インターネットが広く普及した現代、企業の情報漏洩対策の重要性は増すばかりです。
下記の記事によると、情報漏洩対策市場は今後2018年までに年平均13.3%で成長すると予測されています。
参考:[データは語る]情報漏えい対策市場は年13%強で成長し2018年は95億円に、IDCが予測(ITPro)

大手企業の情報漏洩が相次ぎ、危機感を覚えてる方も多いのではないでしょうか。いかに情報漏洩を防ぐか、というところに注目が集まってきています。

直近では株式会社ベネッセコーポレーションの大規模な個人情報漏洩が話題となりました。一連の報道を見ていても分かるとおり、一度情報漏洩を起こしてしまうと社会的信頼が一瞬にして失墜します。さらに、一度落ちた信頼は並大抵の対応では回復できません。
信頼は売上にも直結するものなので、企業の利益にも大きな損害を出してしまいます。
しかし、情報漏洩を完全に防止するのは難しく、ある調査によると大手企業の3社に1社は過去5年間で情報漏洩の経験があると答えました。
参考:大手企業、顧客情報流出3社に1社 本社調査 過去5年で(日本経済新聞)

今年も多数の情報漏洩事件がありましたが、そのたびに明日は我が身と感じた方も多いのではないでしょうか。

今回は、2014年中に起こった主な情報漏洩事件をまとめました。今年1年の情報漏洩事件を見直し、改めてリスク管理の重要性を意識しましょう。

1.SSLを導入していても脆弱では逆効果に

***
国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か
4月18日、三菱UFJニコス株式会社は、Webサービスから894名の個人情報が流出した恐れがあると発表しました。
こちらのWebサービスでは「オープン SSL」というSSLを利用していましたが、オープンSSL特有の「Heartbleed(心臓出欠)」と呼ばれる脆弱性を突かれ、不正ログインを許してしまったようです。
同時期に、海外でもオープンSSLを利用する企業の情報漏洩事件が相次いで起こりました。情報を守るためのSSLですが、漏洩に繋がるような欠陥があっては逆に情報漏洩を引き起こす原因となります。SSLにもいくつか種類があるので、どのようなSSLを利用すればいいのか、しっかりサービス内容を検討しましょう。

2.業務用ノートPC持ち出しのリスク

***
業務用ノートPCを紛失、回収するも個人情報を含む情報を閲覧された可能性(サイボウズ)

5月23日、株式会社サイボウズが、業務用ノートPCの紛失事故があったと発表しました。同社によると、社員が業務用ノートPCを入れた紙袋を電車内の置き忘れ、そのまま紛失してしまったということです。
業務用PCを外に持ち出すことを許可している企業は多いと思いますが、会社の重要なデータの詰まったデバイスを外に持ち出すということのリスクを全社員がしっかり認識できているでしょうか。
持ち出しを許可するのであれば、厳密にルールを定め、運用を徹底して紛失リスクを限りなく低くする必要があります。

3.不正ログインにより、1万589人分の個人情報が流出した可能性

***
ヤマト運輸、個人情報1万人分流出か 会員の住所など

ヤマト運輸株式会社が運営する会員制Webサービス「クロネコメンバーズ」にて不正ログインが発覚し、会員1000万人のうち、1万589人分のデータが流出した可能性があると発表しました。約19万件の不正ログインが確認され、会員の名前や住所、電話番号等が閲覧されてしまったようです。
不正ログインとは第三者が本人になりすましてID・パスワードでログインすることです。パスワードを使いまわしていたり、生年月日などの連想しやすいパスワードを設定しているアカウントが狙われやすいので、わかりにくいパスワードを設定する、他のサービスとは違うものにするなど、顧客に徹底的に周知することも重要です。

ほぼ同時期に、佐川急便でも不正ログインにより3万件超の個人情報流出が発生しています。
佐川急便株式会社の会員サイトも不正ログイン 個人情報3万件超流出がありました。
http://www.excite.co.jp/News/society_g/20141001/Hazardlab_7506.html

4.委託先の社員がデータ持ち出し、3504万件の顧客情報漏洩

***
ベネッセ、情報漏洩3504万件に 補償は500円の金券

7月9日、株式会社ベネッセコーポレーションは760万件の個人情報の流出があったと発表しました。当初は流出件数は最大で2070万件に及ぶと予想されていましたが、10月には3504万件の漏洩が確認されています。
株式会社ベネッセコーポレーションの関連のシステム開発・運用を行うグループ会社、株式会社新シンフォームの委託先の企業の派遣社員がデータを持ちだしたことが原因でした。
自社が保有するデータベースに、他社が接触できる機会を作ってしまうのはとても危険です。しかも、顧客は「株式会社ベネッセコーポレーションに関係のある人間が情報漏洩させた」と認識するため、不正ログインによる顧客情報流出よりも更に信頼は落ちます。

情報漏洩した顧客に500円分の商品券を送付する試みを行いましたが、顧客の怒りは収まらず、集団訴訟にまで発展しているようです。
ベネッセ情報漏洩:被害の顧客ら損害賠償求め集団訴訟へ

5.社内パソコンにウィルスが感染、最大で約75万件の情報が流出する可能性

***
JAL、個人情報漏えい調査で約19万件の漏えいの可能性が判明 - 最大で75万件
9月24日、JALは顧客情報管理システムへの不正アクセスにより、JALマイレージバンクの顧客情報19万件が漏洩し、最大で75万件に及ぶ可能性があると発表しました。
原因は顧客情報管理システムにアクセスできる社内パソコンのウィルス感染でした。

ウィルス対策はインターネット上でのセキュリティを強化するうえでも基本中の基本です。「うちだけは大丈夫」と考えず、ウィルス対策ソフトを吟味したうえで導入しましょう。

6.メルマガ誤配信で他ユーザーにユーザー情報を送信

***
「お名前.com」メルマガでユーザー情報流出、誤送信メールは16万4,650件
12月4日、GMOインターネット株式会社が、同社運営の「お名前.com」の会員向けメルマガで誤送信を起こし、宛名とは異なるユーザーに、ドメイン名、ID、名字を送信したと発表しました。
原因は「作業上のミス」としており、16万4650件ものメールが誤って送信されたようです。会員向けメルマガを配信しているご担当者様にとっては想像するだけでもぞっとするような事故だと思います。
人の手が入る部分はどうしてもミスやチェック漏れが起きてしまいます。作業手順の徹底的なマニュアル化と、複数人でのチェック体制を敷いておくのは最低限行うべきです。

まとめ

個人情報漏洩はどのような企業でも起こりえます。ここで紹介してきた情報漏洩事故は、脆弱なSSLを使用していたりウィルス対策が十分でなかったりとどれももう少し対策を強化していれば防げたかもしれない案件ばかりです。また、不注意からくるミスを起こす社員、故意にデータを抜き取ろうとする社員も今後絶えることはないでしょう。
重要なのは、日々の情報漏洩対策をどれだけ属人化させないかということでしょう。
一人一人が気をつけるように、と言うのは簡単ですが、どれだけ気をつけてもミスは起こります。1人がミスしても他の者がすぐにカバーする体制を取ったり、抜け漏れをなくすチェック項目を作り、完全にマニュアル化する等、個人に頼らない運用体制を構築しましょう。

このニュースを読んだあなたにおすすめ

情報を漏洩しないための具体的対策
情報漏洩(ろうえい)対策チェックリスト
不正アクセスを未然に防ぐ!覚えやすく強いパスワードの作り方

このニュースに関連するカリキュラム

Webマーケティング戦略の基礎について説明しています。