情報漏えいが起こると、企業のイメージの低下のみでなく損害賠償が発生することも想定され、企業に大きな影響をもたらします。
こうした状況に陥らないためにも、情報漏えいについて正しく理解することが重要です。
本記事では、情報漏えいの定義や情報漏えいによる影響や事例、発生する原因まで幅広く解説していきます。
なお、情報漏えい対策を実際にご検討中の方は、「情報漏えいが"起きないしくみ"を技術でつくる CWAT(シーワット)」の概要資料をぜひご請求ください。
CWATには、以下の特徴があります。
情報漏えい防止機能の特長
- 情報漏えいのもととなる印刷、外部記憶媒体、メール、Webの利用を柔軟に制御可能
- キーワードチェックにより自動で重要情報を検出し保護(機密キーワードは個別に変更可能)
- 部署やユーザーの権限に合わせてポリシー(ルール)を設定し、部署/ユーザー単位の監視・制御が可能
- 独自の暗号化機能によるファイル保護と閲覧制限(万が一漏えいしても閲覧不可)
- 重要情報に対する不正操作(コピー、ファイル名変更)の即時検知と管理者通知
- 詳細な操作ログ取得によるリアルタイムの監視と不正操作の自動制御機能
- 日/英/韓/中(繁体・簡体)マルチ言語対応によるグローバルなセキュリティ対策
退職者による情報漏えい対策を検討されている方におすすめの資料
-
経済安全保障時代の
情報漏えい対策最新の法規制動向や内部不正の実例を踏まえ、DLPによって企業の情報漏えい対策を強化する方法について紹介した資料
-
従業員の不正による
営業秘密の流出を防ぐ従業員による内部不正事案の現状や発生原因を紐解きながら、
被害を未然に防ぐ方法をご紹介 -
技術流出対策
ユースケース10選現場で実践されている、DLPを用いた情報流出対策のユースケースをご紹介
目次
情報漏えいとは
情報漏えいとは、組織や個人が保有する機密情報や個人情報など、内部に留めておくべき情報が意図せず外部に流出すること、または権限のない第三者によって不正に取得されることを指します。
主に以下のような場合が情報漏えいに該当します。
- メールの誤送信による情報漏えい
- 端末の盗難や紛失を契機とした情報の抜き出し
- 機密情報が記載された印刷物の放置
情報漏えいが起こると、莫大な損失や企業イメージの低下を引き起こすリスクがあります。したがって、セキュリティ担当者は、的確な情報管理の運営を実施する必要があります。
情報漏えいの2つのタイプ
情報漏えいは一般的に以下の2つのタイプに分類されます。
- 機密情報の漏えい
- 個人情報の漏えい
機密情報の漏えい
情報漏えいのタイプの一つに、機密情報の漏えいが挙げられます。機密情報とは、外部へ公開していない企業秘密等の情報を指します。
機密情報が漏えいすると、有益なナレッジや技術といった情報が不正に利用されてしまうリスクが高いです。また、本来外部へ公開すべきでない情報が公開されてしまうため、信用の低下や市場における競争力の低下などを引き起こす恐れがあります。
機密情報漏えいには、以下のようなケースがあります。
- 情報公表前にM&Aに関する情報が流出し、取引が破談となってしまった
- 開発中の新製品の情報が流出したことで、自社よりも先に他社に類似品を販売されてしまった
個人情報の漏えい
情報漏えいのタイプの二つ目は、個人情報の漏えいです。
個人情報に該当するものの例として、個人情報保護委員会によれば以下の内容が定義されています。※
事例1)本人の氏名
事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位または所属に関する情報について、それらと本人の氏名を組み合わせた情報
事例3)防犯カメラに記録された情報等本人が判別できる映像情報
事例4)本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
事例5)特定の個人を識別できるメールアドレス(kojin_ichiro@example.com のようにメールアドレスだけの情報の場合であっても、example社に所属するコジンイチロウのメールアドレスであることが分かるような場合等)
事例6)個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、または照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する)
事例7)官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
※引用:個人情報保護委員会 | 2-1 個人情報(法第2条第1項関係),(2024年10月調査時点)
個人情報が漏えいした場合は個人情報保護法に基づき、個人情報保護委員会に対して速やかな報告を行うことと、情報漏えいの被害にあった当事者へ知らせることの2点が必要(※)とされています。
例えば以下のような内容は、個人情報の漏えいにあたります。
・外部委託先の関係者が、氏名や電話番号が記載された顧客リストを持ち出して流出させてしまった
・ファイル権限の設定ミスにより、顧客や取引先のメールアドレスや住所が流出してしまった
・悪意を持った部外者からの不正アクセスによって、個人情報の抜き出しが行われた
※個人情報の保護に関する法律 | e-Gov 法令検索 , (2024年10月調査時点)
情報漏えいが生じた際の影響・リスク
情報漏えいが生じた場合、以下のような影響やリスクがあります。
- 漏えいした情報が不正利用され、社内外に被害が発生する恐れがある
- 企業のブランドイメージが低下する恐れがある
- 刑事罰を受ける可能性がある
- 高額の損害賠償責任が生じる可能性がある
- 対応に多くの費用や時間を要する可能性がある
- 対応が遅れると二次被害が発生する恐れがある
情報漏えいが発生する3つの原因
