情報漏洩が起こると、企業のイメージの低下のみでなく損害賠償が発生することも想定され、企業に大きな影響をもたらします。
こうした状況に陥らないためにも、情報漏洩について正しく理解することが重要です。
本記事では、情報漏洩の定義や情報漏洩による影響や事例、発生する原因まで幅広く解説していきます。
なお、情報漏洩対策を実際に検討されている方は、「情報漏洩が"起きないしくみ"を技術でつくる CWAT(シーワット)」の概要資料をご請求ください。
CWATは、情報漏洩を起こさないためのしくみを実装するための製品であり、以下の特徴があります。
- 情報漏洩のもととなる印刷、外部記憶媒体、メール、Webの利用を柔軟に制御可能
- キーワードチェックにより自動で重要情報を検出し保護(機密キーワードは個別に変更可能)
- 部署やユーザーの権限に合わせてポリシー(ルール)を設定し、部署/ユーザー単位の監視・制御が可能
- 独自の暗号化機能によるファイル保護と閲覧制限(万が一漏洩しても閲覧不可)
- 重要情報に対する不正操作(コピー、ファイル名変更)の即時検知と管理者通知
- 詳細な操作ログ取得によるリアルタイムの監視と不正操作の自動制御機能
- 日/英/韓/中(繁体・簡体)マルチ言語対応によるグローバルなセキュリティ対策
- CWATの資料を請求する
情報漏洩対策を検討されている方
目次
情報漏洩とは
情報漏洩とは、組織や個人が保有する機密情報や個人情報など、内部に留めておくべき情報が意図せず外部に流出すること、または権限のない第三者によって不正に取得されることを指します。
主に以下のような場合が情報漏洩に該当します。
- メールの誤送信による情報漏洩
- 端末の盗難や紛失を契機とした情報の抜き出し
- 機密情報が記載された印刷物の放置
情報漏洩が起こると、莫大な損失や企業イメージの低下を引き起こすリスクがあります。したがって、セキュリティ担当者は、的確な情報管理の運営を実施する必要があります。
情報漏洩の2つのタイプ
情報漏洩は一般的に以下の2つのタイプに分類されます。
- 機密情報の漏洩
- 個人情報の漏洩
機密情報の漏洩
情報漏洩のタイプの一つに、機密情報の漏洩が挙げられます。機密情報とは、外部へ公開していない企業秘密等の情報を指します。
機密情報が漏洩すると、有益なナレッジや技術といった情報が不正に利用されてしまうリスクが高いです。また、本来外部へ公開すべきでない情報が公開されてしまうため、信用の低下や市場における競争力の低下などを引き起こす恐れがあります。
機密情報漏洩には、以下のようなケースがあります。
- 情報公表前にM&Aに関する情報が流出し、取引が破談となってしまった
- 開発中の新製品の情報が流出したことで、自社よりも先に他社に類似品を販売されてしまった
個人情報の漏洩
情報漏洩のタイプの二つ目は、個人情報の漏洩です。
個人情報に該当するものの例として、個人情報保護委員会によれば以下の内容が定義されています。※
事例1)本人の氏名
事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位または所属に関する情報について、それらと本人の氏名を組み合わせた情報
事例3)防犯カメラに記録された情報等本人が判別できる映像情報
事例4)本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
事例5)特定の個人を識別できるメールアドレス(kojin_ichiro@example.com のようにメールアドレスだけの情報の場合であっても、example社に所属するコジンイチロウのメールアドレスであることが分かるような場合等)
事例6)個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、または照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する)
事例7)官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
※引用:個人情報保護委員会 | 2-1 個人情報(法第2条第1項関係),(2024年10月調査時点)
個人情報が漏洩した場合は個人情報保護法に基づき、個人情報保護委員会に対して速やかな報告を行うことと、情報漏洩の被害にあった当事者へ知らせることの2点が必要(※)とされています。
例えば以下のような内容は、個人情報の漏洩にあたります。
・外部委託先の関係者が、氏名や電話番号が記載された顧客リストを持ち出して流出させてしまった
・ファイル権限の設定ミスにより、顧客や取引先のメールアドレスや住所が流出してしまった
・悪意を持った部外者からの不正アクセスによって、個人情報の抜き出しが行われた
※個人情報の保護に関する法律 | e-Gov 法令検索 , (2024年10月調査時点)
情報漏洩が生じた際の影響・リスク
情報漏洩が生じた場合、以下のような影響やリスクがあります。
- 漏洩した情報が不正利用され、社内外に被害が発生する恐れがある
- 企業のブランドイメージが低下する恐れがある
- 刑事罰を受ける可能性がある
- 高額の損害賠償責任が生じる可能性がある
- 対応に多くの費用や時間を要する可能性がある
- 対応が遅れると二次被害が発生する恐れがある
情報漏洩が発生する3つの原因
情報漏洩が発生する原因は、主に以下の3つに該当します。
- 外部からの攻撃
- 内部不正行為
- ヒューマンエラー
情報漏洩の原因について、詳しくは以下の記事をご確認下さい。
「情報漏洩の原因と対策を徹底解説」
深刻な被害をもたらした情報漏えいの事例
深刻な被害をもたらした情報漏えいの事例には、以下のケースがあります。
- 病院がランサムウェア攻撃を受けたことにより、大きな混乱を引き起こした事例*1
- 石油の供給を担う民間企業がランサムウェア攻撃を受けて市民に影響が及んだ事例*2
- 金融企業が運用するシステムの脆弱性を悪用した不正アクセスによる情報漏洩の事例*3
企業が行うべき情報漏洩対策
企業が行うべき情報漏洩対策として、主に以下の内容が挙げられます。
- 認証方式を強化する
- マルウェア対策を行う
- ネットワーク不正アクセスを防止する
- パスワードやIDの管理を徹底する
- メールの誤送信を防ぐ
- 情報の持ち出しを制限する
- 情報を放置しない
- 情報へのアクセスを制限する
- 従業員へセキュリティ教育を行う
情報漏洩の対策ついて、詳しくは以下の記事をご確認下さい。
「情報漏洩の対策で企業が取り組むべきことは?セキュリティ対策例を用いて解説」
出典(参考文献一覧)
※1 Royal United Services Institute | Ransomware: A Life and Death Form of Cybercrime (参照日:2024-11-15)
※2 CISA|The Attack on Colonial Pipeline (参照日:2024-11-15)
※3 CISA|https://www.cisa.gov/news-events/alerts/2019/08/01/ftc-releases-alert-capital-one-data-breach (参照日:2024-11-15)
監修者プロフィール
靜間 隆二(セキュリティイノベーション本部 CWAT製品企画部 部長)
当社入社から20年以上、情報セキュリティの事業に携わる。サイバー攻撃からの対策、内部不正による情報漏洩対策の両側面で専門知識を有する。中小~国内を代表する上場企業まで幅広いセキュリティ対策を支援した実績あり。
株式会社RE-HEART 代表取締役CEO
小山雄太
Webシステム開発とITコンサルティングを中心に、要件定義から設計・開発、および運用支援まで多様な経験を持つ。近年はAWSを基盤としたクラウドインフラの設計・構築に注力し、
クライアント企業様に向けたセキュリティ対策やDevOps推進を支援する。