個人情報漏洩は今のデジタル世界ではあってはならない問題です。
個人情報の取り扱いには、企業・個人ともに慎重にならなければいけません。
しかし、個人情報漏洩が起こる背景には気をつけても防ぎきれない事情があるのも事実。
本記事では、個人情報漏洩について、起こる原因、対策を事例を交えて解説していきます。
「弁護士に相談なんて大げさな・・・」という時代は終わりました!
経営者・個人事業主の方へ
2021年以降に発生した個人情報漏洩事件・ニュース一覧
2022年、1年間で発生した個人情報漏洩事件はおおよそ120件と報告が上がっています。
どんなに気をつけても個人情報漏洩事件は起こってしまうもの。
では、2023年に入ってからの個人情報漏洩事件には、どのようなニュースがあるのかご存じですか?主なニュースを一覧にまとめてみましたので、ご覧ください。
<2023年に公開された情報漏洩事件の一覧表>
| 事件 | 会社名 | 発生日時 | 発生日時 | 流出内容 |
|---|---|---|---|---|
| webサイトへのサイバー攻撃 | 株式会社メディウェル | 2022年8月29日〜2022年12月4日 | 2023年1月5日 | 顧客情報 ・PCメールアドレス ・氏名 ・生年月日 ・住所 ・電話番号 ・ログインパスワード |
| 外部会社に対するサイバー攻撃 | アフラック生命保険株式会社 | 2023年1月7日〜2023年1月9日 | 2023年1月10日 | 顧客情報 ・姓(漢字、カナ) ・年齢 ・性別 ・證券番号 ・加入の保険種類番号 ・保障額 ・保険料 |
| 外部会社に対するサイバー攻撃 | チューリッヒ保険会社 | 2023年1月9日 | 2023年1月10日 | 顧客情報 ・姓(漢字、カナ) ・性別 ・生年月日 ・メールアドレス ・證券番号 ・顧客ID ・社名、等級など自動車保険契約に係る事項 |
| 外部連携のECサイトがデータを改ざんされた | カバーマーク株式会社 | 2022年7月28日 | 2023年1月10日 | 顧客情報 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| 申込サイトへの不正アクセス | 一般財団法人 国際ビジネスコミュニケーション協会 | 2023年1月8日 | 2023年1月11日 | ユーザー情報 ・登録ID ・氏名 ・生年月日 ・性別 ・住所 ・電話番号 ・メールアドレス ・出身国 ・母国語 ・秘密の質問&回答 |
| 外部サービス連携のサービスがデータ改ざんされた | ベストリンク株式会社 | 2022年10月25日 | 2023年1月11日 | 顧客情報 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| ECサイトへの不正アクセス | SHIGETA 株式会社 | 2022年9月2日 | 2023年1月12日 | 顧客情報 ・クレジットカード名義人 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| 管理サーバーへの不正アクセス | 株式会社北関東マツダ | 2023年1月134日〜2023年1月15日 | 2023年1月18日 | 顧客情報 ・会員登録情報 ・氏名 ・メールアドレス ・担当店舗 ・電話番号 ・誕生月 ・年齢 ・職業 ・車種など 従業員情報 ・氏名 ・経歴 ・LINEユーザーネーム |
| 外部連携のECサイトがデータを改ざんされた | 株式会社長寿乃里 | 2022年7月28日 | 2023年1月19日 | 顧客情報 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| 外部連携のサービスで情報が盗まれた | 株式会社シャルレ | 2022年7月19日〜2022年7月26日 | 2023年1月24日 | 顧客情報・クレジットカード名義人・クレジットカード番号・有効期限・セキュリティコード |
