個人情報が漏えいする事件が後を絶たない。インターネットが普及して数十年が経過し、セキュリティ対策が進んだ今でも、個人情報の漏えいは企業の存続を脅かす大きなリスクだ。テレワークの普及が進んだ現在では、新たなリスクも認識する必要がある。それでは、企業は個人情報の漏えいを防ぐために、どのようなセキュリティ対策を行えばよいのだろうか。
個人情報漏えいの実情
2015年9月の個人情報保護法改正により、個人情報を保有しているすべての事業者に法律の遵守が求められようになった。すなわち、それまで個人情報取扱事業者に該当しなかった、5,000件未満の個人情報しか取り扱いがなかった小規模事業者であっても本法の適用対象となり、情報漏えいが発生した際の罰則も適用されるようになった。しかし、実際は2017年の改正施行後も情報漏えい事件は後を絶たない。公的機関や企業が数十万件規模の個人情報漏えいを引き起こした事例は枚挙にいとまがない。
JNSAが2019年6月に公表した「2018年情報セキュリティインシデントに関する調査報告書」によると、2017年から2018年にかけて個人情報の漏えい件数が増加していることがわかる。また、損害賠償の総額も2,600億円超と増え続けており、個人情報の漏えいを招いた業種区分では、公務関連と教育、学習支援業関連の2つで全体の過半数に達している。コロナ禍の2020年には、ランサムウェアの被害も多く報告されたことやテレワーク普及などの背景もあり、被害件数は増加傾向、あるいは高止まりしていると推測される。
さらに、2022年4月1日には、2020年6月に公布された改正個人情報保護法が施行される。今回の改正では昨今のデジタル化の進展を加味し、違反時の罰則が強化されることになっているため、よりシビアな対応が求められることになるだろう。
個人情報漏えいの原因
個人情報漏えいの原因の多くは、人為的なミスとされる。先の情報セキュリティインシデントに関する調査報告書では、情報漏えいの原因として「誤操作」や「紛失・置き忘れ」といった、人為的なミスに起因するものが半数を占めている。個人情報漏えいの場合に想像されがちな不正アクセスが原因のものは20%ほどにすぎない。
図1: 原因別 漏えい件数の経年変化(JNSA調べ)
すなわち、個人情報の漏えいは組織内部における問題を起因とするものが多くを占めていると言える。しかし、図1のように近年は不正アクセスによる個人情報の漏えいが増加傾向にあることも注視しておく必要がある。大企業がセキュリティ投資を進めた結果、攻撃者の標的は比較的侵入の容易な中小企業にも向けられることに。さらには、サプライチェーン攻撃における踏み台として狙われている可能性も考えられる。先述のように、テレワークが普及していくことで、今後もこうした傾向が続くことが想定される。
個人情報漏えいを引き起こすランサムウェア
不正アクセスの要因の1つとして、近年増加傾向にあるとされるのがランサムウェアによる被害だ。ランサムウェアとは、身代金を目的にデータを不正に暗号化させるマルウェアとして一般的に知られている。このため、ランサムウェアはあくまで身代金が目的であり、個人情報漏えいとは無関係と考える人もいるかもしれない。
しかし、最近は企業内のデータを暗号化するだけでなく、情報として窃取するランサムウェアも登場している。データを人質に脅迫するだけではなく、「身代金を払わない場合は、データを公開する」と二重の脅迫をかけてくるのだ。いわゆるダブルエクストーションと呼ばれる、このタイプのランサムウェアの場合、データの内容によっては攻撃者の要求に応えざるを得ない状況に追い込まれてしまう。データの重要性が高くなればなるほど、人質であるデータの価値は高まり、脅迫に屈せざるを得ないリスクも高まる。個人情報を保護するには、ランサムウェアによる被害を想定したセキュリティ対策を講じておく必要があるのだ。
個人情報漏えいに有効なセキュリティ対策
