退職者の不正アクセスで情報持ち出しをさせない対策や調査方法を解説
2023年11月16日
個人情報漏洩時の報告や対応方法をわかりやすく解説
2023年11月16日
企業の個人情報漏洩(漏えい)をニュースで目にすることがありますが、顧客情報を扱うすべての企業に個人情報漏洩のリスクがあるのです。ひとたび個人情報漏洩が発生すれば企業に大きなダメージが生じるため、企業には平時から個人情報へのセキュリティ対策が求められます。この記事では、個人情報漏洩・流出原因や、企業が取るべき個人情報へのセキュリティ対策など幅広く解説します。
企業における個人情報、個人情報の漏洩・流出とは?
個人情報の定義や、漏洩・流出とはどのような状態を指すのか、解説します。
個人情報の定義と具体的な項目
個人情報とは、特定の個人を識別できる情報のことであり、具体的には名前、生年月日、住所、血液型、性別、職業、電話番号、収入、生体情報、クレジットカード番号、金融機関情報、そして暗証番号などが挙げられます。
個人情報漏洩とは
個人情報漏洩とは、個人情報を保有する者および個人情報に該当する者の意図に反して、情報が第三者に渡ることです。個人情報保護法においては、データの内容が失われる「滅失」や意図しない形で変更される「毀損」も総称して「漏えい等」と定義されています。
企業における個人情報の漏洩・流出の主な原因
人為的ミスや外部攻撃など、企業における個人情報漏洩の主な原因を紹介します。
人為的ミスによる情報漏洩
- メール誤送信や添付ファイルミス
誤った相手にメールを送信してしまう、添付するファイルを間違えてしまうといった従業員の人為的ミスは、大きな割合を占める情報漏洩の原因のひとつです。
- ノートパソコンやスマホの不要な持ち出しや持ち込み
誤送信などの操作ミスだけでなく、ノートパソコンやスマートフォンの不要な持ち出しや持ち込みによる
紛失や盗難など、人為的ミスも個人情報漏洩につながります。
外部攻撃による情報漏洩
- マルウェア感染
マルウェアとは、不正かつ有害に動作させる意図で作成された悪意あるソフトウェアの総称です。内部情報を外部に送信してしまうタイプのマルウェアに感染して、個人情報が漏洩したケースが報告されています。
- 不正アクセス
不正アクセスとは、利用権限を与えられていないコンピュータに不正に接続しようとするサイバー攻撃です。ログインIDやパスワードといったアクセス情報を不正に入手しようとする行為もサイバー攻撃に分類されます。
企業における個人情報漏洩・流出を防ぐ8つの対策
個人情報の漏洩・流出を防ぐための、具体的な8つの対策を紹介します。
メールの誤送信を防ぐ仕組みを作る
誤送信の事例を従業員に共有するなど、従業員一人ひとりの意識向上の取り組みを行いましょう。ただし、単に宛先を間違えないようにする、では限界があります。メール誤送信防止ツールの「社外アドレスや新規送信先の注意喚起をする機能」「一時保留や上長の承認機能」といった機能の活用も考えられます。
会社のノートPCやスマートフォンの持ち出し・持ち込みルールを決める
ノートPCやスマートフォンなど、持ち運び可能な端末での業務がどの企業でも増加傾向ですが、業務に使うデバイスを外部へ持ち出すと、紛失や盗難によって個人情報漏洩のリスクがあります。通常業務範囲外での不用意な持ち出しの禁止や、持ち出しを許可する端末を限定するなど運用をルール化しましょう。遠隔操作で情報の消去を行うことができるソリューションなども有効です。また、持ち込み禁止はセキュリティレベルの低い私用のデバイスからのマルウェア感染を防ぐ対策になります。
EPP(アンチウイルス機能)/EDRを導入し、適切に管理する
マルウェアなどの外部攻撃への最も有効な対策は、EPPのアンチウイルス機能やEDRの利用です。サイバー攻撃の検知、識別、削除、隔離など、製品によって機能は様々です。手口はどんどん巧妙化しているため、常に最新の状態にアップデートするようにしましょう。
ID・パスワードを適切に管理する
IDとパスワードの適切な管理はセキュリティの基本です。みだりに他人に教えない、目に触れるところに放置しないことはもちろん、簡単に推測されにくいものにして使い回しは避けるようにしましょう。
システムに脆弱性がないか確認する
