情報漏洩が発生したらどのような対応をするべき？ポイントを押さえる！

情報漏洩が発生すると、高額な損害賠償や顧客・取引先の信用喪失などの影響があり、企業・組織の存続に関わる懸念が生じます。任意の企業・組織で起こりうる可能性があることから、予防対策だけでなく発生時の対応策も準備することが必要です。今回の記事では、情報漏洩に関する基礎知識や対応フローを解説し、対策・対応についても開設していきます。

セキュリティインシデントについて確認

セキュリティインシデントは、コンピュータシステムやネットワークなどのセキュリティ上の問題や問題発生を指します。例えば、ハッキング試行、ウイルス感染、不正アクセスなどが含まれます。USBメモリやパソコンの紛失・盗難やパソコンもこれにあたります。また、天災などによるITシステムの故障も広い意味でのセキュリティインシデントに含めます。

もし情報漏洩が発生したら？企業はどうする？

もし、セキュリティインシデントなどが原因で情報漏洩が起きてしまった場合、どのような対応をとるべきなのでしょうか？詳しく解説していきます。

基本の姿勢：3つの防止

被害拡大防止・二次被害防止・再発防止
この3つの防止を頭に入れておきましょう。情報漏洩が起きてしまったあと漏洩した情報によって犯罪が起きてしまう可能性もあります。このような2次被害を避けなければいけません。また、2度と情報漏洩が起きてしまわないよう対策を考えることが最も大切です。

情報漏洩発生後の対応の流れ

情報漏洩が起きてしまってからどのような対応をしていく必要があるのか、流れに沿って解説していきます。

①上司・責任者への報告

情報漏洩・流失の事実が発覚したり、外部から漏洩流失が報告された場合即座に上司や責任者に報告しなければいけません。情報漏洩が社内の一部で発生し、そのまま放置していると責任者の知らぬ間に情報漏洩の被害が拡大する恐れがあります。情報漏洩が発生した場合は迅速な対応を取ることが重要です。

②初期対応

初期対応とはこれ以上の情報漏洩を防ぐためのものになります。具体的には社内に情報漏洩の対策本部を設置したり、社内のシステムを一時停止させてサイバー攻撃の標的にならないようにすることが挙げられます。この初期対応のスピードやどんな対応を行うかによってその後の損害や社会からの信頼に大きく関わってきます。

③事実確認

続いては情報漏洩が本当に起きてしまったのか、またどのような経緯で発生してどのように発覚したのか事実確認を行います。以下の項目をしっかりと調査しましょう。
・いつ情報が漏洩したか
・いつ情報漏洩が発覚したか
・どこで情報漏洩を発見したのか
・誰が情報漏洩を発見したのか
・どんな情報が漏洩したのか
・なぜ情報漏洩が起きてしまったのか
・どのように情報漏洩が発覚したのか

④原因の調査

事実確認ができたら本当に確認された事実が正しいのかを証明する証拠や裏付けを調査します。このように情報漏洩の原因を調査して、法的な証拠を探すことをフォレンジック調査といいます。調査の方法は端末調査（コンピューターフェレンジック）とネットワーク調査の2つです。それぞれの調査内容をまとめると以下のようになります。
端末調査：機器のアクセスログの分析、使用履歴の調査、削除データの復旧や復元 など
ネットワーク調査：不正アクセスポイントの調査、ウイルス感染源の検出 など
このような調査を自社で行うのには限界があります。専門業者に依頼するのが確実といえます。

⑤情報漏洩の事実の通知・公表

情報漏洩が起きてしまったら、個人情報保護委員会に情報漏洩の事実を報告する必要があります 。報告後、同委員会から勧告や指導が入ります。この指導に従い情報漏洩の再発防止に努めましょう。また情報漏洩によって被害を受けた顧客や関係者がいる場合には、情報漏洩があったという事実を公表し謝罪をしなければいけません。