| オンラインショップへのサイバー攻撃 | 株式会社丹野こんにゃく | 2021年3月9日〜2022年3月31日 | 2023年2月8日 | 顧客情報 ・クレジットカード名義人 ・クレジットカード番号・有効期限 ・セキュリティコード |
| 教育研究サーバーへの不正アクセス | 明治大学 | 2022年7月25日〜2022年10月19日 | 2023年2月10日 | 学食員のメールアドレス |
| ECサイトへのサイバー攻撃 | ソースネクスト株式会社 | 2022年11月15日〜2023年1月17日 | 2023年2月14日 | 顧客情報 ・クレジットカード名義人 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| オンラインストアのサイトに不正プログラムの設置 | 双日インフィニティ株式会社 | 2021年4月22日〜2022年8月31日 | 2023年2月15日 | 顧客情報 ・クレジットカード名義人 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| マルウェアによるモデム制御サーバーへのDDoS攻撃 | 浜松ケーブルテレビ株式会社 | 2022年11月21日〜2022年11月29日 | 2023年2月16日 | 顧客情報 ・顧客ID ・住所など |
| オンラインショップへの不正アクセス | 株式会社三京商会 | 2020年7月28日〜2021年12月20日 | 2023年2月20日 | 顧客情報 ・クレジットカード名義人 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| PC・USBの盗難 | 東海大学 | 2023年2月6日 | 2023年2月22日 | 在学生・卒業生の個人情報 ・学生証番号 ・氏名 ・出欠記録 ・成績評価 ・顔写真 ・提出レポート ・試験答案 |
| 不正アクセスによる個人情報流出 | 株式会社トマト | 2021年1月22日〜2022年10月3日 | 2023年2月28日 | 顧客情報 ・カード名義人名 ・クレジットカード番号 ・有効期限 ・セキュリティコード ・氏名 ・住所 ・生年月日 ・メールアドレス ・電話番号 ・購入履歴 |
| オンラインショップへのサイバー攻撃 | オアシス珈琲有限会社 | 2021年9月21日〜2022年7月20日 | 2023年2月28日 | 顧客情報 ・クレジットカード名義人 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| パソコンに不正ファイルが作成されていた | 日本原燃 | 2022年6月3日〜2023年2月19日 | 2023年3月3日 | 視察者情報 ・氏名 ・住所 ・電話番号 ・生年月日 ・身分証のコピー等 |
多くの企業で情報漏洩が発表されていることがわかります。
近年では、どんどん被害報告が増えていますので、より一層の注意が必要になってきています。
中には、長期間情報を盗まれていることに気がつかないケースもありますので、定期的なセキュリティーチェックは各企業で必要不可欠です。
ほとんどのケースがクレジットカード会社からの報告や、顧客からの報告、外部サイトからの報告で情報漏洩に気がついている点にも注目。
自社ではなかなか気がつきにくいのが悪意ある攻撃なのです。
個人情報流出の事例とそれぞれの原因
では、個人情報流出事件とは、どのような種類があるのか事例を交えなから、解説していきましょう。
SQLインジェクションによる事例
SQLインジェクションとは
顧客情報などがあるデータベースに対して不正なSQL文を挿入し、不正にデータを抜き出したり書き換えたりするサイバー攻撃のことです。SQL文とは「Structured Query Language」の略でデータベースに対する命令文のこと。
SQLを操作することで、自在にデータベースからデータを抽出できてしまいますので注意が必要です。ECサイトや、オンラインショップなどのサイトには、決済機能がありますので、データベースが搭載されています。少しでもサイトに脆弱性があると、大切な顧客情報が盗まれる危険性があることを覚えておきましょう。
