サイバー攻撃よりも怖い？社員や取引先などの内部犯による情報漏洩事例と対策方法

営業情報や個人情報、技術など企業にとって保護すべき情報は数多くあります。
このような情報が社外に漏洩してしまうことで、企業が受ける被害は計り知れないでしょう。

近年では標的型攻撃や無差別型のウィルスメールなど、外部からのサイバー攻撃によるものが注目を浴びています。
しかし、情報漏洩は不正アクセスによるものだけでなく、実は社員や取引先といった内部犯による件数も多いことはご存知でしょうか。

今回は、内部の人間が関わった情報漏洩の事例と対策を解説します。
NPO法人日本ネットワークセキュリティ協会による調査では、2015年度の個人情報漏洩件数のうち、内部犯罪や不正な持ち出しによるものは*6.9％*にものぼります。

情報漏洩は企業活動自体を揺るがしかねない大きな問題です。
できるかぎり未然に防げるよう、社内の対策にも目を向けてみましょう。

参考：
[2015年 情報セキュリティインシデントに関する調査報告書【速報版】]
(http://www.jnsa.org/result/incident/)

社内からの情報漏洩が起こった事例

個人情報を含む営業情報の流出は、社外からのサイバー攻撃や盗難によるもの以外にも社員や取引先といったもともと情報を持っていた人からも起こります。
大規模な被害が出た2つの事例を見てみましょう。

1.株式会社ベネッセコーポレーション

「こどもちゃれんじ」や「進研ゼミ」などの教育教材を展開しているベネッセコーポレーションでは、2014年に約3,504万件分にも渡る個人情報が流失したことを明らかにしました。

この情報漏洩は、システム開発・運用を委託している会社の元社員が、業務上知りえた個人情報を名簿業者に売却したことによるものです。

同社員は不正競争防止法違反の容疑で逮捕されており、ベネッセコーポレーション自身も経済産業省に対する改善報告書の提出を行っています。

件数もさることながら、子供の年齢や続柄・出産予定日といった複数に渡る情報項目が流出したことで社会的な注目を浴びることとなりました。

参考：
[事故の概要｜ベネッセお客様本部]
(http://www.benesse.co.jp/customer/bcinfo/01.html)

2.大日本印刷

印刷大手の大日本印刷では、2007年DM作成のために取得していた個人情報8,637,405件が流出したことを明かしました。

この事件の情報が流出した先で犯罪に利用されていたことから調査され、情報漏洩が明らかになったものです。

販促用DMを扱う電算処理室で働いていた業務委託先の元社員が、情報を記憶媒体に書き出して持ち出していたことが原因とされています。

情報はインターネット通販詐欺グループに売却されており、情報流出が実際の犯罪につながることが明らかになった事件でもあります。

参考：
[個人情報の流出に関するお詫びとお知らせ｜大日本印刷]
(http://www.dnp.co.jp/news/1206136_2482.html)

情報漏洩が起こりやすいケースは？

紹介した事例では共に「業務委託先の社員」が金銭目的で情報持ち出しを行ったものです。
では、実際にどのような流出先が多く報告されているのでしょうか。

引用：人材を通じた技術流出に関する調査研究（平成25年3月）53P

上記の表は経済産業省が発表している営業情報の漏洩の流出元をグラフにしたものです。

*「中途退職者(正規社員)による漏えい」がもっとも多く、50.3％*であり、次に「現職従業員等のﾐｽによる漏えい」「金銭目的等の動機をもった現職従業員等による漏えい」が続きます。

他にも取引先や定年退職者、任期満了後の契約社員なども報告されました。

契約社員や取引先よりも社内の業務に深く関わっている正規社員による漏洩は多く、社内の人間だからと気を抜くことができないことがわかるでしょう。

内部犯による情報漏洩対策のステップ

社内秘密を守るためにはどのような対策を行えばいいのか、3つの具体的なステップに分けて解説します。

1.自社にある情報の洗い出し

対策の最初のステップは、まず自社にある情報の内容を把握することです。
情報は製品設計図や工場設備などの「技術情報」と顧客リストや価格表といった「営業情報」に分かれます。

紙やデータだけでなく、完成する前の新規サービスのアイディアや製造ラインで採用されている工法といったデータ化されていないものの含みます。

現状、どのような場所・場面で利用されているのかという点も含めて、一覧表としてまとめるようにしましょう。

2.秘密とする情報の決定

情報の洗い出しを終えたら、その情報の中から秘密とする情報を決定します。
情報流出した際にもたらす経済的損失や社会にどのような影響をもたらすかといった視点で需要度をランク付けし、加えて秘密にする範囲を明らかにしましょう。

すべての情報を秘密にしてしまうことでむしろデメリットとなる場合もあります。
例えば、機械内部の仕組みを顧客に公開することで受注につながったり、社員の属性情報を公開することで採用活動中の学生に社内のこと伝えられたりといったこともあるでしょう。

3.情報に合わせた対策の実行

秘密とする情報を決めたら、情報ごとに対策を決めていきます。
具体的には以下のような方法があるでしょう。

【接近の制御】
システムにログインできるアカウントの制限・退職者が使えるアクセス権の速やかな削除など情報にアクセスする人を制限する方法です。
 【持ち出し困難化】
作業着のポケットの縫い付け、私用USBメモリの持ち込み禁止といった情報を持ち出せない仕組みを作る方法です。
 【視認性の確保】
防犯カメラの設置・IDカードによる入室管理など情報を扱う場所の「見える化」を行う方法です。レイアウトを工夫することで見渡せる環境にするといったことも含まれます。
【秘密情報に対する認識向上】
社員と企業で秘密保持契約を結んだり、文書に秘密情報である旨（社外秘など）を記載したりといった社員の意識作りを行う方法です。
【信頼関係の維持・向上】
情報漏洩を行う内部犯の中には、社内での待遇や環境に不満をもって犯行に及ぶ例もあります。そのような感情を起こさせないよう、社員との健全な信頼関係を維持するようにしましょう。    

参考：
[「秘密情報の保護ハンドブック　～企業価値向上に向けて～」｜経済産業省]
(http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/handbook/full.pdf)
[【てびき】情報管理も企業力～秘密情報の保護と活用～｜経済産業省]
(http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/hbtebiki.pdf)

まとめ

個人情報を含む営業上の秘密は社外からだけでなく、社内から持ち出されてしまうことも多くあります。
社員のほか、退職した社員や取引先など、社内の情報を知る得るすべての人が対象になることを意識しておきましょう。

対策を行う際は、まずは自社にどのような情報が存在しているのか確認をすることが大切です。
その上で、それぞれの情報についてどのように保護するべきかを決めましょう。

例えばホームページも、大切な情報の1つです。
誰もがログインできたり、ホームページの会員情報を抜き出したりといった状態にしておくのは危険を伴います。
アカウントごとの権限をわけるほか、アクセスできるPCを制限するなどの方法を適宜とるようにしましょう。