Pマーク取得事業者の2021年度の事故報告結果より、昨今の傾向を探る
一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは2022年10月7日に「2021年度の事故報告結果」を発表しました。これは、「プライバシーマーク付与に関する規約(PMK500)」第5章第12条に基づき、2021年度にプライバシーマークを付与された事業者から同協会及び審査機関に報告された事故をまとめたものです。
本記事では、上記調査の結果から昨今の事故傾向をピックアップし、企業が求められているセキュリティ対策について検討します。
※引用参考元:一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター「2021年度『個人情報の取扱いにおける事故報告集計結果』」
概要
まずは、本調査の概要から見ていきましょう。
事故件数
2021年度はPマーク取得事業者のうち1,045社から3,048件の事故報告がありました。(※)昨年度と比較すると、報告事業者数は106社増加、事故報告件数は404件の増加となっています。
報告事業者数は昨年から微増にとどまっているにもかかわらず、報告件数が昨年比約15.3%と大幅に増加しています。
(※同一の事業者が複数回事故報告書を提出した場合は、「報告事業者数」1社としてカウント)
事故の内訳、要因
事故の原因を見てみると、最多となったのは「誤送付」(1,938件:63.6%)、次いで「その他漏えい」(570件:18.7%)、「紛失」(380件:12.5%)、その他(142件:4.7%)となっています。
「誤送付」の内訳は、多い順に「メール誤送信」(1,128件:37.0%)、「宛名間違い等」(353件:11.6%)、「封入ミス」(333件:10.9%)となっています。「メール誤送信」にはSMSやメッセージアプリ等による誤送信が含まれており、昨年と比較して約1.5倍の増加となりました。
「その他漏えい」の内訳では、「関係者事務処理・作業ミス等」が、昨年の232件から150件へ大幅に減少しましたが、「プログラム/システム設計・作業ミス(システムのバグを含む)」が昨年度比約2.5倍と激増しました。これは、新型コロナウイルス感染症対策のため導入されたテレワークにおいて、従来と異なる作業手順などが発生したことが主な要因だと同調査では分析されています。
なお、「その他」の内訳は、「不正取得」「目的外利用」「同意のない提供」「内部不正行為」「誤廃棄」「滅失、き損」となっています。
2021年度の傾向と対策
個人情報に関する事故は年々増加傾向にありますが、社会を取り巻く環境や働き方の変化によってその内容にも傾向の変化が見られます。
同調査では特徴的な5つの種類に分類されており、事例も掲載されています。下記に一部をご紹介します。
(1)メッセージアプリ・SNSにおける誤送信
以前は電子的な連絡手段として、電話やFAX、電子メール(eメール)が中心でしたが、メッセージアプリやSNSの出現によりコミュニケーションの形は一変しました。その利用範囲はプライベートのみにとどまらず、ビジネスシーンにも活用されるようになっています。その結果として、事業者におけるメッセージアプリやSNSの利用に伴う事故の増加に繋がっています。SNS等の使い方の周知や手順書の作成、制限を設けるなどが必要な対策と言えます。
(2)業務環境変化に伴う体制構築・手順策定の不備
事故報告書の中では、働き方の変化による体制の再構築や社内ルールの不備が要因で発生した事故も顕著だったようです。
テレワークやSNS、チャットツールなどの業務環境変化にあわせて、ルールや規程の作成、従業員向けの研修などから取り組まれているケースが多いです。
(3)従業者における不正行為
従業員による内部不正行為は年々増加傾向にある事故の種類の一つです。内部不正行為を起こさないためには、不正行為や個人情報保護に関する知識をアルバイト・パートを含む全社員に周知することが重要です。また、風通しの良いコミュニケーション環境を構築したり、定期的な配置変えを行ったりして、不正行為を起こすきっかけを与えないようにするのも一つの手段だと言えます。
(4) Emotet感染
