情報漏えい時の損害について学ぼう!罰則や影響・事前の対策も解説
情報漏えい時には、損害賠償などの責任を負う必要があります。
そこで、情報漏えい時の損害について【情報セキュリティクイズ】です。
機密情報を漏えいした場合、賠償をはじめとした損害自体は、誰が責任を負うことになるのでしょうか?
①会社
②個人
③会社・個人の両方
正解は?
・
・
・
③です。
情報が漏えいされた場合、漏えいされた情報を保管・管理していた企業が責任を追及されるのはもちろんのこと、漏えい者自身が責任を問われる場合もあります。そのため、企業や個人は情報漏えいが起こらないように対策を行わなければなりません。
そこで本記事では、情報漏えい時の損害について詳しく解説します。併せて、情報漏えいの原因や対策についても紹介します。
情報漏えいが起こらないよう、記事を参考に体制を整えましょう。
情報漏えい時の損害について
情報漏えいの原因
情報漏えいの対策
個人情報漏えいによる罰則と影響を周知徹底すべき理由
情報漏えい対策には社員の教育が大切
情報漏えい時の損害について
情報漏えいを行った際には、罰則を受けます。刑事上の責任を負い、懲役や罰金を科せられます。
具体的には、国からの是正勧告に従わなかった場合、6ヵ月以下の懲役または30万円以下の罰金を支払わなければなりません。虚偽の報告などをした場合には、30万円以下の罰金を支払う必要があります。
また、従業員などが不正に利益を得るため個人情報を利用した場合、1年以下の懲役または50万円以下の罰金を払わなければならず、大きな損害を受けます。
刑事上の罰則以外に直接的損害と間接的損害を受けるケースも多く、個人情報の漏えいは企業や個人に多大な影響を与えるのです。
直接的損害
情報漏えいの損害として、企業・個人ともに直接的損害を被ります。
企業における直接的損害においては、民事上の損害賠償責任が挙げられます。情報漏えいを行った企業は損害賠償責任を負うため、金銭的な保証をしなければなりません。
また、企業のみならず情報漏えいを行った個人においても損害賠償責任が発生します。そのうえ個人の場合、雇用を失う可能性もあるのです。情報漏えいが理由で雇用を失うと再就職が難しくなるケースもあるため、従業員も情報漏えいの損害についてきちんと理解しておく必要があるといえます。
間接的損害
法律上で定められた責任以外にも、情報漏えいでは間接的損害を受ける可能性があります。
企業における間接的損害としては、以下の影響が考えられます。
- 信用を失う
- 業務効率が落ちる
- 情報漏えいの原因を検証したりシステム復旧したりするためのコストがかかる
情報漏えいを行った企業は、顧客や世間からの信用がなくなります。これにより、顧客離れや提携企業からの協力が得られなくなるなどし、業務効率の低下につながるケースもあります。また、情報漏えいの原因検証やシステム復旧にコストがかかるため、金銭的な負担もかさんでしまうのです。
個人における間接的損害としては、従業員のイメージダウンが挙げられます。企業の印象が悪くなるため、情報漏えいを行った本人のみならず、情報漏えいがあった企業に勤めている従業員全員に影響を与えるのです。
情報漏えいの原因
情報漏えいの原因は、外部要因と内部要因の2つに大別されます。
外部要因 | 内部要因 |
マルウェア | 人為的ミス |
不正アクセス | デバイスの紛失 |
標的型攻撃 | 盗難 |
ゼロデイ攻撃 | 内部不正 |
外部要因は、企業の外部から個人情報を狙った犯罪が原因です。対して内部要因は悪意のある盗難や内部不正に加え、悪意のない人為的ミスやデバイスの紛失も含まれます。
ここでは、情報漏えいの原因について1つずつ詳しく解説します。
マルウェア
マルウェアとは、不正なソフトウェアを指します。これにより、企業へ危害を加えるのが目的です。
マルウェアは主に4つの種類にわけられます。
種類 | 特徴 |
トロイの木馬 | 画像やファイルを偽造してコンピュータに侵入するするソフトウェア |
ウイルス | コンピュータプログラムの一部を改ざんして自己増殖するソフトウェア |
ワーム | 単独で存在するソフトウェア |
スパイウェア | 気づかないうちにインストールされ、情報収集を行うソフトウェア |
どれも悪質なソフトウェアであり、これらの影響によって個人情報などが漏えいする可能性があります。
不正アクセス
不正アクセスとは、悪意のある第三者が他人のIDやパスワードを利用し、コンピュータへ侵入する方法です。これにより、個人情報の取得を行った第三者が情報漏えいを行う可能性があります。不正アクセスは複数の攻撃手段と組み合わせて利用されるケースも多く、注意が必要です。
不正アクセスの原因として、アカウント情報の流出や通信の盗聴によるIDやパスワードの入手が挙げられ、具体的にはセッションの乗っ取りやリプレイ攻撃があります。
