しばしばニュースで取り上げられることのある「個人情報漏えい」に関する問題。当コラムでもCookie規制や個人情報保護法など個人情報に関するトピックを取り上げてきましたが、今回は個人情報がどのような原因で漏えいし、流出した際に企業が取るべき行動について解説します。
個人情報漏えいが起きる原因No.1は「紛失・置き忘れ」
“個人情報漏えい“と聞くと、「悪意を持つ内部の人が持ち出した」「ハッカーによる不正アクセスで漏えいした」などの印象を受けるかもしれませんが、実際のところ、個人情報はどのような原因で流出してしまうのでしょうか。
日本ネットワークセキュリティ協会(JNSA)が発表した「2018年 情報セキュリティインシデントに関する調査報告書」によると、最も多い原因は「紛失・置き忘れ(116件)」で、次に「誤操作(109件)」「不正アクセス(90件)」と続き、この3つで全体(443件)の約7割を占めています。2017年度の同調査と比較すると、全体件数は386件→443件と増加傾向に。特に「紛失・置き忘れ」は84件→116件、「不正アクセス」は67件→90件と大きく増えています。
漏えいした媒体は「紙(132件)」が最も多いながらも、前年の150件と比べると減少傾向に。対して、「インターネット(87件→118件)」「電子メール(77件→95件)」「USBなどの記録媒体(41件→56件)」など、デジタルツールによる情報漏えいが増加しています。
情報漏えいが起きてしまったら
外出先で顧客情報の入ったUSBスティックを紛失した、不正アクセスの痕跡が見つかったなど、情報漏えいの可能性が発覚したら、速やかに責任者へ報告しましょう。そして、インターネットから社内ネットワークを隔離する、関連サービスを停止するなどの対策を速やかに行い、被害の更なる拡大を防ぎます。
並行して、いつ・どこから・どのデータが・どれくらい・どうやって流出しているのかを調査します。情報漏えいの事実が明らかになれば、その内容を公表して被害者へ謝罪。銀行口座やクレジットカード番号などが流出した可能性がある場合は、警察などの機関へ速やかに報告します。他の業務に支障をきたさないよう、今の状況や今後の対応策を正しく顧客へ説明できる専用の問い合わせ窓口を設けるのも良いでしょう。
コーポレートガバナンスと個人情報漏えい
コーポレートガバナンス(企業統治)と個人情報漏えいは大きく関係しています。うっかりミスをはじめ、内部関係者による犯行、外部からの不正アクセスなどで個人情報漏えいが起こってしまった場合、企業は社会的信用を失って価値が下がり、顧客や株主が不利益を被るリスクが高まります。
そのため、アクセス権管理システムの導入などハード面からの備えはもちろん、セキュリティ研修を行う、マニュアルを整備する、チーム内で漏えいの事実を隠蔽させないオープンな関係性を築くといったソフト面からの対策が大切です。個人情報漏えいを防ぐためのセキュリティ体制強化は、結果として企業のガバナンス強化にも繋がるでしょう。
「個人情報漏えいは起きる」前提でリスクに備えよう
紙やデジタルデバイスの「紛失・置き忘れ」、メール送信ミスなどの「誤操作」は、不注意やチェック不足が原因の人的ミスです。また、システム障害などによって起こるセキュリティトラブルは、さまざまな対策を講じていても起きてしまう可能性があります。しかし、第三者による不正ログインを弾く仕組みやデータ暗号化を予め徹底しておくことで、流出のリスクを最小限に食い止められるかもしれません。
個人情報が重要なビジネス資源であると企業側が理解し、取り扱いについてどれほど真剣に考えているか。大切な顧客や株主を守り企業の持続可能性を高めるためにも、漏えいリスクに対してあらゆるパターンを想定し、ハード&ソフト面で備えておくことが重要です。
【参考】
日本ネットワークセキュリティ協会(JNSA)
「2018年 情報セキュリティインシデントに関する調査報告書」
https://www.jnsa.org/result/incident/2018.html