2024.03.04
情報社会のビジネスにおいて、個人情報の流出は重大なリスクです。ITによる効率的なデータ管理が浸透する一方で、個人情報の取り扱いにはより慎重さが求められるようになっています。大切な顧客の個人情報が流出してしまった場合、どのようなリスクが考えられるのでしょうか。
そこで今回は、企業が個人情報を流出させるとどうなるのか、基本からわかりやすくお伝えします。また個人情報流出の原因や流出した場合に企業がすべき6つの対処、流出を防ぐための対策もご紹介しますので、ぜひ最後までご覧ください。
- もくじ
1.個人情報の流出とはそもそも何か
まずは、「企業における個人情報の流出とはそもそも何か」を明確にしておきましょう。企業における「個人情報の流出」とは、顧客や社員のプライベートな情報が意図せず社外に漏れ出し、第三者が閲覧・取得できてしまう事態のことです。
ここで言う「個人情報」は、デジタル・アナログを問いません。たとえば次のようなケースは、いずれも個人情報の流出にあたります。
- 顧客Aのデータが顧客Bの画面上に表示されてしまった
- 顧客情報が含まれる書類やUSBメモリを社外で紛失してしまった
- 顧客Aの情報を、顧客Bに口外してしまった
- SNSでの不用意な投稿により、顧客Aの情報が他ユーザーに知られてしまった
また、第三者が実際に個人情報を閲覧・取得したかは関係ありません。書類やUSBメモリが紛失した時点で、第三者の手に渡りうるため個人情報の流出にあたります。
ただし、本人の明確な同意があり、適切な関係者へ情報を開示するケースは個人情報の流出にはあたりません。
2.企業が個人情報を流出させるとどうなる?懸念される4つのリスク
個人情報の流出にはさまざまなケースがあります。 ここでは、個人情報を流出させてしまった企業に懸念される4つのリスクについて解説します。
2-1 ブランドイメージの低下
まずは「ブランドイメージの低下」です。
企業が個人情報を流出させてしまった場合、基本的に取引先やエンドユーザーの耳に入ることは避けられません。大企業であればメディアで報じられ、直接的に利害関係のない消費者にまで伝わる場合もあります。
そのようになれば、企業の信用に傷がつくことは避けられません。企業の持つブランドのイメージは低下することになるでしょう。誰しも、自らの情報を流出されるリスクのある企業は信用できません。既存の顧客が離れることはもちろん、新規顧客の獲得が難しくなることも考えられます。
2-2 刑事上の罰則や民事上の損害賠償責任
企業による個人情報の流出は、刑事上の罰則や民事上の損害賠償責任が発生する ケースもあります。個人情報の適切な取り扱いについて定めた「個人情報保護法」は、2022年4月の法改正で罰則が強化されました。これにより、企業には最高で1億円もの罰金が科される可能性があります。
また、個人情報流出の被害を受けた顧客から訴訟を起こされるケースも覚悟しなければなりません。流出した個人情報を悪用されるようなことがあれば、賠償額も高くなるでしょう。企業の経営にとって大きなダメージとなることは避けられません。
2-3 サイバー攻撃の誘発
自社システムのセキュリティ要因で顧客のデータが流出した場合、サイバー攻撃を誘発することにもなりかねません。「脆弱性のあるシステム」だと露呈し、攻撃者の標的になりやすくなります。
企業の機密情報を狙う攻撃者は、システムの脆弱性を突いて侵入や攻撃を試みます。適切な対策が行えなければ、新たな攻撃者から二次被害を受けることにもなるでしょう。
2-4 対応のための工数・コスト増大
企業が個人情報を流出させてしまった場合、工数・コストの増大が予想されます。顧客対応や各種調査、システムのセキュリティ対策、再発防止策の検討など、さまざまなタスクに追われることになるでしょう。
そうなれば、人件費の増大や既存業務への影響が生じる可能性があります。こうしたリスクが発生しないように十分な対策を行い、個人情報の流出を未然に防ぐことが大切です。
3.個人情報が流出する主な3つの原因・事例
個人情報の流出を防ぐためには、その原因を把握することが大切です。ここでは個人情報が流出する主な3つの原因を、事例も交えて紹介します。
3-1 システムの不具合・脆弱性