サーバー上でサービスを利用する際には、アクセスユーザーの識別や処理状態の管理を行うために、セッションIDが作成されます。このセッション情報を乗っ取られると、第三者がサービスを受けられるようになるのです。これにより、第三者へ情報が渡り、漏えいされる恐れがあります。
リプレイ攻撃とは、ログイン情報を盗聴し、それを認証サーバーへ送信する方法です。通常、ログイン情報は暗号化されているため不正アクセスできないようになっています。しかし、暗号化されたデータをそのまま利用し不正アクセスを試みるのが リプレイ攻撃です。
標的型攻撃
標的型攻撃とは、不特定多数にウイルスなどをばらまく方法ではなく、特定の企業や個人をターゲットにして攻撃を行う手法です。ターゲットを絞り込むため、通常のマルウェアよりも精度が高い攻撃方法です。
標的型攻撃には、いくつかの種類があります。
- 水飲み場攻撃
- なりすましメール
- 環境寄生型攻撃
- サプライチェーン攻撃
水飲み場攻撃とは、ターゲットがよく利用するウェブサイトやサービスを改ざんする方法です。改ざんされたサイトやサービスにアクセスすると、情報が抜き取られたり、自動でウイルスをダウンロードしたりします。
なりすましメールとは、取引先などになりすまし、偽装メールを送る方法です。メールから偽装サイトへ誘導し、そのサイトでログインを行うとIDなどが第三者へ渡ります。
環境寄生型攻撃とは、ターゲットの端末にインストールされているツールを標的にして行われる攻撃です。ツールのアップデートサーバーへ不正プログラムを導入し、不正なアップデートファイルをインストールさせます。
サプライチェーン攻撃とは、セキュリティの高い大手企業などへ使われる方法です。比較的セキュリティの弱い子会社や取引先へ攻撃を仕掛けます。
このように、さまざまな方法で情報が狙われているのです。
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの脆弱性を狙った攻撃方法です。
ソフトウェアに脆弱性が見つかった場合、修正プログラムやパッチを適用して補完します。修正プログラムやパッチは開発元から提供されますが、これらが提供される前に脆弱性を狙ってサイバー攻撃をするのです。
修正プログラムやパッチが提供されたら即座に更新するのはもちろん、それまではソフトウェアを利用しないなどの対応が必要です。
人為的ミス
ここまで外部要因による情報漏えいの原因を紹介しました。ここからは内部要因について解説します。
個人情報漏えいの原因として大きな割合を占めており、2023年では約1/4が人為的ミスです。人為的ミスには、以下のものが例として挙げられます。
具体例 | |
設定ミス | 応募フォームの設定を他人が閲覧できるようにし、情報漏えいをしてしまう |
送信先ミス | メールなどの宛先を間違い、情報漏えいをしてしまう |
技術的ミス | サービスへログインしたときに無関係な顧客情報を漏えいしてしまう |
これ以外にもさまざまなミスで情報漏えいを行ってしまう可能性があるため、情報を扱う際には細心の注意が必要です。
デバイスの紛失
デバイスには、多くの大切な情報が詰まっています。そのデバイスを紛失してしまうと他人がアクセスできるようになり、情報漏えいの恐れがあるのです。
デバイスはパソコンやスマートフォンのみならず、USBなどのメモリ端末も含まれます。特に近年、テレワークが広まっている影響から、会社外へデバイスを持ち出す機会が増えています。この際に、USBなどを置き忘れて紛失してしまうケースもあるのです。
また紛失だけでなく、デバイスの誤廃棄も情報漏えいにつながる可能性があるため気をつけましょう。
盗難
情報漏えいは、盗難によっても引き起こされます。事務所内に保管していた情報の入ったデバイスや大切な書類などを盗難され、情報が漏えいしてしまうのです。
たとえ金銭目的で侵入したとしても、貴重な情報を換金するために業者へ売り飛ばす可能性もあります。そのため、金品のみならず情報の保管方法にも気をつけなければなりません。
情報漏えいを防ぐためには、物理的なセキュリティも強化する必要があるのです。
内部不正
従業員や元従業員によって社内の情報を持ち出され、不正な目的で利用されるケースを内部不正といいます。悪用だけでなく、業者へ売り飛ばされる場合もあります。
内部不正による情報漏えいは、企業の信頼損失の度合いが、ほかの原因による漏えいと比べて特に顕著といえます。それは、顧客離れが続き赤字になったり、最悪の場合倒産したりする可能性があるからです。
たとえ信頼できる従業員ばかりでも、内部不正を防ぐために情報漏えいの機会を作らないようにしましょう。
情報漏えいの事例
ここでは、実際に起こった情報漏えいの事例を紹介します。以下の原因ごとに解説するため、確認しましょう。
- 外部攻撃
- 内部不正
- 人為的ミス
情報漏えいの対策を行うためには、手口や被害を知る必要があります。事例から情報漏えい時の損害や影響について学び、備えましょう。
外部攻撃