Emotet※とは、情報の窃取に加え他のウイルスへの感染を目的として悪用されるウイルスです。実在の相手の氏名、メールアドレス、メール内容などの一部を流用し、あたかも相手からのメールであるように装い攻撃を仕掛けてくるため、多くの被害が発生しています。
こうした攻撃は日に日に手口が巧妙化しており、最新情報を共有し、従業員の注意力を向上させることが重要です。さらに、メールフィルタリング機能を設定するなど組織単位での対策を行う必要があるでしょう。
※2019年11月末頃から多くのメディアで取り上げられ広く知れ渡った「Emotet」は、2020年2月上旬以降、大きな動きがありませんでしたが、2020年7月中頃から攻撃活動の再開が確認されました。その後、2021年1月に欧州刑事警察機構(Europol)による大規模な対策が成功したため、Emotetの脅威は去ったかと思われました。しかし、2021年11月から攻撃活動が再開し、多くの被害が発生していると同時にその攻撃手法も多様化しております。
また、最新のステータスとして、2022年11月4日にJPCERT/CCから、7月中旬より観測されていなかったEmotetの感染に至るメールの配布が11月2日より再度観測されていることが報告されました。
※参考元:一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)「マルウェアEmotetの感染再拡大に関する注意喚起」
(5) ソフトウェアの脆弱性を突いた不正アクセス
通信販売が普及し、多くの事業者がインターネットを介したサービスを提供し始めたことも、昨今の情報事故に大きく寄与しています。2021年度の事故報告では、「OSS開発(※)」で構築されたECサイトに関する事故が多く発生しています。ECサイトにおける情報漏洩は多額の賠償金、社会的信用の失墜、長期的なブランド棄損などのリスクも大きく、その対策が優先課題となっています。
(※誰でも自由に改変できる無償のオープンソースソフトウェアを利用したサイトの構築方法)
誰もが安価で始められるようになったECサイトですが、個人情報等を扱うリスク対策は必須と言えるでしょう。ECサイトそのもののセキュリティ対策を強化するのはもちろんですが、不適切な設定など人為的なミスという観点からの情報漏洩も多く、担当者へのセキュリティリテラシー向上の研修を行うことも重要だと考えられます。
情報セキュリティ対策におすすめのサービス「Coach Mamoru」
2021年度にPマーク取得事業者から報告された事故について、同調査で挙げられている5つの特徴を紹介しました。業務環境の変化とともに事故の傾向も年々変化することから、企業は定期的に事故防止対策の最適化を行う必要があります。
こうした情報セキュリティ対策では最新の情報収集が必要なため、昨今では外部の専門家を巻き込んで対策を行う企業が増えています。
そこで今回は、情報セキュリティ関連に強いサービス「Coach Mamoru(コーチマモル)」をご紹介します。
日本パープルが提供するCoach Mamoruは、企業の課題に合わせてサービス内容を柔軟にカスタマイズできるコンサルティングサービスです。経験豊富な情報管理のプロが集まっており、最新のセキュリティ対策支援を提供しています。その他、電子化や機密情報処理分野にも精通しており、セキュリティに関する課題を一貫して相談できる点もおすすめです。
「自社の課題が分からない」「最新の情報を持って対策したい」という企業担当者は一度相談してみてはいかがでしょうか。
Coach Mamoru公式URL:https://www.mamoru-kun.com/security_consulting/
多様化する事故の最新情報を把握し、適切な対策を講じよう
Pマーク取得事業者の2021年度の事故報告数は事業者数・件数ともに増加傾向にあり、事故の傾向は時代とともに多様化しています。
昨今の主な事故要因には「テレワーク」と「新たなコミュニケーションツール」による業務環境の変化が影響しており、企業は従来とは異なる対策を検討しなくてはなりません。
最新の情報を収集し迅速な対策を講じるためにも、Coach Mamoruなどの専門サービスを活用して、自社の安全管理措置を再検討してみてはいかがでしょうか。