今こそ再確認したい、情報漏えい対策の基本ポイント

コロナ禍を契機に、企業や従業員が新しい働き方へと移行しているケースが増えています。こうした業務環境の変化が、新たな情報漏えいリスクとして認識され始めています。この記事では、変化する業務環境に伴う情報漏えいの実態と、基本的な情報漏えい対策を再確認します。

働き方改革が生み出した新たな情報漏えいリスク

2020年以降のコロナ禍により、企業や組織の働き方が大きく変わらざるを得なくなりました。これにより、「いつでも、どこでも」業務が可能な環境が整い、出社の必要性を感じなくなる職種も出てきています。

一方で、コロナ禍が収束に向かう中、リモートワークから再び出社に戻る動きも見られます。また、「ハイブリッドワーク」という言葉も登場し、業務や生活に合わせて柔軟に働く企業も増加しています。しかし、こうした働き方の自由度は従業員の利便性や満足度を高める一方で、情報漏えいのリスクを増大させることになります。以下に、こうした変化による情報漏えいリスクについて解説します。

情報端末の紛失・盗難

オフィス外で業務を行う場合、業務用スマートフォンやノートパソコンなどのモバイル端末を持ち出す機会が必然的に増えます。しかし、オフィス内のように厳格な管理が難しいため、外に持ち出す際には端末の紛失や盗難といったリスクが発生する可能性があります。

家族、知人経由での情報漏えい

オフィス外での勤務場所は人によって異なります。快適な環境を求めて郊外で仕事をする場合もあれば、家族や知人と一緒に出かけた先で業務を行うこともあるでしょう。こうした場合、周囲に企業・組織外の人がいると、情報漏えいのリスクがつきまとうと考えられます。

外部記憶媒体の紛失・盗難

オフィス外で業務を行う場合、スマートフォンやノートパソコンに加えて、USBメモリなどの外部記憶媒体を使用することもあります。これらの媒体は便利ですが、紛失や盗難のリスクが高いことでも知られています。実際、USBメモリやHDDの紛失・盗難に関する事例は多く報告されています。

ただし、紙の書類にはそうしたリスクがないわけではありません。現在も書類の紛失や盗難は発生しており、物理的なものを持ち歩く限り、こうしたリスクは存在することを認識することが重要です。

SNSを通じた情報漏えい

SNSは情報発信の手軽なツールとして、日常生活の中で広く利用されています。業務をオフィス外で行うことにより、公私の境界が曖昧になり、その結果、業務に関する話題をSNSにうっかり投稿してしまう可能性があります。さらに、投稿した画像に業務に関する情報が含まれていることも考えられます。

個人所有の情報端末を通じた情報漏えい

企業や組織から貸与されたモバイル端末と比べると、私物の端末はセキュリティ対策が十分でないことが多いです。そのため、私物端末を業務に使用することで、情報漏えいのリスクが増加します。マルウェアによる情報漏えいや紛失・盗難のリスクも伴います。

とはいえ、従業員にとっては業務効率が向上することから、悪意なく私物端末を業務に使用してしまうことがあります。また、SNS経由での情報漏えいリスクも私物端末で発生する可能性があることは容易に想像できます。

過去に起こった情報漏えいの事例

実際に発生している情報漏えいの事例には、以前から問題視されていたものもあれば、技術革新や業務環境の変化によって新たに生じたものもあります。コロナ禍による働き方の変化に伴うリスクに加え、これまで指摘されてきたリスクが原因となる情報漏えいも引き続き発生しています。

大手情報通信グループ会社における内部犯行

2023年10月、コールセンター代行業務を多く手掛ける大手企業で、約900万件に上る情報漏えいが発覚しました。元派遣社員の運用保守担当者が、管理者権限を悪用してサーバーから情報を不正に外部記憶媒体にダウンロードし、数年間にわたり継続的に情報を持ち出していたとされています。この事案の発覚が遅れた原因の一つとして、定期的なログチェックなどが行われていなかったことが挙げられています。

---

大手商社における元社員による情報の不正取得

2023年9月、大手商社の元社員が不正競争防止法違反で逮捕されました。この元社員は、競合企業に転職する際に、前職の会社の機密情報を持ち出した疑いが持たれています。