事例を紹介すると、2022年5月に名古屋大学の在籍学生のメールアドレスが盗まれるという事件が発生しています。
これはSQLインジェクション攻撃を受けたことが原因です。当該大学では、ファイアウォールの強化で更なる被害を防ぐことに成功しています。
この攻撃で盗まれた学生のメールアドレス数は2,086件にも及びました。
被害報告は2022年6月に公表された事件です。
フィッシング被害に関する事例
フィッシング被害とは
メールやSMSなどを利用して、偽サイトに誘導し、個人情報を盗み出す手口です。
個人でも身に覚えのある方も多い詐欺手法。釣りのように餌(偽のURLなど)で情報を釣るという意味でフィッシングと呼ばれています。
最近の事例を紹介すると、2023年2月27日にローン会社を装ったフィッシング被害が報告されています。
メールやSMSを利用して、ローン会社の偽サイトに誘導し、不正に契約番号や、ログインパスワードなどを引き出す詐欺方法です。
このフィッシングでの被害額は、まだ明確になっていません。
過去の類似の事例から推定すると、一人当たり、最大で300万円程度になる可能性があります。
2020年のフィッシング被害の総額は、約5億1,200万円にも上りました。
フィッシング被害に遭わないためには、
- 身に覚えのないメールやSMSのリンクを踏まないこと
- メールには迷惑メール対策を講じること
です。
ローンや銀行などはwebサイトからアクセスせずにできるだけ専用アプリを利用しましょう。
不正ログインに関する事例
不正ログインによる個人情報流出ももちろんあります。
2021年7月の報告によると、大学病院内の医師がクラウドサーバーにアカウントを作成し、そのアカウントが乗っ取られ、不正アクセスを受けました。
患者のカルテ情報などにアクセスできてしまう状況に陥ったのです。
実被害の報告は受けていませんが、医師が病院に無断で患者の個人情報をクラウドサーバーに載せていたことが問題となった事件。
不正ログインはいつどこで発生するかわかりません。
安易なIDやパスワードを利用することは避けて、大事な情報を誰でもアクセスできるようなクラウドサーバーにアップする行為は控えた方が無難です。
オンラインショップでの個人情報漏洩事例
オンラインショップでの個人情報漏洩事例は後を絶ちません。
具体的にはサイバー攻撃などで、オンラインショッピングサイトの顧客のカード情報や氏名、年齢などを盗み出す手口です。
直近で被害の多かったのは、株式会社三京商会のオンラインショッピングサイトの顧客情報が最大4万9,330件も流出した可能性のある事件。
オンラインショップのサイトには、どうしてもクレジットカードの情報などを保有しているため、狙われやすくなってしまいます。
顧客側も本当にオンラインで買い物しても問題ないのか、を見極める必要がある時代です。
さまざまなサイトにクレジットカードの情報を何も気にせず書き込むのは控えた方がいいでしょう。
企業側も情報漏洩が起こると、顧客の信頼を失いますので、監視の目は万全にしておく必要があります。
そして初動を素早くし、できるだけ被害は食い止めなければいけません。
従業員による個人情報の持ち出し事例
意外に定期的に発生するのが、従業員による悪意のある情報漏洩事件です。
情報を競合他社に売るなどして、お金を受け取るケースもあれば、情報を持ってそのまま転職するなどのケースも。
海外では事例が多いパターンですが、日本でも定期的に事件が起きています。
最近の大きな事件は、2021年3月29日に株式会社東急コミュニティーの元従業員が顧客情報を持ち出し、外部に流出した事件です。
2019年10月と2020年11月の2度に渡りデータを持ち出した事件として2021年3月29日に公表されています。
約5,000件の顧客情報を持ち出していたことが判明し、「氏名、住所、電話番号、マンション名、室番号」などが外部会社に流出された悪質な事件です。