セキュリティシステムを導入したら、アップデートで最新の状態を保つことはもちろん、定期的に最新の攻撃に関する情報を収集しましょう。万一脆弱性が発見された場合は、システム改修や新たなソリューションの導入などの対策が必要です。
社内で個人情報やデバイス類を放置、安易に廃棄しない
個人情報の管理は厳重に行いましょう。離席する際はデバイスにロックをかける、書類を破棄する際はシュレッダーをかけ、データ消去はデバイスを物理的に破壊するか完全に消去する専門のサービスを使うなど、日頃から意識して行動することが重要です。
従業員へのセキュリティ教育を徹底する
個人情報の漏洩を防止するには、情報を扱う社員全員で取り組む必要があります。社内ルールの作成と実施、eラーニングの活用も含めた研修を定期的に行うなど、リテラシーを高めるセキュリティ教育を徹底させましょう。
個人情報漏洩防止マニュアルを作成する
日頃からセキュリティ意識を高め、社内ルールに従って行動していても、巧妙な外部からのサイバー攻撃や人為的ミスで情報漏洩が発生する場合はあります。その際に社内ですぐに共有して被害を最小限に抑えられるように、初期対応の対処フローまで含めた防止マニュアルを作成しておきましょう。
【関連記事】情報漏洩対策は何をすべき?原因や事例、流出後の対処法も紹介
企業における情報漏洩・流出が発生した場合の対応策はフォレンジック調査
情報漏洩が起こってしまった場合に、企業が行うべきことが「フォレンジック調査」です。どのような調査かを紹介します。
フォレンジック調査とは
法科学の分野のひとつで、デジタルデバイスに保存されている情報を収集・分析して、犯罪や不正行為の証拠を明らかにする調査のことです。原因を究明することで再発防止策が立てられますし、責任の所在を明らかにすることで、自社が問われる訴訟に発展した場合に備えることができます。
AIを活用したFRONTEOのフォレンジック調査サービス
膨大なデータ量を扱う現代のフォレンジック調査において、AI活用はもはや必須。専門家が目を通した少数のサンプルファイルでAIに判断基準を学習させることで、大量のデータを関係ありそうなものとそうでないものに仕分けさせます。調査の初めにしなければならない単純なデータの仕分け作業を少人数で短時間で行うことができるので、調査の効率化だけでなく、専門家のリソース集中による精度の向上も実現できます。
【関連記事】情報漏洩調査とは?調査手法や事例、調査会社の選び方を解説
FRONTEOにおけるフォレンジック調査事例
実際にFRONTEOで行った個人情報漏洩に関するフォレンジック調査の事例を紹介します。
マルウェア感染による個人情報漏洩の調査事例
ある企業のPCがマルウェアに感染していることが発覚し、個人情報の漏洩も疑われる事象があったことから、専門の調査会社であるFRONTEOへフォレンジック調査を依頼。感染ルートの特定と、感染元端末からの情報漏洩の痕跡を追跡することになりました。
数百台の端末を対象として解析ツールでの分析を実施し、攻撃ルートを可視化することで、被害端末を特定。さらにダークウェブにおいて漏洩した情報が売買されていないか、30弱のサイバー闇市場を対象に調査を実施しました。調査の結果、情報漏洩が起こっていたPCが特定できただけでなく、ダークウェブにも情報が流出していたことまで特定できました。
※詳しい調査内容は「マルウェア感染による個人情報漏洩の調査」をご覧ください
個人情報漏洩が発生した際のフォレンジック調査はFRONTEOへ
FRONTEOは、2003年の創業当時から日本におけるフォレンジック調査のパイオニアとして、さまざまな企業の課題解決に取り組んできました。抜きん出た経験に基づく技術とノウハウには定評があります。
自社開発AIエンジンKIBITを活用して、ドキュメントレビューの際に大幅な省力化、コスト圧縮を実現するなど、案件対応の経験と自社AIエンジンを掛け合わせることで、他社にはできない高精度と効率化を実現しています。
日本、北米、韓国、台湾にデータセンターを構え、データを国外に持ち出すことなく保管できる体制でセキュリティも万全です。お客様企業の本社、現地法人、法律事務所の3つに対してシームレスにサービスを提供。グローバルオペレーションで迅速にサポートします。