システムに潜む不具合や脆弱性が顕在化することで、個人情報の流出につながるケースは少なくありません。設計や実装などの開発プロセスに不備があると、以下のような不具合や脆弱性が発生する場合があります。
- 他ユーザーの個人情報を誤って表示してしまう
- 他ユーザーの個人情報ページに他ユーザーがアクセスできてしまう
- 攻撃者が特定のコードを入力すると、データベースの個人情報を取得できてしまう
日本政府の 雇用調整助成金オンライン申請システムでは、プログラムの不具合により社員の申請情報が流出する事案がありました。申請の途中でブラウザバック操作を行うと、特定企業の情報が表示される不具合です。この不具合が顕在化したことにより、ある企業の社員は氏名や給与、出勤状況などを他者に閲覧される事態となりました。
また海外では、2億件を超える個人情報が流出した事例もあります。サービスのサーバーに適切なデータ保護がされておらず、不特定のユーザーがアクセス可能な状態で大量の個人情報が放置されていました。
3-2 運用体制上の問題
システムに不備がなかったとしても、運用体制上の問題があると個人情報が流出するケースがあります。個人情報の取り扱いが適切に行われないことが原因です。下記例のように、デジタル・アナログを問わず発生する可能性があります。
- 個人情報が含まれる書類やUSBメモリを社外で紛失してしまう
- 個人情報が含まれるメールを誤って他社に送信してしまう
- 社外で脆弱性のあるWi-Fiを使用し、個人情報のやり取りを盗聴されてしまう
こうしたケースは、個人情報を流出させた運用者だけの問題ではありません。教育不足やリスク管理の欠如など、チーム・組織としての運用体制の課題を解決する必要があります。
兵庫県尼崎市では、40万人を超える市民の個人情報が流出する事案がありました。委託先の社員が重要なUSBメモリを無断で持ち出し、それを社外で紛失しています。この自治体ではセキュリティポリシーが定められていたものの、委託先にまで周知徹底がされていませんでした。結果として、多くの市民からの問い合わせ対応に追われる事態となりました。
3-3 社員の悪意・不正による流出
適切な運用体制を構築できていても、特定の社員が悪意を持って不正を働くケースもあります。以下のように、金銭の獲得や自社への怨恨など、社員が個人的な動機を持って行う可能性があります。
- 他社と不正な取引を交わし、自社の個人情報を横流しする
- 特定の社員や顧客への恨みから、SNSで個人情報を晒す
過去には、NTT西日本の子会社の元派遣社員が 顧客の個人情報を名簿業者へ不正に流出させていた事案がありました。この社員は、名簿業者から大金を受け取る代わりに、約900万件もの個人情報を横流ししており、警察が動く事態となりました。
4.個人情報が流出した場合に企業がすべき6つの対処法
個人情報の流出は未然に防ぐべきですが、社員の不正といった問題は完全に防ぐことが難しい面もあります。万が一、自社が個人情報を流出させてしまった場合に、どう対処すべきか知っておきましょう。
① 事実関係・被害範囲の確認
まずは個人情報が本当に流出したのか、事実関係を確認しましょう。SNSが普及した昨今では、悪質なデマが拡散されるケースも少なくありません。「個人情報が流出した」とされる情報源を精査し、事実の裏付けを取ることが大切です。
事実であった場合は「誰の情報が誰に流出したのか」「流出の件数・被害者数はどれほどか」など、被害範囲も確認しましょう。
② ステークホルダーへの報告・謝罪
個人情報の流出が確認できた場合は、ステークホルダーへの迅速な報告・謝罪が必要です。2024年1月時点の個人情報保護法では、個人に被害をもたらす可能性がある流出の判明時には「個人情報保護委員会への報告」「個人への通知」が義務付けられています。
個人情報が流出した事実を隠蔽すると、ステークホルダーからの信頼回復が難しくなることに加え、罰則の対象となるケースもあります。個人情報が流出した事実はステークホルダーへ速やかに報告し、真摯に謝罪しましょう。
③ 原因の調査・特定
なぜ個人情報が流出したのかを調査し、原因を特定しましょう。被害を拡大させないためにも、原因を速やかに把握することが大切です。