従業員の持ち出し事件は日本でも意外に多く、この後にも大和証券や、村田製作所など大手企業でも度々発生しています。
各企業はコンプライアンスを徹底していく必要があるでしょう。
社内データの紛失による個人情報漏洩事例
社内データを紛失することでも個人情報漏洩の危険があります。
パソコンやタブレット、USBなどを置き忘れてしまった、または窃盗にあったなどでデータを悪用されてしまう事例も発生しています。
インターネットの危険もありますが、もっとも危険なのは、ヒューマンエラーなのかもれません。
直近の事件では、東海大学の教員が海外でパソコンとUSB2個を窃盗された事件が有名です。
これにより、在籍学生の個人情報や卒業生の個人情報、レポートなどが最大1,746名分が流出 してしまいました。
持ち運びに便利なノートパソコンやUSBなどの社外への持ち出しには細心の注意が必要です。
閲覧権限の設定ミスによる個人情報漏洩事例
最近では、クラウドサービスが主流になっているため、共有のスペースも多く、権限設定ミスによる情報漏洩事件も多発しています。
社外には閲覧できないはずが閲覧できてしまったり、閲覧権限だけを付与したつもりが、編集権限が付与されていたりなど、さまざまな可能性が考えられるでしょう。
最近の事件では、株式会社JTBが、クラウドサービスのアクセス権限の設定ミスを犯してしまい、地域振興事業の補助金交付を申請した事業者情報が漏洩してしまう事件が発生しました。
これにより、最大1万1,483人分の個人情報を含む1,698件の申請書類が他の事業者に情報漏洩するという事件に発展しました。JTBでは、管理者を増やすなどして再発防止に努めています。
権限の設定ミスもヒューマンエラーに起因しますので、インターネット社会では十分なチェック体制が必要になってきます。
個人情報の意味とは?何が該当する?
では、個人情報とはどんな情報のことを指しているのでしょうか。
基本的には
- 氏名
- 住所
- 電話番号
- 会社名
- 学校名
- メールアドレス
- 各種SNSのアカウント
- クレジットカードの情報
などが個人情報と呼ばれるものです。
個人を特定できてしまう情報は全て個人情報だと考えてください。
では個人情報が漏洩することで何が問題なのかを確認しておきましょう。
個人情報の利用目的
個人情報の利用目的は個人情報を取得する際に明確に定めなければいけないと個人情報保護法第17条に明確に記されています。
具体的には個人情報をどのような業務で扱うのかを明確にしなければいけません。
例えば、セミナーで個人情報を求めるならば、セミナーに参加した人の会社名を明確にし、セミナー後にメルマガなどを送付することに利用するなど具体的に示す必要があるのです。
株式会社コアでは個人情報の利用目的を以下のように記しています。
- セミナー・展示会等のイベントご案内のため
- 商品・サービスの情報や宣伝物等のご提供のため
- 商品・サービスの提案、販売のため
- 販売・サービス窓口のご紹介のため
- より良い商品・サービス開発のための調査・分析のため
- 保守・サポートの提供のため
- 連絡、協力、交渉、契約履行、履行請求等のため
- 施設の入退管理のため
注)上記の利用目的の達成に必要な範囲内で、当社の関係会社、お客様、お取引先様に提供することがあります。
個人情報の利用目的を企業は明確にし、それ以外には利用しないことをお客様に約束しなければいけません。
これは契約にも該当するため、もしも、情報漏洩事件を起こした場合には、訴えられる危険性があるのです。
また、情報漏洩した個人情報を盗んだ側の利用目的は、同業他社に情報を売り込むことが目的です。
そのほか、個人情報を悪用しクレジットカードの情報で他人のカードでショッピングするなどの事例も挙がっています。
個人情報を売り込まれて悪用した企業も犯罪に加担したことになりますので、不審な情報の売り込みには応じないようにすることも大切です。
個人情報の使用用途
個人情報の利用目的を明確化したなら、その目的に準じる方法で個人情報は使用していかなければいけません。
