情報漏洩の被害について徹底解説！

個人情報の漏洩は増加傾向にあり、誰もが被害者になり得るため、事前に被害とその原因、対策について知ることは非常に重要です。
そこで本記事では情報漏洩による被害とその原因、対策について解説していきます。

個人情報漏洩被害状況と事例紹介

2019年に行われた調査によると、世界10か国におけるサイバー犯罪の被害者は年間3億5000万人にもなると言われています。このうち最も被害者数が多いのはインド1億3120万人、次いで2番目はアメリカで約1億人となっています。そしてそれに次ぐ3番目は2460万人で日本です。このように日本は世界的に見てもサイバー犯罪の被害が多いため、十分に情報漏洩について知っておく必要があります。

個人情報漏洩による被害想定額

次に個人情報漏洩が発生した際に生じる損害について見ていきましょう。JNSA(日本ネットワークセキュリティ協会)によると個人情報の流出によって、1人当たり2万8308円の賠償額になると想定されています。

個人情報漏洩の原因

個人情報漏洩が生じる原因は「ヒューマンエラーによる漏洩」、「外部からの攻撃による漏洩」の2つに大別されます。以下、それぞれについて解説していきます。

ヒューマンエラーによる漏洩

情報を含む紙媒体、USB等の記憶媒体の紛失・置忘れやメールの誤送信等による情報漏洩はヒューマンエラーによる情報漏洩に区別されます。また、近年リモートワークの普及に伴い、情報を社外に持ち出す機会が増加したため、これらの情報漏洩のリスクは高まっています。

外部からの攻撃による漏洩

外部からの攻撃で近年顕著なものが「マルウェア」や「フィッシング・スキンミング」の手口の巧妙化です。以下、それぞれについて確認していきましょう。

マルウェア

マルウェアとはコンピュータやその利用者に被害をもたらすことを目的とした、悪意のあるソフトウェアのことです。メールの添付ファイル、インターネット上でダウンロードしたファイルにマルウェアが仕組まれていることがあるため、ファイルの安全性が確認できるまでは注意が必要でしょう。

フィッシング・スキミング

フィッシングとは認知度の高い企業のサイトに似せて作られた偽サイトにおいて、偽サイトと気づかずに誤って個人情報を入力してしまい、その情報を抜き取る手口のことです。フィッシングは近年増加傾向にあるため、サイトを開く前にURLをよく確認するようにしましょう。
スキミングとは実店舗にて、カード券面を撮影したり、磁気データを読み取ったりすることによって情報を抜き取る手口のことです。

企業の情報漏洩対策

次に企業が行うべき個人情報漏洩対策について解説します。

社員との守秘義務契約の締結

個人情報漏洩に関する社員への教育において、社員と会社との間で守秘義務に関する書面を取り交わすのがおすすめです。社員による情報の口外やSNS等による発信が原因として情報漏洩が発生するケースが多くあります。これは当該社員の危機意識の低さが要因であるといえるでしょう。そこで社員との守秘義務契約を締結することによって、社員に危機意識を持たせることができ、情報漏洩対策として有効です。

社員へのセキュリティに対する意識向上を図る教育

社員の情報リテラシーの向上は情報漏洩対策として必須です。情報に関するルールが定められていても、実際に情報を取り扱う社員の情報の取り扱いに関する意識が低いと、依然として情報漏洩のリスクは高いでしょう。　そこで社員へのセキュリティに対する意識向上を図る教育の定期的な実施が望ましいです。社内教育の実施で情報漏洩に対する意識向上を図ることにより、情報漏洩の発生リスクを低減でき、情報漏洩が起こってしまった際にも素早く適切な対応を講じることができるため、情報漏洩に起因する被害を最小限に抑えることができます。

セキュリティソフトの導入・更新

情報漏洩はひとたび発生すると企業は様々なリスクを負うこととなるため、事前に情報漏洩対策を講じておくことが重要です。そこで有効な対策となるのがセキュリティソフトの導入・更新です。スマートフォン、タブレット、パソコンといった複数のデバイスを使用している場合では、それぞれの端末においてセキュリティ対策を講じることが望ましいでしょう。また、セキュリティソフトのアップデートを定期的に確認し、常に最新の状態を保つことが情報漏洩対策の観点から重要となります。