個人情報漏えいは組織内部からの人的ミスに加え、ランサムウェアをはじめとした不正侵入によるリスクも高まっている。このような実情を踏まえ、以下のような対策が必要となる。
エンドポイント対策の徹底
ランサムウェアの被害を防ぐために、エンドポイントの対策も見直しが迫られている。企業・組織内で管理する端末にセキュリティソフトを導入しておくことは、もはや必須とも言える。また、テレワーク実施による端末の置き忘れや紛失のリスクに備えるために、パソコン内のストレージを暗号化することも対策の1つとして検討するようにしたい。
DX(デジタルトランスフォーメーション)推進の機運が高まる中で、改めてエンドポイントの重要性は高まってきており、次世代型と呼ばれるエンドポイントソリューションも登場してきている。今後もより一層サイバー攻撃が激化することを見据え、自社の状況に応じた対策を検討したい。
メールの誤送信対策
人的ミスの代表的な存在が、メールの誤送信だ。どれほど注意を払っても、メールの誤送信といったヒューマンエラーを完全に防ぐことは現実的ではない。注意の徹底と併せて、ソリューションを活用するなどして対処する必要がある。例えば、情報漏えい対策ソリューションの「GUARDIANWALL Mailセキュリティ」では、誤送信対策を機能の1つとして提供する。要件に合わせてあらかじめ設定しておけば自動的に機能するため、いわゆる「PPAP」に対する次の一手として利用を検討すると良いだろう。
従業員教育の徹底
適切に対策を講じた場合でも、従業員にセキュリティ意識が根付いていなければ、人的ミスは起こり得る。また、従業員が内部犯行を引き起こし、情報を持ち出すといったケースが後を絶たないという事実とも向き合う必要がある。こうした事態に陥らないためにも、罰則規定を設けた上で従業員教育を徹底することが求められる。組織的なセキュリティ対策を考えるなら、ISMSやプライバシーマークの認証取得も効果的だ。PDCAを回しながら、会社全体のセキュリティレベルを向上していくことにつながる。
従業員教育の実施にあたっては、セキュリティポリシーを明確に定め、従業員をはじめステークホルダーに開示することも効果的だ。また、組織の事情を考慮した上で、セキュリティに対する考え方をセキュリティポリシーとして明文化することで、従業員の行動指針になる。
クラウドサービスの活用
クラウドサービスを最大限活用することで、端末にデータをほとんど残さずに業務遂行が可能となる。セキュリティ対策が万全のクラウドサービス事業者のサービスを利用することで、情報漏えいリスクは低減できる。ただし、クラウドサービスの場合、アクセス権限の付与などでミスが多い傾向にあるため、適切に設定しておく必要がある。
シンクライアント端末の導入
端末の紛失や置き忘れなどの人的ミスを完全に防ぐことは現実的ではない。そのため、従業員が利用する端末には極力データを残さないという対策も選択できる。例えば、端末側にストレージを内蔵しないシンクライアント端末の導入という選択が挙げられる。ただし、シンクライアント環境の構築は比較的大きな投資が求められるため、通常の端末を活用してデータ保存を禁止する、データレスパソコンという選択肢も検討に値するだろう。
いずれの企業でも攻撃対象になるという意識を
企業活動は自社だけで完結することはほとんどないはずだ。取引企業との間でネットワークを構築して事業活動を行うという特性を踏まえると、少なからず自社以外の情報やユーザーの個人情報も取り扱うことになる。また、先に述べたようにサプライチェーン攻撃の脅威が高まったことにより、自社を踏み台として結果的に取引先への攻撃をほう助してしまうケースにも留意する必要がある。
ビッグデータの時代を迎え、データが21世紀の石油に例えられて久しい。何気なく使っている個人情報が、悪意のある第三者にとってはとてつもない価値を生み出す可能性がある。個人情報保護の対策を講じておくことは、企業にとっての責任であり、企業が存続し成長し続けるための必要条件ではないだろうか。