生協ではランサムウェアの攻撃を受け、個人情報漏えいの危険性がありました。ランサムウェアとはマルウェアの一種であり、データを暗号化するものです。システムの脆弱性を狙ってランサムウェアが侵入し、サーバー内にあったほとんどの顧客情報が暗号化されました。
情報のみならずバックアップデータも暗号化されてしまい、データの復旧は難しいと判断されました。これにより、一時クレジットカード決済や配達業務ができなくなり、サービス内容にも多大な影響を及ぼしたのです。
内部不正
パートナー企業の元派遣社員が内部不正を行い、大手通信会社の情報が漏えいされた事例がありました。システムを管理するアカウントでサーバーへアクセスしてデータを保存し、そのデータをダウンロードしてからコピーする方法で情報を持ち出したのです。
データには、名前をはじめとし、住所や電話番号などを含む個人情報が保存されていました。元派遣社員は、これらのデータを業者へ売却して利益を得ていたのです。
人為的ミス
ガスを取り扱っているインフラ企業において、メールの送信ミスによる情報漏えいがありました。業務委託先の企業に宛てて送るはずのメールに誤って別の顧客情報を送ってしまったのです。
調査によると、メールの送信を担当している従業員がキャパシティを超える業務を担っていたと判明しました。そのため、従業員のマルチタスクが情報漏えいの原因であるとされています。
情報漏えいの対策
情報漏えいが起こらないようにするためには、日頃の対策が非常に重要です。そこで、情報漏えいの対策について以下の4つの対策を解説します。
- セキュリティソフトの導入
- システムの更新
- 管理の見直し
- 従業員の研修
しっかりと対策を行い、情報漏えいのリスクを減らしましょう。
セキュリティソフトの導入
セキュリティソフトの導入は、情報漏えい対策として一番に挙げられる方法です。デバイスに対する外部からの攻撃を防ぐ役割を果たします。
具体的には、ウイルスの検出やマルウェアの侵入防止・ネットワークの保護・メールのフィルタリングなどを行います。これにより、不正アクセスを防いでデータを守り、情報漏えいを防止してくれるのです。
システムの更新
情報漏えい対策として、システムは常に最新の状態へ更新しておく必要があります。使用しているデバイスはもちろん、セキュリティソフトも最新のバージョンへアップデートしましょう。
特にセキュリティソフトは新しく検出されたマルウェアなどに対応するため、頻繁に更新されています。古いバージョンのままにしておくと防げないマルウェアもあるため、セキュリティソフトを導入している意味がありません。
管理の見直し
サーバーへアクセスできるアカウントの管理を見直しましょう。退職した従業員のアカウントが残っていたり、一時的に外部の作業員へ付与したアクセス権を外していなかったりするケースがあります。それ以外にも、設定の際にアクセス権を誤って付与してしまう場合もあります。
設定を誤っていた場合、外部からデータへアクセスできるため、情報漏えいにつながるのです。そのため、アカウントの管理は定期的に見直しましょう。
従業員の研修
情報漏えいについて従業員がきちんと理解すれば、人為的ミスは減らせます。どのような行為が情報漏えいにつながるのか、研修を行いましょう。これにより防げる事故も多くあります。
例えば、以下の事項について再度確認をすると効果的です。
- 情報を社外に持ち出す際のルール
- 従業員間ではメールを使って情報の送受信を行わない
- 情報の保管場所を決めておく
まず、社外で情報を使用する機会がある際には、誰がどこへいつ持ち出したかを記録する帳簿を作るなどし、情報の位置を明確にしましょう。
次に、メールやFAXで情報のやり取りを行うと、誤送信のリスクが高まります。直接情報を伝えたり、やむを得ずメールなどを利用する際には二重チェックを徹底したりすると安心です。
情報を含む書類やデバイスの管理も必須です。施錠できる場所に保管するよう管理体制を整えましょう。
個人情報漏えいによる罰則と影響を周知徹底すべき理由
個人情報漏えいによる罰則や影響は、企業のみならず個人にも及びます。そのため、情報漏えい時の損害について、従業員への周知が非常に大切です。情報漏えいをしてはいけないとわかっていても、個人にも責任があり罪や賠償責任を科せられる旨を知らないケースもあります。
従業員へ情報漏えいについての研修を行えば、理解を深め企業が一丸となって対策できるのです。
情報漏えい対策には社員の教育が大切
情報漏えいは、外部要因のみならず内部要因でも発生する可能性があります。また、外部要因による情報漏えいでも、従業員がきちんと対処法を知っていれば防げるものもあるのです。そのため情報漏えい対策には、従業員の教育や研修が大切です。
日本パープルが提供するCoach Mamoru(コーチマモル)は、情報漏えい対策など、情報セキュリティ分野に精通した講師によるコンサルティングを行っています。300社以上のコンサルティング実績を持ち、参加者のレベルに合わせた研修をご提案いたします。
従業員へのセキュリティ教育にお悩みの場合は、お気軽にご相談ください。