もしも、最初に顧客と取り交わした、利用目的以外の使用方法を行ったなら、訴えられてしまいますのでご注意ください。
違う用途でも利用したくなった場合は、再度顧客に連絡をとって、追加の利用目的を説明し、同意を取る必要があります。
最近では、プライバシーマークの取得も必要事項になっていますので、優良企業の証としても、個人情報の取り扱いには、慎重を期したいところです。
そして、個人情報を盗んだ側の主な使用目的は、先にも述べた通りに高額で情報を売ることです。
ダークウェブの世界では、おおよそ以下のような単価で個人情報は売買されています。
個人の属性が医師や弁護士などの高所得者の場合にはもっと高額になる傾向です。
- メールアドレス・パスワード:1~15ドル
- クレジットカード番号:1~45ドル
- オンライン口座番号:1~100ドル
- パスポート情報:1~35ドル
- 個人情報パック:30~100ドル
おおよその目安になりますが、闇市場では高額で売買されていることが分かります。
漏洩した個人情報は、売られた後はどう使用されるのでしょうか。
メールアドレスは、なりすまして、フィッシング詐欺などに悪用され、そこから、さらにカード番号などを盗み出し、悪用されてしまいます。
そのほか、ウイルスメールの送信元に利用されたり、盗まれたメールアドレスは、ハッカーやクラッカーの格好の餌食になるのです。
もちろん、クレジットカードの番号や銀行の口座番号などは、犯罪に直結できます。
盗まれた口座などの番号を利用し現金を引き出す犯罪に利用されてしまうのです。
個人情報漏洩が発生する原因
個人情報漏洩が発生する原因はさまざまありますので、まずはしっかり理解することが大切です。
マルウェアの巧妙化
マルウェアは年々巧妙化しているため注意しましょう。
マルウェアとは
ウイルスなど悪意を持ってデータを改ざんしたり、抜き出したりするプログラムの総称です。個人情報が搭載されたサーバーに少しでもセキュリーに脆弱性があれば、サイバー攻撃などで簡単にコードを送り込まれてしまい、個人情報は流出してしまいます。
もちろん、セキュリティー対策も年々マルウェアの巧妙化に対応できるように進歩していますが、マルウェアも同様に巧妙化してきています。
そのため、セキュリティー対策とのいたちごっこが続いている状態です。
巧妙化するマルウェアに対応できるように、セキュリティー状態を最新にしていくことが企業や個人には求められています。
フィッシング・スキミングなどの不正利用の発展
個人に偽メールなどを送信し、フィッシングサイトに誘導して個人情報を抜き出す手口は先に述べた通りです。
そのほか、スキミングでも個人情報は簡単に盗まれてしまいますので注意しましょう。
具体的には店舗でクレジットカード払いをする際に、カードを読み取る装置にスキマーと呼ばれる装置が装着されているケースがあり、簡単に情報を抜き取られてしまいます。
同様に銀行ATMにスキマーが装着されるケースもあり、口座情報を盗まれてしまうことに。
また、電子マネーなど、Wi-Fiを利用するようなケースの場合には、簡単にネットを通して、情報を盗まれてしまうのです。
近年では、オンラインスキミングの手口も巧妙化しており、ネットショッピングをする際にサイトに情報を盗み出すプログラムを仕込み情報を抜き出すことも可能です。
フィッシングは身に覚えのないメールなどには触れないことで回避できますが、スキミングは利用者には気がつくことができませんので、店舗側の注意が重要になってきます。
関係者などの人為的要因
そのほか、人為的な要因で個人情報が漏洩する事件も後を絶ちません。
パソコンなどの置き忘れ、盗難などに始まり、従業員が故意にデータを盗み出すことや、退職・転職時に故意にではなく、データを持って出てしまい、情報漏洩することもあり得ます。
クラウドなどの利用で、ファイルやデータベースへのアクセス権限の付与のミスや、担当者の誤送信なども情報漏洩に繋がりやすいので注意しましょう。
実は、ネット上のサイバー攻撃以上に多いともいわれているのが人為的ミスと呼ばれるヒューマンエラーです。