大手出版会社におけるスミッシング被害

近年、パソコン廃棄の代行業者が増加しているが、先に紹介した某県庁のように、委託先業者の従業員が不正に廃棄を偽ってデータを流出させるケースも見受けられる。このような問題を避けるためには、廃棄プロセスがしっかりと管理され、透明性のある事業者を選ぶことが必要だ。さらに、廃棄証明書の発行やプロセスの可視化も選定基準として考慮したい。

大手百貨店グループにおけるデータ誤送信

2022年11月、大手百貨店のグループ内でデータの誤送信が明らかになりました。顧客の許諾なしに情報が共有されていたことが判明し、発覚後、当該企業は迅速にデータ削除を実施しました。

官公庁におけるメールの誤送信

2021年3月、官公庁の委託事業でメール誤送信が発生しました。誤送信されたメールにはクラウドサービスへのリンクが記載されており、アクセスすると1,000名以上の個人情報が表示される状態となっていました。

大手Webサービス提供会社におけるパソコンの紛失

2014年5月、大手Webサービス提供企業の従業員が電車内でパソコンが入った紙袋を紛失しました。翌日にはパソコン自体が発見され回収されたものの、紛失していた間に誰かがログインしていたことがログ調査により判明しました。

従業員に求められる情報漏えい対策

リモートワークやハイブリッドワークを継続可能なものにするためには、企業や組織のセキュリティ対策はもちろん、従業員一人ひとりの意識改革と対策の徹底が求められます。以下に、従業員が取るべき対策を示します。

誤送信対策ソリューションの導入

メールの誤送信を防ぐためには、従業員による送信前のダブルチェックが基本となります。しかし、ヒューマンエラーは避けられない前提のもとで、誤送信防止のためのソリューションを併用することが望ましいです。こうしたソリューションを導入すれば、万が一誤送信しても、重大な情報漏えいに至るリスクを減らすことができます。

情報持ち出し対策の徹底

先述の事例からも分かるように、従業員が悪意を持って情報を持ち出す事例は依然として発生しています。こうした行為を防ぐためには、情報へのアクセス権限の管理や相互監視だけでなく、ネットワークやログの管理・監視を強化し、疑わしい行動があった場合にはアラートを発信する仕組みを導入することが求められます。

セキュリティポリシーの順守

現代の企業や組織では、セキュリティ対策の重要性が認識され、さまざまな対策が講じられています。その一つとして、セキュリティポリシーの策定があります。自社の実情に即したセキュリティポリシーを遵守することで、情報漏えいのリスクを抑えることができます。

しかし、急速に進化するデジタル技術により、既存のポリシーが時代遅れになることもあります。こうした場合、ポリシーの見直しを行い、現実に即した内容に更新することが求められます。

最新の漏えい事件を把握

AIの進化に象徴されるように、デジタル技術はその進歩が非常に速いのが特徴です。サイバー攻撃者はこの技術の進化を反映させて、その攻撃手法を次々と巧妙にしているのが現状です。したがって、最新の手口を常に把握し、理解し、対策を講じることが重要です。

利用しているモバイル端末を適切に管理

企業や組織の中には、ヒューマンエラーが起こる可能性を考慮して、MDM（モバイルデバイス管理）などを活用し、紛失や盗難に備えた対策を実施しているところもある。エンドポイント端末はサイバー攻撃者にとって主要な侵入経路となるため、この対策は重要だ。

従業員もまた、セキュリティ意識を高く保ち、使用するモバイル端末を適切に管理しなければならない。特に、ゼロデイ攻撃といった未修正の脆弱性を狙った攻撃が増えているため、脆弱性の修正プログラムが配布された際には、速やかに適用することが不可欠だ。

不審なWebサイトへのアクセス、不審なメールの開封を避ける

先述した通り、業務用スマートフォンを狙った攻撃が依然として続いている。攻撃者の手法は年々巧妙になり、危険だと認識できないようなケースも増えている。また、標的型攻撃と呼ばれる手法も一般化しつつあり、攻撃がますます悪質化していることを認識しておくべきだ。

一度情報漏えいが発生すれば、企業や組織は重大な損失を被ることになる。金銭的な被害にとどまらず、社会的信用を失うことで長期的な悪影響が及ぶ恐れもある。さらに、漏えいの原因となった従業員が損害賠償を求められる可能性もある。