個人の情報漏洩対策

ここまで企業による情報漏洩の対策について解説してきましたが、ここからは個人で行える情報漏洩対策について解説していきます。

怪しいサイトで個人情報を入力しない

心当たりのないメールアドレスからのメールに添付されているURLなどは不用意に開かないことが望ましいでしょう。不審なURLのなかには金融機関や知名度の高い企業の偽サイトが紛れ込んでいる可能性があり、当人が本物のサイトと勘違いして個人情報を入力することで個人情報漏洩が発生するケースがあります。メールに添付されているURLからアクセスするのではなく、自身で調べて公式ホームページにアクセスするように心がけることで、未然にリスクを抑えることができるでしょう。

二要素認証の利用

二要素認証が推奨されているサイトでは、積極的に二要素認証を利用することが望ましいです。二要素認証を利用すると、仮に第三者がIDとパスワードを手に入れても、二要素認証によって発行されたワンタイムパスワードを第三者は入手できません。そのため、不正ログインを防ぐことができ、情報漏洩を防ぐことにつながります。

セキュリティソフトの導入・更新

自身の使用しているPC・モバイル端末にセキュリティソフトを導入することで、ウィルス・マルウェアやFreeWi-Fiからの不正アクセスを抑止できます。また、ウィルスやマルウェアは日々巧妙化しているため、導入したセキュリティソフトを定期的に更新し、常に最新の状態に保っておくことが重要です。

パスワードを使いまわさない

複数のアカウントで共通のパスワードを使用していると、ひとたびIDとパスワードが漏洩した際、連鎖的に不正アクセスされる可能性があります。そのため、パスワードは使いまわさずに各サイト・サービス毎に異なるものに設定することが望ましいです。

個人情報が流出した際の対応

ここまで個人情報漏洩の原因とその対策について詳しく解説してきましたが、ここからは個人情報が流失してしまった際の対応について解説していきます。実際に個人情報漏洩が発生した際に慌てずに適切な対応がとれるように事前に対応について整理することが重要です。

原因特定・状況把握

個人情報漏洩が発覚した場合、被害の拡大を防ぐために漏洩の原因の特定を最優先で行う必要があります。また、現在の被害状況を正確に把握することが次の対策を講じる上で重要となるため、速やかに原因の特定・状況把握をすることが望ましいです。

速やかな状況の公表

次のステップとして、「速やかな状況の公表」が挙げられます。被害状況を包み隠さずに関係各所に通知することによって、それぞれで速やかに対応をとれるため、被害を最小限に抑えることができます。また、個人情報保護委員会に対して速やかに報告し、警察にも届け出る必要があるため、注意が必要です。

再発防止策の策定

情報漏洩がシステム的な欠陥であった場合、システムの復旧と再発防止策の策定が急務となります。再発防止策の策定において、顧客や取引先が納得するような再発防止策を提示し、実行しなければなりません。ひとたび情報漏洩が発生してしまうと社会的信用が失墜してしまうため、妥当な再発防止策を提示・実行することによって社会的信用の失墜を最小限に抑えることができるでしょう。

まとめ

本記事では情報漏洩の原因とその対策、被害について詳しく解説してきました。情報漏洩が発生してしまうと、企業に対して損害賠償が課されるだけでなく、顧客や取引先からの信頼を失うことにつながります。また、個人としても情報漏洩の対策は可能であるため、ひとりひとりの情報に対する危機意識が重要となります。誰もが被害者になる可能性があるため、日頃から情報の取り扱いについて意識しましょう。

情報漏洩の対策の一環としてプライバシーマークの取得もおすすめです。
プライバシーマークを取得することで社内外に情報の取り扱いに注意していることをアピールできるでしょう。
株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク（Pマーク）教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当者様は、どうぞお気軽にお問い合わせください。