⑥より適したセキュリティの導入

情報漏洩の原因のひとつが、マルウェアです。マルウェアは1日に100万種超の勢いで増殖し続けていてセキュリティシフトによるマルウェアの対策も限度があります。

※マルウェアとは、コンピューターウイルス、トロイの木馬、ランサムウェア、スパイウェアなど、コンピューターシステムに損害をもたらすプログラムのことを指します。マルウェアは、意図的に作られたものもあれば、誤ってダウンロードしたものもありますが、通常は
個人情報の流出やシステムの乱用などの目的があります。

従来のセキュリティソフトで防御できるマルウェアは全体の50％にも満たないとされています。よって、セキュリティ対策ソフトを用いてマルウェアに対処することは不可能といえます。しかし、現代のマルウェアに対応しているセキュリティ製品も出てきています。マルウェアに対応しているセキュリティ製品を選ぶ際にはしっかりと選ぶようにしましょう。

⑦被害者への対応：商品券や慰謝料

情報漏洩があった場合、一部の被害者からは慰謝料などの支払いを要求することがあります。このとき、要求してきた被害者のみに慰謝料の支払いを行ってはいけません。全ての被害者に同様の対応を取ることを心がけましょう。

漏洩情報・状況別　対応ポイント

ひとくちに情報漏洩といっても流失してしまった情報の種類によって取るべき対応が変わります。種類ごとにどのような対応を取る必要があるのか解説していきます。

①ネット上に顧客の個人情報が公開された

ネット上に公開された顧客の個人情報が公開されてしまった場合、個人情報が嫌がらせに使われてしまったり、振り込め詐欺などの犯罪に利用されるなどの2次被害が起こる可能性があります。このような2次被害を防ぐことが1番重要です。

②自社のECサイトのID・パスワードが流出した

自社で運営しているECサイトのID・パスワードが流失した場合、情報を入手した人が不正ログインすることで顧客の個人情報を知ることができてしまいます。このような流失があった場合、2次被害を防ぐためにログインの停止をした上で顧客へパスワードの変更などを促すようにしましょう。

③自社のECサイトからクレジットカード情報が流出した

自社で運営しているECサイトからクレジットカードの情報が流失することでクレジットカードの不正利用が起こる可能性があります。クレジットカードの情報が流失してしまった場合はクレジットカード会社への連絡を迅速に行いましょう。

④ウェブサイトの脆弱性が原因の情報漏洩

ウェブサイトの脆弱性が原因で情報漏洩した場合も同様に2次被害を防ぐ必要があります。ウェブサイトの脆弱性が原因の場合はウェブサイトの公開を停止した上で開発会社に連絡し、脆弱性除去することが必要です。

情報漏洩を事前に対策することはできる？

情報漏洩を事前に防ぐためには情報セキュリティマネジメントを行うことが大切です。
情報セキュリティマネジメントを行うためには最初に情報セキュリティポリシーを作成することが重要です。このポリシーは、セキュリティ担当者だけでなく、社内全員に通達し共有することが大切です。さらにフィードバックも受け取り、運用できる形で整備しましょう。また、セキュリティ対策ツールやシステムの導入にもポリシーに沿って優先順位を考慮することで効果を高めることが期待できます。

そもそもなぜ情報漏洩が発生する？

情報漏洩が発生する原因には外部要因と内部要因の2つがあります。それぞれ詳しく見ていきましょう。

外部要因

(1)サイバー攻撃

サイバー攻撃とは、コンピューターシステムやネットワーク、ウェブサイトなどを攻撃することを指します。これには、ハッキング、ウイルス感染、スパムメールなどが含まれます。これらの攻撃は、情報の漏洩や、システムの不正利用、停止などの結果を引き起こす可能性があります。近年企業がサイバー攻撃の対象となることが増えています。