情報漏えいが発生する原因は、主に以下の3つに該当します。
- 外部からの攻撃
- 内部不正行為
- ヒューマンエラー
情報漏えいの原因について、詳しくは以下の記事をご確認下さい。
「情報漏えいの原因と対策を徹底解説」
深刻な被害をもたらした情報漏えいの事例
深刻な被害をもたらした情報漏えいの事例には、以下のケースがあります。
- 病院がランサムウェア攻撃を受けたことにより、大きな混乱を引き起こした事例*1
- 石油の供給を担う民間企業がランサムウェア攻撃を受けて市民に影響が及んだ事例*2
- 金融企業が運用するシステムの脆弱性を悪用した不正アクセスによる情報漏えいの事例*3
企業が行うべき情報漏えい対策
企業が行うべき情報漏えい対策として、主に以下の内容が挙げられます。
- 認証方式を強化する
- マルウェア対策を行う
- ネットワーク不正アクセスを防止する
- パスワードやIDの管理を徹底する
- メールの誤送信を防ぐ
- 情報の持ち出しを制限する
- 情報を放置しない
- 情報へのアクセスを制限する
- 従業員へセキュリティ教育を行う
情報漏えいの対策ついて、詳しくは以下の記事をご確認下さい。
「情報漏えいの対策で企業が取り組むべきことは?セキュリティ対策例を用いて解説」
退職者・内部関係者による情報漏えいリスクの増大
情報漏えいは、外部からのサイバー攻撃だけでなく、企業内部の人間、特に退職者や元従業員による意図的な不正行為によっても発生します。実際に、過去には内部関係者による営業秘密の持ち出しや、顧客情報の流出といった深刻な事例が発生しており、企業の信頼や業績に大きな影響を与えました。
近年では、経済安全保障の観点からもこうした内部不正に対する注目が高まっており、政府も対応を強化しています。2025年には経済産業省が「技術流出対策ガイダンス」を発表し、退職時の情報管理や秘密保持契約の徹底など、企業が講じるべき具体的な対策を明示しました。
これらの背景を踏まえると、内部関係者による情報漏えいリスクへの理解を深め、再発防止に向けた実効性ある対策を講じることは、企業が信頼性を維持し、競争力を確保するために極めて重要です。
退職者による情報漏えい対策を検討されている方におすすめの資料
-
経済安全保障時代の
情報漏えい対策最新の法規制動向や内部不正の実例を踏まえ、DLPによって企業の情報漏えい対策を強化する方法について紹介した資料
-
従業員の不正による
営業秘密の流出を防ぐ従業員による内部不正事案の現状や発生原因を紐解きながら、
被害を未然に防ぐ方法をご紹介 -
技術流出対策
ユースケース10選現場で実践されている、DLPを用いた情報流出対策のユースケースをご紹介
情報漏えいについてよくある質問
情報漏えい、情報流出、情報紛失は、どう使い分けるのですか?
それぞれ以下の違いがあります。
- 情報漏えい:本来組織内に留めておくべき情報が外部に渡ってしまった事態
- 情報流出: 情報が外へ出てしまうこと。暗号化データなど、中身が見られないものも含む
- 情報紛失:書類やPC、USBメモリなどが所在不明になった状態(漏えいの原因となる)
内部不正で情報が漏れた場合、企業や個人にはどんな「刑事罰」がありますか?
漏れた情報が「営業秘密」だと、不正競争防止法で罰せられます。
- 個人: 懲役10年以下、または罰金2,000万円以下(または両方)
- 企業: 罰金5億円以下(両罰規定による)
「機密情報」と「個人情報」が混ざったデータは、どう守ればいいですか?
より厳しい方(通常は両方)の管理基準を優先します。具体的には、最も厳格なアクセス制限や暗号化を適用します。
紙の資料やUSBメモリなど、物理的な情報の「放置対策」は何ですか?
- 紙の資料: 離席時は必ず施錠し、「クリアデスク」を徹底。不要になったら即座にシュレッダーにかける
- USBメモリ: 原則利用禁止とし、許可する場合は事前申請制にすることや暗号化を必須にすることが有効
情報漏えいの原因の中で、「ヒューマンエラー」はどのくらい多いのですか?
日本では、サイバー攻撃に次いで多い原因の一つです。インシデントの3~4割近くは、誤操作や紛失といった人為的なミスが主原因だとする調査結果が多いです。
漏えい後の原因究明で必要な「フォレンジック調査」とは何ですか?
漏えいが起きたPCやサーバーのデータを保全し、操作ログを詳細に分析する専門調査です。「誰が、いつ、どのファイルを、どうしたか」という不正行為の正確な経路と日時を特定できます。
出典(参考文献一覧)
※1 Royal United Services Institute | Ransomware: A Life and Death Form of Cybercrime (参照日:2024-11-15)
※2 CISA|The Attack on Colonial Pipeline (参照日:2024-11-15)
※3 CISA|https://www.cisa.gov/news-events/alerts/2019/08/01/ftc-releases-alert-capital-one-data-breach (参照日:2024-11-15)
監修者プロフィール
靜間 隆二(セキュリティイノベーション本部 CWAT製品企画部 部長)
当社入社から20年以上、情報セキュリティの事業に携わる。サイバー攻撃からの対策、内部不正による情報漏えい対策の両側面で専門知識を有する。中小~国内を代表する上場企業まで幅広いセキュリティ対策を支援した実績あり。
株式会社RE-HEART 代表取締役CEO
小山雄太
Webシステム開発とITコンサルティングを中心に、要件定義から設計・開発、および運用支援まで多様な経験を持つ。近年はAWSを基盤としたクラウドインフラの設計・構築に注力し、
クライアント企業様に向けたセキュリティ対策やDevOps推進を支援する。