ヒューマンエラーは企業や個人の注意で防止できるはずですので、十分な注意や指導、管理体制が必要になるでしょう。
個人情報が狙われる理由
個人情報が狙われる利用は単純で高額で情報が売れるからです。
また、直接お金につながるようなクレジットカードの情報や銀行口座の情報などは当然狙われやすくなっています。
個人情報漏洩を未然に防げない理由
個人情報漏洩を未然に防げないのか?と感じる方もいるでしょう。
巧妙化する悪質な手口に追いつかないという理由はもちろんありますが、それだけではありません。企業にも対応できない理由があります。
セキュリティ対策の予算不足
年々巧妙化するマルウェアの攻撃への対策はセキュリティ対策でも講じられていますが、新しい手法が出るたびにセキュリティーソフトを新しくするだけの予算が企業にはないことが多いのです。
毎日のように進歩する手口に追いつけないのが企業の実態です。
本来であれば毎日のように対策も最新になっていますが、そこまで対応する予算も時間もありません。
IT人材の不足
ITの人材不足も深刻化しています。企業自体のIT人材不足もさることながら、巧妙化するマルウェア対策を講じる優秀なエンジニアが足りないことも一つの原因といえるでしょう。
また、企業のサーバーなどに対策を講じるエンジニアが不足しているため、企業でも対応しきれていないのです。
予算を確保し、時間を作れたとしても、対処ができるエンジニアがいなければ意味がありません。
技術力や知識の不足
各企業にITエンジニアが在籍していても、技術力や知識が不足していれば、セキュリティーホールを作ってしまいます。
セキュリティーエンジニアには、セキュリティー知識の他にデータベースの知識や、SQLの知識、さらにはネットワーク全般の知識やwebサイトの知識が求められるでしょう。
これらを網羅するようなエンジニアは企業には不足しているため、個人情報の漏洩事件が発生してしまいます。
個人情報の流出が及ぼす影響
では、個人情報が流出することで企業に及ぼす影響を見ていきましょう。
企業への影響・リスク
個人情報が流出することで、企業のイメージダウンに繋がり、信頼を失うことになってしまいます。
それによって、顧客離れや株主離れに繋がり企業の存続の危機にも陥る恐れもあるでしょう。
もしもECサイトなどがサイバー攻撃を受けたなら、復旧するまで、ECサイトは営業できなくなってしまうのです。
売り上げ損失も高額になる恐れがあります。
そして、個人情報流出で顧客や株主から、訴えられるリスクも。
訴えられた場合は損害賠償を支払わなくてはならず、裁判に発展すればそれだけお金も時間も使うことになります。
ユーザーへの影響・リスク
個人情報を盗まれたユーザーは、日々不安にかられ、安心して過ごすことができなくなってしまいます。
- 不審者が自宅に来たらどうしよう
- 盗まれた情報で不正にお金を使われたらどうしよう
- メールアドレスが悪用され、警察から連絡がきたらどうしよう
などと不安は尽きません。
その他、勝手に借金を負わされるリスクもあり、債権回収業者からしつこい電話が来るリスクがあります。
確定申告時には余分な所得税の請求が来ることも想定できますし、医療費の請求なども不正に行われるリスクがあるのです。
個人情報が漏洩した際にするべき対処法
万が一あなたの会社で個人情報を漏洩してしまった場合には、以下の手順で対処していきましょう。
①情報漏洩の事実の発見・報告
情報漏洩の兆候があったり、事実を発見した場合には、速やかに責任者に報告し、情報漏洩時のインシデント体制を整えましょう。
サイバー攻撃などでプログラムの挿入や改竄などが発覚した際には、証拠を消さないように、不用意な操作はしないようにしてください。
外部から情報漏洩を指摘された場合は、相手の連絡先を必ず記録しておきましょう。
②初動対応の実施
個人情報漏洩時には初動対応が肝心です。
まずは、対策本部を設置し、被害の拡大や2次被害を食い止めることが先決になるでしょう。
サービスを停止したり、ネットワークの遮断、データベースの場所を移動するなどの情報の遮断も必要な措置です。
