企業が行うべき情報漏洩対策とは？　流出の原因と効果的な対策を解説

誤って社外に情報を持ち出してしまった

本来は社内でのみ取り扱うべき情報（データ）を、ノートパソコンやUSBメモリにコピーするなどして社外に持ち出したことから情報漏洩が発生してしまうというのが、よく見られるパターンです。

重要な情報がコピーされたパソコンやUSBメモリ、あるいはスマートフォンやタブレットを社外に持ち出すと、それらが盗難や紛失によって第三者の手に渡ってしまうリスクがあります。実際に端末やメディアを電車の網棚に置き忘れてしまう事例や、飲酒後に紛失するようなケースはかなりの頻度で発生しています。
また、カフェなどでパソコンやスマートフォンを無料Wi-Fiに接続しようとした際に、悪意ある第三者が仕掛けたなりすましアクセスポイント（正規に提供されているWi-Fiと同じような名前に偽装したアクセスポイント）を利用してしまい、通信内容を盗み見られるケースにも注意が必要です。そもそもカフェなどのオープンスペースでは、作業中のパソコンの画面をのぞき見されたりスマートフォンで撮影されたりする、「ショルダーハッキング」と呼ばれるリスクもあります。

これらを防ぐには、重要な情報は持ち出し不可とするルールを整備しなければなりません。持ち出し可とする場合も、上長の承認を要する仕組みを導入すべきです。また、持ち出した情報の取り扱い、注意事項についてもマニュアルを作成して共有し、周知することが重要となります。

メールの誤送信

メールの誤送信も、しばしば情報漏洩の原因となっています。以前から多いのは、ToやCc、Bccに本来送るべきではない宛先を入れてしまい、個人情報などを送信してしまうミスです。また、重要な情報を含むファイルを間違えて添付し、送信してしまうミスも後を絶ちません。
最近では、誤送信を取り消せる機能を備えたメールソフトや管理ツールも普及してきています。しかし、取り消し可能な時間として設定できるのは送信後5～30秒程度と短いことが多く、その時間を過ぎると取り消しはできません。

そのため、情報のやりとりはメールではなく、ビジネスチャットツールや情報共有ツールで行うという企業も増えています。いずれにしても自社に合った、より安全性の高い方法を選択することが求められています。

情報を適切に廃棄できていなかった

紙の書類に限らず、デジタルデータを保存した記録媒体、業務用のパソコンやスマートフォンを適切に廃棄しなかったために発生する情報漏洩もあります。

機密情報を口外してしまった

従業員が業務を通じて知った情報を第三者に話す、SNSなどで公開してしまうといったことも、よく発生している事例です。退職者が営業秘密などの情報を、転職先で話すなどのリスクもあります。

こうした情報漏洩を防ぐには、第一に研修などを通じて従業員のセキュリティリテラシーやモラルを高める努力が必要です。重要な情報に関しては、それを口外・公開した場合、懲戒や損害賠償などのペナルティを課すことを明記した誓約書を交わす方法も、選択肢として考えられます。

セキュリティソフトの導入

コンピューターや情報を様々な外部攻撃から守るためのソフトウェアが、セキュリティソフトです。法人向けのセキュリティソフトには、ウイルスやマルウェアを検知して駆除するアンチウイルス機能や、外部ネットワークとの通信を制御するファイアウォール、迷惑メール対策、有害サイト規制などの機能が搭載されています。

また、近年は情報漏洩対策に注力しているソフトが増えています。不正な通信の遮断、Webフィルタリング、特定の個人や企業を狙ったなりすましメールなどの標的型攻撃対策、不正アクセス・操作監視といった機能を持つソフトがあり、二重三重のセキュリティ強化が可能です。

システムの脆弱性の確認を定期的に行う

多くの外部攻撃が、ソフトウェアの脆弱性を突いて実行されます。ソフトウェアに脆弱性が発見されるとベンダーからアナウンスがあり、脆弱性の修正プログラムが公開・配布されるのが通例です。
したがって、ソフトウェアを使っている企業は常に脆弱性について注意し、修正プログラムが公開された場合には速やかに更新作業を行わなければなりません。これは、情報漏洩を防ぐための基本的な事項ということもできます。