原因には「直接原因」と「根本原因」の2種類があります。まずは、ウイルス感染や不正アクセスなど、流出の引き金となった直接原因を特定しましょう。次に、「どこに不具合・脆弱性があるのか」「どの運用ルールに問題があるのか」などの根本原因を特定します。
なお、個人情報保護委員会から聞き取り調査を求められる場合もあります。
④ 対策の検討・実施
特定した原因に合わせて対策を検討・実施しましょう。完全な対策には時間を要するため、「暫定対策」「恒久対策」の2段階に分けて実施する場合もあります。まず、暫定対策で速やかに被害拡大を防いだうえで、恒久対策で根本原因を完全に解消します。
たとえば、ウイルスに感染した機器からの流出の場合、まずネットワークからの遮断やウイルスの駆除により被害を防ぐのが暫定対策です。その後、セキュリティ機器・ソフトの導入などにより、ウイルス感染の再発を防ぐのが恒久対策となります。
⑤ 対外的な対応
ステークホルダーへの報告・謝罪だけでなく、ケースに応じて対外的な対応を実施しましょう。
サイバー攻撃や社員の不正などによる流出の場合は、警察へ被害届の提出が必要です。悪意・不正による流出だった場合は、加害者への法的措置が必要でしょう。反対に被害者からクレームや法的措置を受ける場合は、真摯に対応することが大切です。
⑥ 信頼回復に向けた取り組み
個人情報を流出させた場合、ステークホルダーや世間からの信頼低下は避けられません。信頼回復に向けた取り組みを行いましょう。たとえば、「再発防止策を実施・公表する」「専用の窓口を設置し被害者のサポートを行う」などが挙げられます。
【番外編】自身の個人情報を企業に流出された際の対処法
自身が1人のユーザーとして、個人情報を特定の企業に流出されてしまうケースも考えられます。この場合は被害者となりますが、感情的にならず冷静に対処していくことが大切です。まずは、個人情報が流出した旨の通知をしっかりと読みましょう。
特に昨今では、不安をあおることで個人情報を引き出そうとするフィッシング詐欺が増えています。本当に自分の個人情報が流出したのか、まずは当該企業の公式サイトなどで事実を確認しましょう。
実際に個人情報が流出していた場合は、被害の内容に応じた対処が必要です。たとえばログイン情報が流出した場合は、すぐにパスワードを変更しましょう。どう対処すべきか判断できない場合は、セキュリティの専門家に相談することが確実です。
5.個人情報流出を防ぐために企業ができる対策
個人情報の流出は、事案が発生する前に未然に防ぐことが大切です。ここでは、個人情報の流出を防ぐために企業ができる3つの対策について解説します。
5-1 セキュリティの強化
システム面・運用面を含めて、セキュリティの強化を図りましょう。セキュリティを強化することで流出リスクを低減できます。セキュリティ強化の方法はさまざまですが、ここでは4つ紹介します。
セキュアな暗号化技術の導入
セキュアな暗号化技術を導入し、通信の盗聴を防ぐことが効果的です。たとえば「VPN」を導入すると、暗号化技術により社外でもプライベートな通信経路を確立できます。社内ネットワークにアクセスする際には、VPNにより通信を行うことで盗聴対策が可能です。
不正アクセス対策システムの導入
不正アクセスに対策できるシステムの導入も、サイバー攻撃に効果的です。不正アクセスを検知し素早く通知する「IDS(Intrusion Detection System)」、不正が疑われるアクセス自体を遮断する「IPS(Intrusion Prevention System)」の2種類があります。これらを組み合わせることで、個人情報にアクセスされるリスクを大幅に低減できます。
個人情報の取り扱いに関する運用体制やポリシーの見直し
運用体制やポリシーを見直すことも大切です。たとえば、個人情報にアクセスできる社員の制限、個人情報を含むUSBメモリや書類などの持ち出しルールの厳格化などが挙げられます。見直しの際には、セキュリティの専門家から意見を聞くのも良いでしょう。
脆弱性診断の実施
「脆弱性診断」とは、システムに脆弱性がないか確かめることです。脆弱性診断によってシステムの潜在的なリスクが明らかとなり、より効果的なセキュリティ対策が可能となります。ただし専門知識が必要なため、セキュリティのプロに依頼するのが確実です。
