企業の個人情報漏洩(漏えい)をニュースで目にすることがありますが、顧客情報を扱うすべての企業に個人情報漏洩のリスクがあるのです。ひとたび個人情報漏洩が発生すれば企業に大きなダメージが生じるため、企業には平時から個人情報へのセキュリティ対策が求められます。この記事では、個人情報漏洩・流出原因や、企業が取るべき個人情報へのセキュリティ対策など幅広く解説します。
個人情報の定義や、漏洩・流出とはどのような状態を指すのか、解説します。
個人情報とは、特定の個人を識別できる情報のことであり、具体的には名前、生年月日、住所、血液型、性別、職業、電話番号、収入、生体情報、クレジットカード番号、金融機関情報、そして暗証番号などが挙げられます。
個人情報漏洩とは、個人情報を保有する者および個人情報に該当する者の意図に反して、情報が第三者に渡ることです。個人情報保護法においては、データの内容が失われる「滅失」や意図しない形で変更される「毀損」も総称して「漏えい等」と定義されています。
人為的ミスや外部攻撃など、企業における個人情報漏洩の主な原因を紹介します。
個人情報の漏洩・流出を防ぐための、具体的な8つの対策を紹介します。
誤送信の事例を従業員に共有するなど、従業員一人ひとりの意識向上の取り組みを行いましょう。ただし、単に宛先を間違えないようにする、では限界があります。メール誤送信防止ツールの「社外アドレスや新規送信先の注意喚起をする機能」「一時保留や上長の承認機能」といった機能の活用も考えられます。
ノートPCやスマートフォンなど、持ち運び可能な端末での業務がどの企業でも増加傾向ですが、業務に使うデバイスを外部へ持ち出すと、紛失や盗難によって個人情報漏洩のリスクがあります。通常業務範囲外での不用意な持ち出しの禁止や、持ち出しを許可する端末を限定するなど運用をルール化しましょう。遠隔操作で情報の消去を行うことができるソリューションなども有効です。また、持ち込み禁止はセキュリティレベルの低い私用のデバイスからのマルウェア感染を防ぐ対策になります。
マルウェアなどの外部攻撃への最も有効な対策は、EPPのアンチウイルス機能やEDRの利用です。サイバー攻撃の検知、識別、削除、隔離など、製品によって機能は様々です。手口はどんどん巧妙化しているため、常に最新の状態にアップデートするようにしましょう。
IDとパスワードの適切な管理はセキュリティの基本です。みだりに他人に教えない、目に触れるところに放置しないことはもちろん、簡単に推測されにくいものにして使い回しは避けるようにしましょう。
セキュリティシステムを導入したら、アップデートで最新の状態を保つことはもちろん、定期的に最新の攻撃に関する情報を収集しましょう。万一脆弱性が発見された場合は、システム改修や新たなソリューションの導入などの対策が必要です。
個人情報の管理は厳重に行いましょう。離席する際はデバイスにロックをかける、書類を破棄する際はシュレッダーをかけ、データ消去はデバイスを物理的に破壊するか完全に消去する専門のサービスを使うなど、日頃から意識して行動することが重要です。
個人情報の漏洩を防止するには、情報を扱う社員全員で取り組む必要があります。社内ルールの作成と実施、eラーニングの活用も含めた研修を定期的に行うなど、リテラシーを高めるセキュリティ教育を徹底させましょう。
日頃からセキュリティ意識を高め、社内ルールに従って行動していても、巧妙な外部からのサイバー攻撃や人為的ミスで情報漏洩が発生する場合はあります。その際に社内ですぐに共有して被害を最小限に抑えられるように、初期対応の対処フローまで含めた防止マニュアルを作成しておきましょう。
→【関連記事】 情報漏洩対策は何をすべき?原因や事例、流出後の対処法も紹介
情報漏洩が起こってしまった場合に、企業が行うべきことが「フォレンジック調査」です。どのような調査かを紹介します。
法科学の分野のひとつで、デジタルデバイスに保存されている情報を収集・分析して、犯罪や不正行為の証拠を明らかにする調査のことです。原因を究明することで再発防止策が立てられますし、責任の所在を明らかにすることで、自社が問われる訴訟に発展した場合に備えることができます。
膨大なデータ量を扱う現代のフォレンジック調査において、AI活用はもはや必須。専門家が目を通した少数のサンプルファイルでAIに判断基準を学習させることで、大量のデータを関係ありそうなものとそうでないものに仕分けさせます。調査の初めにしなければならない単純なデータの仕分け作業を少人数で短時間で行うことができるので、調査の効率化だけでなく、専門家のリソース集中による精度の向上も実現できます。
→【関連記事】 情報漏洩調査とは?調査手法や事例、調査会社の選び方を解説
実際にFRONTEOで行った個人情報漏洩に関するフォレンジック調査の事例を紹介します。
ある企業のPCがマルウェアに感染していることが発覚し、個人情報の漏洩も疑われる事象があったことから、専門の調査会社であるFRONTEOへフォレンジック調査を依頼。感染ルートの特定と、感染元端末からの情報漏洩の痕跡を追跡することになりました。
数百台の端末を対象として解析ツールでの分析を実施し、攻撃ルートを可視化することで、被害端末を特定。さらにダークウェブにおいて漏洩した情報が売買されていないか、30弱のサイバー闇市場を対象に調査を実施しました。調査の結果、情報漏洩が起こっていたPCが特定できただけでなく、ダークウェブにも情報が流出していたことまで特定できました。
※詳しい調査内容は「マルウェア感染による個人情報漏洩の調査」をご覧ください
FRONTEOは、2003年の創業当時から日本におけるフォレンジック調査のパイオニアとして、さまざまな企業の課題解決に取り組んできました。抜きん出た経験に基づく技術とノウハウには定評があります。
自社開発AIエンジンKIBITを活用して、ドキュメントレビューの際に大幅な省力化、コスト圧縮を実現するなど、案件対応の経験と自社AIエンジンを掛け合わせることで、他社にはできない高精度と効率化を実現しています。
日本、韓国にデータセンターを構え、セキュリティ対策も万全です。お客様企業の本社、現地法人、法律事務所の3つに対してシームレスにサービスを提供。グローバルオペレーションで迅速にサポートします。