“うっかり”では済まされない。
無意識が引き起こす情報漏えいリスク

2015年09月30日

いよいよ明日2015年10月1日より、マイナンバーが国民一人ひとりのもとにやってきます。現時点では社会保障・税・災害対策の分野の利用に限られていますが、今後、預金口座・戸籍・医療情報などへの紐づけが検討されており、個人情報保護という観点でマイナンバーの取扱いが重要になります。
しかし、自分は絶対大丈夫と思っていても、つい「うっかり」情報漏えいしてしまうケースは意外と多くあります。ここでは実際に起きたケースを例に、「無意識」が引き起こす情報漏えいを防ぐためのポイントをお話しします。

情報漏えいの87％が内部からの流出

企業における情報漏えいといえば、サイバー攻撃などの外部要因を思い浮かべる方も多いと思います。しかし、特定非営利活動法人日本ネットワークセキュリティ協会の「情報セキュリティインシデントに関する調査報告書」によれば、情報漏えい事故の約87%が社員からの流出など、内部要因によるものであることが分かっています。

内部要因による情報漏えいとは、正社員、派遣社員、アルバイト、出入り業者など、社内の情報にアクセス可能な範囲にいる者によって引き起こされるものです。また、それは、性質上大きく２つに分類されます。
「故意」と「過失」です。

故意の情報漏えいとは、個人情報の売買やその他犯罪利用など、明確な悪意ある目的をもって内部から漏えいさせてしまうものを指します。この場合の対策は、アクセス制御や認証強化などIT環境を中心とした技術的対策がより求められます。

一方で、過失の情報漏えいとは、たとえば何気ない職場の風景を撮影してインターネット上に公開した画像に機密情報が写りこんでしまっていたなど、社内情報にアクセスできる内部の者が無意識のうちに漏えいさせてしまうものです。ニュースで取り上げられるのは「故意」による情報漏えいのほうが圧倒的に多いですが、最近炎上した事例では実は後者である「過失」による情報漏えいのほうが多いのです。どちらの場合においても、漏えい元となる企業のダメージは計り知れませんが、後者の方がより低コストかつ容易に対策をうつことが可能です。

実際にあった「過失」による情報漏えい

それでは、「過失」による情報漏えい事故の事例をご紹介します。

<ケース①>　機密情報の一部が画像に写りこみ炎上

A社は、採用活動のための企業PRの一環として、何気ない職場の様子をカメラで撮ってFacebook上とTwitter上に公開しました。数日後、顧客から「客の名前や住所などの情報が漏えいしているという記事をみた」というクレームがあったことから、その何気ない職場の写真の中に顧客情報が掲載された書類が写りこんでしまっていたことが発覚しました。気づいたころにはインターネット上で拡散・炎上されてしまっており、しばらくはインターネットで社名を検索すると情報漏えいに関する記事で溢れ、クレーム対応で追われることになってしまったのです。

＜ケース②＞　ネタとして書き込んでしまう

C社の新入社員が、「すごい機密情報つかんじゃった」など、顧客別資産情報と題された書類の表紙をTwitter上に投稿しました。本人は非公開にしていたこと、フォロワー数が少なくほとんど友人であったことから、友人だけに「面白ネタ」として提供したつもりでした。スクリーンショット画像つきで公開されてしまい、拡散・炎上しました。漏れたのは書類の表紙だけであったため、実質的な被害はなかったものの、機密性の高い情報でもあったため、信頼度の低下を理由に顧客が相当数離れてしまいました。

企業にとって漏えいよりも深刻なもの

情報漏えい事故が起きた場合、企業にとっての実質的なダメージは、漏えいしたこと自体ではなく、顧客からの評判の低下です。実際、上のケースでも漏えいされた側に何か大きな損害を与えることは幸いにしてありませんでした。しかし、その企業に対する信頼度は著しく低下し、それが顧客離れや売上低下につながり、悪評が悪評を呼んで内定辞退などの採用活動にも支障をきたしてしまうのです。

「過失」の情報漏えい事故は対策自体で十分に防ぐことが可能です。エルテスでは、SNS研修や、SNS利用の際のルール策定、また、万が一漏れてしまった場合に早期発見するためのモニタリングサービスや、謝罪文を含めたコミュニケーション方法のご提案までワンストップで支援するサービスをご用意しております。
また、特に漏えいが懸念されるマイナンバーに対しても、専用のサービスを開始いたします。マイナンバー漏えい時の経営リスクを最小限に抑えるご支援を提供するものです。
ぜひお気軽にお問合せください。

● 03-6721-5790
● Webフォーム