(2)不正なアクセス

不正アクセスとは、認証や権限を持っていない人が、コンピュータシステムやネットワーク、データなどにアクセスすることを指します。これは、ハッキング、ウイルス感染、スパイウェアなどの攻撃手法を使用することで実現されます。不正アクセスは、情報の盗聴や改ざん、システムの乱用などの悪影響を引き起こす可能性があります。

(3)ウイルスの感染

情報漏洩はウイルスの感染によっても起こります。外部からのウイルス付きメールを開いてしまうことで感染することが多いです。また、アクセスしたサイトによってウイルスに感染することもあり、現在ではたくさんの感染経路が確認されています。

②内部原因

(1)関係者が情報を持ち出す

社内の人が悪意を持って機密情報や個人情報を外部に流したり、退職者が他社へ情報を持ち出して悪用されることもあります。

(2)操作ミス

操作ミスには、ウェブサイトに誤って個人情報を載せてしまった、メールの送信先を間違えてしまったなどのヒューマンエラーが絡んできます。このようなミスが起こらないよう個人の情報管理をしっかり行うように教育する必要があります。

(3)情報が入ったUSB等を紛失・置き忘れる

社内用スマホやパソコン、USBメモリなどを置き忘れてしまった、紛失してしまった、盗まれてしまったということがあります。操作ミスの時と同様に教育を行うことで未然に防ぎましょう。

情報漏洩が発生するとどのような損失がある？

企業で情報漏洩が起きてしまった場合どんな損害が起きるのか確認していきましょう。

① 罰金や損害賠償

個人情報保護法により、企業の情報管理は厳しくなり、高いセキュリティレベルが求められています。情報管理の不適切な企業は個人情報保護委員会から是正勧告を受け、罰金を支払うことが必要です。また、個人情報漏洩・流出による被害を受けた顧客や関係者からの損害賠償請求もあり得ます。漏洩・流出した情報の量や価値に応じて損害賠償金額が変わり、企業の負担も大きくなります。

② システムの復旧・導入の費用

情報漏洩・流出が起こった場合、原因を突き止めシステムを再び使える状態に戻す必要があります。原因特定には全社システムの停止と調査が必要で、サイバー攻撃やウイルス感染の場合は原因や感染源を突き止め復旧作業を行います。漏洩・流出情報量が多いほど復旧作業が難航し、破壊システムの再構築には巨額のコストがかかります。

③ 社会的信用の失墜

企業が情報漏洩・流出が起きた際に、顧客や関係者に対して通知・公表が義務化されると発表されました。情報漏洩・流出が起きた企業は世間からの評価が低下し、社会的信用も失われます。企業の情報管理の強化が必要です。

情報漏洩対策をする必要性・メリット

サイバー攻撃の手口は変化し続けており、PCやソフトウェアに新たな脆弱性が発見されることもあるため、常に強固なセキュリティ対策が必要です。ただし、完全に防ぐことは不可能であるため、事前対策とともにインシデント発生時の対応フローも策定することが重要です。
インシデント発生時の対応を決めておくことで以下のメリットがあります。
・セキュリティインシデントが発生したときに適切な対応を迅速に行うことができます。
・情報セキュリティ担当者が迅速に対応できるため情報の漏洩規模やシステムの中断時間を最小限にできます。
・インシデントの対応から得られた経験や知見を活用することで未知の脅威に備えることができます。

まとめ

情報漏洩が起きてしまった時の対応や情報漏洩を防ぐための対策を解説してきました。個人情報保護の大切さが世間にも知れ渡り情報漏洩が起きてしまうことでの企業へのダメージは年々大きくなってきています。今回解説した対策や対応を理解し、実践することで情報漏洩に対するリテラシーを高めましょう。
情報漏洩の対策としてプライバシーマークの取得が挙げられます。プライバシーマークの取得を行うことで情報漏洩が起こりにくい社内体制の構築ができます。プライバシーマークの取得も検討してみてはいかがでしょうか？

株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク（Pマーク）教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。