OSの大型アップデートは慎重に行う

WindowsやMacなどのOSのアップデートも、外部攻撃を許してしまうセキュリティ上の脆弱性を解消するプログラムが含まれていることが多いので、通常のアップデートは積極的に行うべきです。ただし、新機能などが導入される大型アップデートについては、安易に行うと想定外の問題が発生し、現在使用しているソフトウェアが正しく動作しなくなる可能性があります。

セキュリティに関するアップデートはなるべく早急に実行するべきですが、ソフトウェアなどの動作に支障が生じる可能性のある大型アップデートについては、検証用のパソコンでソフトウェアが問題なく動作するかを確認し、その後に実行するといった手順が必要になります。

重要な情報は暗号化＆アクセス制限をかける

外部攻撃があっても重要な情報の閲覧やアクセスができないように、暗号化とアクセス制限をかけることも有効な対策です。
暗号化は、暗号化用のアプリケーションを使う方法や、データベースやストレージに備わっている暗号化機能を利用すれば可能になります。

アクセス制限は、ファイルサーバーやデータベースサーバーに特定の権限を持つユーザーのみが、ID・パスワードでアクセスできるよう制御するのが一般的です。また、生体認証などの強固な認証システムを組み合わせるのも有効です。

ログイン情報も厳格に管理する

ログイン情報（ID・パスワード）が簡単に推測できるものだと、悪意のある第三者による不正ログインを許してしまうことになりかねません。ログイン情報は簡単に推測できないものにし、定期的に変更するなどして厳格に管理する必要があります。
また、どのユーザーがいつ、どこからアクセスし、どのような操作をしたのかが確認できるよう、アクセスログを残すことも重要です。

ファイル共有も安全な方法を選ぶ

取引先やパートナー企業など、社外の人とのデータの受け渡しには、ファイル共有サービスやオンラインストレージサービスがよく利用されています。この場合も、利用しようとしているサービスのセキュリティ対策についてよく確認し、どのサービスを利用するかを慎重に検討しなくてはなりません。

サービス利用時も、重要な情報を共有する際はファイルの暗号化やアクセス制限機能を使う、公開範囲の設定を必要最小限にする、サービスログイン時に2要素認証を利用するなど、セキュリティ強度を高める使い方を心掛けましょう。

1.情報漏洩の実態把握

情報漏洩が発生したときの最優先事項は、状況の正確な把握と確認です。特に、流出した情報の内容と件数、現時点で起きている被害状況などの問題点の把握、対応状況の確認は、できるだけスピーディーに行わなければなりません。正確な実態把握が、二次被害の防止につながります。

2.二次被害を防ぐ

実態把握をしたら、対策チームなどを設置して、具体的な対処・対応をしていきます。外部から情報にアクセスできる状態になっているなど、状況によっては情報の隔離やサービス停止も視野に入れた、二次被害を防止するための緊急対処が必要です。また、クレジットカード情報などが含まれていた場合は、本人に通知して利用停止などを促す措置をとらなければなりません。

3.原因究明

二次被害防止のための緊急対処と同時に、原因究明も進めます。紛失・盗難、誤送信、外部攻撃、内部不正などが想定されますが、可能な限り具体的な原因を特定する必要があります。原因を特定しなければ、当面の対処や今後の再発防止策の検討もできず、説明責任も果たせません。

4.関係者などへの情報公開

個人情報の漏洩では、まず本人に事実を知らせて謝罪をし、漏洩した個人情報を利用した詐欺などの二次被害に遭わないよう、注意喚起することも重要です。取引先による情報漏洩の場合も、自社の顧客などに影響するのであれば、関係者への通知と情報公開が必要になります。

その上で、世間への公表が必要と判断される場合は、Webサイトでの公表や報道機関へのプレスリリース発表も行うことになります。被害の種類や規模によっては、記者会見の開催も検討しましょう。