当サイトを運営するバルテスでは、さまざまなシステムやIT資産の脆弱性診断サービスを提供しています。セキュリティのプロが豊富な知識を活かしてシステムの脆弱性を見つけ出します。「手間をかけずに高品質な脆弱性診断を実現したい」「診断開始後や終了後も専門家からのサポートを受けたい」といった場合はお気軽にお問い合わせください。
5-2 セキュリティ教育の徹底
社員へのセキュリティ教育を徹底しましょう。運用体制上の問題や社員による不正は、セキュリティ教育である程度は防ぐことが可能です。セキュリティ教育の内容としては、次のような例が挙げられます。
- 個人情報の持ち出しルールの説明
- メール誤送信を防ぐための送信ルールの説明
- パスワードの管理ルールの説明
- フィッシング詐欺への注意喚起
また先ほど挙げた事例のように、委託先の社員から個人情報が流出するケースもあります。そのため、関連会社へのセキュリティ教育も実施することが望ましいでしょう。
ただし、セキュリティ教育のために独自の教材を制作しようとすると、多くの手間がかかります。高品質なセキュリティ教育を手軽に実施したい場合は、外部サービスの利用もおすすめです。弊社のセキュリティ教育サービスではWebアプリの脆弱性対策やセキュリティテストなどについて学べます。
また、Qbookに無料会員登録すれば、Webシステムに潜む脆弱性に関する有用な資料をダウンロードできます。こちらもぜひご活用ください。
Web システムに潜む脆弱性
新型コロナウイルスの影響で、自社で外部公開するシステムを立ち上げることも多くなっています。セキュリティ対策がしっかりされたツールを導入しても、実は使い手・導入方法はしっかり確認しなくてはなりません。Webシステムに潜む脆弱性とは何でしょうか。
5-3 個人情報漏洩保険への加入
万が一、個人情報の流出が発生すると、企業は多大な損失を被ることになります。こうした事態に備えて、「個人情報漏洩保険」に加入することも1つの対策です。
個人情報漏洩保険に加入すると、個人情報の流出時に生じる損害賠償をカバーしてもらえます。
【番外編】自身の個人情報を企業に流出されないための対策
1人のユーザーとして、自らの個人情報を企業に流出されないための対策も知っておくと良いでしょう。個人として可能な個人情報の流出対策を3つ紹介します。
個人情報を入力する場合、Webサイトの安全性を必ず確認する
通信が暗号化されていないWebページで個人情報を入力すると、第三者に盗聴されるリスクがあります。個人情報を入力する場合、「ブラウザから安全性に関する警告が出ていないか」「サイトURLが意図したものと違わないか」などを必ず確認しましょう。
個人情報にアクセスできる状況を不用意に作らない
可能な限り、第三者が個人情報にアクセスできる状況は作らないようにすべきです。たとえば、「重要な個人情報を含む書類は使用時を除き棚に施錠して保管する」「離席時にはパソコンの画面を必ずロックする」などの対策を行いましょう。
ファイル共有サービスの多用は避ける
クラウドでファイルを共有できるサービスは便利ですが、第三者がアクセスしやすい側面もあります。どうしても使用すべき状況を除き、個人情報を含むファイルは安易にファイル共有サービスで共有しないようにしましょう。
まとめ
企業における「個人情報の流出」とは、顧客や社員のプライベートな情報が意図せず社外に漏れ出し、第三者が閲覧・取得できてしまう事態のことです。
個人情報が流出すると、ブランドイメージの低下だけでなく罰則や損害賠償請求といった事態も考えられます。
もし個人情報が流出してしまったら以下の対処を行いましょう。
① 事実関係・被害範囲の確認
② ステークホルダーへの報告・謝罪
③ 原因の調査・特定
④ 対策の検討・実施
⑤ 対外的な対応
⑥ 信頼回復に向けた取り組み
また、個人情報が流出してしまった場合の対処法を知ることも大切ですが、未然に防げるに越したことはありません。個人情報流出を防ぐためには以下3つを実施することをおすすめします。
・セキュリティの強化
・セキュリティ教育の徹底
・個人情報漏洩保険への加入
個人情報の流出を防ぎ、自社のブランドイメージを守るためにも、個人情報流出の原因を知り対策をしておきましょう。
