実際の事例をみてみると、退職者によるアカウントへの不正アクセスや、個人情報の使いまわし、社外にUSBメモリ等を持ち出して紛失するなどの人的ミスも目立ちました。最も多い情報漏えいの原因が、「置き忘れや誤廃棄、メールの誤送信といった過失によるもの」とIPA 独立行政法人 情報処理推進機構も結論づけています。こうしたミスや内部からの漏えいを防止するには、ここにあげたようなチェックポイントを確実に実行することによって、防止できたものも多く含まれます。

 

また、外部から脆弱性を利用したアタックやハッキング等によって、クレジットカード情報等も狙った事例もありました。実際に「サイバー攻撃」はどんどん増加傾向にあります。サイバー攻撃と言っても、以前のようなパソコンや企業システムを直接狙うものではなく、インターネットに接続できる端末やIoT機器などの家電を狙うケースが多くなっています。それらの攻撃の予防も、ここに書かれているチェックポイントによって、日頃の監視や対策を講じる事で予防していける可能性が高まります。

 

情報漏えいした場合の対応

日頃からの注意にも関わらずひとたび情報漏えいを引き起こしてしまったら、次の項目に従って対応する必要があります。

 

１．二次被害の拡大、再発の防止

情報漏えいが発生した場合に最も重要なことは、情報漏えいによって引き起こされる被害を最小限にとどめることです。漏えいした情報が犯罪等に使用されること を防止しなければなりません。また、一度発生した事故・事件は二度と起こることのないよう再発を防止します。

 

「いつ、誰が、何の情報を、どのように漏えいさせ、いまどのような状態なのか」を、社内で徹底的に調べるようにします。そしてなぜ起きてしまったのか、原因究明につとめます。

 

２．事実確認と情報の一元管理の原則

情報漏えい対応においては正確な情報の把握に努めます。憶測や不正確な情報発信は混乱を引き起こします。情報の一元管理を徹底し、正しい情報の把握と管理を行います。

 

３．透明性・開示の原則

被害拡大防止や類似事故の防止、企業組織の説明責任の観点から必要と判断される場合には、組織の透明性を確保し情報を開示する姿勢で原則のぞみます。

 

４．責任の追及

 

情報漏えいの原因になった社員、またその社員が所属する部署については、責任追及をしっかり行います。

 

情報漏えい対策の不備が原因で、重要な情報が流出してしまった場合、企業は賠償金を支払うだけでなく、失った信頼やイメージの回復に努めなければなりません。起こってしまった事故への対応を迅速に行い、同様の事故が二度と起こらないよう、情報漏えい対策の徹底的な見直しと改善策の実施を行っていく必要があります。被害を最小限に抑えるためにはどのような対応をとるべきかを考える事が大事です。

 

最後に

今回はサイバー攻撃を受けた場合の、企業が取るべき方法についてポイントを紹介しました。巧妙化するサイバー攻撃やトラブルには、起きた場合の対応についても考えておく必要があります。そして二次被害や被害の拡大を防ぐこと、お客様を優先とした対応が不可欠になることを念頭に、二度と被害を起こさないための再発防止につとめることが最も大切です。