【最新版】2022年度 個人情報の取扱いにおける事故報告集計結果からわかること
個人情報に関する事故は年々増加傾向にあり、その原因は環境の変化やテクノロジーの向上とともに日々多様化しています。そのため、企業は常に自社の情報セキュリティ課題を把握し、一歩先を見据えた情報セキュリティ対策を行う必要があります。
そこで本記事では、一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターが毎年公開している「2022年度 個人情報の取扱いにおける事故報告集計結果」から、個人情報に関する事故の最新の傾向や企業が検討すべき対策について考えます。
※引用参考元:一般財団法人日本情報経済社会推進協会(JIPDEC)「2022年度 個人情報の取扱いにおける事故報告集計結果」
事故報告集計結果のまとめ
まずは、本調査の事故概要から見ていきましょう。
2022年度はPマーク取得事業者のうち1,460社から7,009件の事故報告がありました。事故件数においては、直近5年間は平均で年2,500件前後で推移していましたが、2022年度は倍以上の事故報告があったことになります。
JIPDEC「2022年度 個人情報の取扱いにおける事故報告集計結果」などをもとに作成
事故の内訳を詳しく見てみると、7,009件のうち「漏えい」が5,335件と最多で全体の76.1%を占め、次いで「紛失」が681件(9.7%)となっています。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「2022年度 個人情報の取扱いにおける事故報告集計結果」
事象分類別では、「誤配達・誤送付」が3,013件(43%)、「誤送信」が1,730件(24.7%)、「紛失・滅失・き損」が785件(11.2%)、「不正アクセス」が438件(6.2%)でした。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「2022年度 個人情報の取扱いにおける事故報告集計結果」
原因別では、「手順・ルール違反作業、操作」が最多で2,803件、次いで「作業・操作ミス」が2,445件、「確認不足」が1,979件と、この3項目が全体の7割強を占めています。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「2022年度 個人情報の取扱いにおける事故報告集計結果」
個人情報漏えいの傾向と分析・対策
不正アクセスによる情報漏えい
上記調査では、2022年度の「不正アクセス」報告件数は2021年度の約3倍と大きく増加しました。具体的には取引先システムの脆弱性を狙ったサプライチェーン攻撃や、クラウドサービスの設定不備による不正アクセス事例が報告されており、サプライチェーン全体における情報セキュリティ対策の必要性が高まっていると言えます。
複数の企業や組織が利用するシステムへの不正アクセスはその影響範囲が広く、多くの場合、原因特定には時間と費用を要します。システムを委託する場合は、適切な委託先の選定やシステムの多層防御、組織の体制強化、さらには従業員への情報セキュリティ教育が有効策だと言えます。
また、昨今利用する企業が増えているクラウドサービスでは、設備やセキュリティに不備がないか十分に検討した上でサービスを利用するようにしましょう。
過失による情報漏えい
上記の事象分類別や原因別の結果からも分かるように、報告された事故のほとんどが人的過失による情報漏えいです。メールや郵便等による「誤配達・誤送付」や、コミュニケーションツール等による「誤送信」が考えられます。
また、「紛失・滅失・き損」は個人情報が入ったUSBメモリが紛失する事例がメディアで報じられていたのは記憶に新しいところではないでしょうか。
こうした人的過失を完全に排除することは極めて難しいのですが、できるだけリスクを低減できる対策を講じることが必要です。具体的には、リスクを洗い出し、仕組みによる低減や防止が可能か検討し、教育を行うことなどが挙げられます。こうした対策を外注することも一案です。
内部不正による情報漏えい
内部不正による個人情報漏えい事件では、小売業によるクレジットカード情報200万件の流出事故がありました。内部不正による情報漏えい事故は企業の社会的信用の失墜やブランド棄損などのリスクが大きいため、適切な対策を検討することは企業の優先課題だと言えます。
内部不正は意図的な不正のほか、認識不足により意図せず情報漏えいしてしまった場合も含まれます。内部不正の発生機会を減らすためには、リスクアセスメントを行いルールの見直しと対策をし、それらを適切に監視する体制の構築が必要でしょう。
不適切な情報の取り扱い
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「2022年度 個人情報の取扱いにおける事故報告集計結果」
媒体別の内訳では「紙」が49.4%、「電子データ」が37.8%の割合となっており、まだ紙媒体の利用が多いことを示しています。一つの組織で紙媒体と電子データが混在している場合もあるため、リスクアセスメントによる対策や定期的な管理方法の見直しを継続して行うことが求められます。特に紙媒体は、仕組み上必ず人の手がはいるため、業務ごとのリスクを検討する必要があります。
情報漏えい対策には最新の情報収集が不可欠
以上のように、2022年度の個人情報に関する事故は、その多くが人的な過失によるものであり、言い換えればシステムの強化といった基盤構築と同等に、社内の体制整備や社員教育が重要な対策であることは言うまでもありません。個人情報の漏えいによる損害を考えれば、多くのリソースを割いて対策していく必要があると考えます。
そこで昨今、専門家の知識や情報を取り入れるために外部の情報コンサルティングサービスを利用する企業が増えているようです。
情報セキュリティ分野に精通したサービス「Coach Mamoru」
日本パープルが提供するCoach Mamoru(コーチマモル)は、企業の課題に合わせてサービス内容を柔軟にカスタマイズできるコンサルティングサービスです。経験豊富な情報管理のプロが集まっており、最新のトレンドに沿ったセキュリティ対策支援を提供しています。これまでに300社以上の教育コンサルティングの実績を持ち、個人情報保護関連でも社内では発見しにくい課題やリスクの発見などから丁寧に提案してくれます。セキュリティに関して不安を感じている企業の担当者は、ぜひご相談ください。