営業停止による損失よりも信用を失うことによる損失の方が大きくなる可能性が高いため、果敢な判断が重要になります。
③事実関係の調査
次に事実関係の調査を実施します。専門の機関に調査を依頼する方が無難になるでしょう。
いつどこで誰が何をして情報漏洩に繋がったのかを社内で整理しましょう。
その際の裏付けとなる情報や証拠を必ず取得してください。
④関係者への通知・報告・公表
漏洩した情報の本人や、取引先に通知を送ります。同時に監督官庁、警察、IPA(独立行政法人情報処理推進機構)への届出を行ってください。
次にホームページやマスコミへの公表を検討します。
ただし、情報を公表することで、更なる被害拡大が想定される場合は、公表の時期や対象などは検討しなければいけません。
⑤抑止措置・復旧
情報漏洩による被害拡大の防止や復旧作業を行います。
専用の相談窓口を設置し、被害が発生した場合には素早く情報を収集できるようにしておきましょう。
また、脆弱性を突かれた犯行などの場合には、再発防止の対策も講じます。
ヒューマンエラーなら、社内の管理体制を強化しましょう。
停止したサービスやアカウントの復旧も行います。
⑥再発防止策の検討
抜本的な再発防止策を講じます。調査報告書を作成し、経営陣に提出しましょう。
被害者に対する損害の補填を検討し、被害者に提案します。
社内に情報漏洩に直接起因した社員がいるなら処分を検討し、手続きしましょう。
これらの一連の流れを必要に応じて、株主などに公表してください。
また、被害者に損害を補填する際や社員の処分を実現する場合は、弁護士に相談することも検討するといいでしょう。
個人情報漏洩の対策6選【企業編】
個人情報漏洩に関する対策を6つ具体的にお伝えします。
①セキュリティソフトを導入・更新する
まずは、セキュリティーソフトやファイヤウォールなどを導入し、最新のものに更新してください。
万全だと思っていても、実は情報は日々更新されています。できるだけ高い頻度で更新することが大切です。
個人のパソコンやタブレットスマホに至るまで従業員の端末は常に最新のものにしておきましょう。
当然ながら、基幹業務システムや、フロントエンドのウェブサイトなども最新のものにしてください。
ルーターなどのネットワーク機器、サーバー類のファームウェアのアップデートもこまめに実施しましょう。
ファイアウォールのルールの更新も頻繁に行うことが大切です。
②Webサイトやソフトの脆弱性対策を実施する
webサイトや、ソフトウェアの脆弱性テストを定期的に行い、都度問題箇所に対策を講じましょう。
新規サイトやシステムを構築する際には、リリース前に必ず脆弱性テストを実施することをお忘れなく。
もしも、第三者から指摘が入った場合や攻撃を受けたログが見つかった場合は、すぐさま対策を講じることが重要です。
そのためには、システムやファイアウォールのログは日々チェックし、管理者が不足することがないようにすることも必要です。
③個人情報に関する教育を行う
ヒューマンエラーをなくすために、情報リテラシーに関する教育を行うことも必要になるでしょう。
入社時時に実施することはもちろんのことながら、定期的に社員研修で個人情報の取り扱いに関する教育は実施してください。
④守秘義務契約を書面で取り交わす
書面でNDA契約を取り交わすことも必要です。
従業員とは全員取り交わしているとは思いますが、改めてチェックしておきましょう。
そして取引先やパートナー企業とも契約を取り交わし、契約が締結されるまでは、機密情報を提供しないことが重要です。
従業員や取引先が不用意なSNSへの投稿などもできないようにしておきましょう。
⑤従業員の不満を生まない環境づくりを意識する
従業員の不満を産まない環境づくりも意識する必要があるでしょう。
個人情報の漏洩の裏側には、賃金に関する不満や、会社への恨みなども発端になっています。
従業員に満足してもらえる社内の環境づくりは個人情報を持ち出されないためには必要なことなのかもしれません。
とはいえ、どんなことに個人が不満を感じるのかは未知数です。できる限り意識できるようにすればいいでしょう。
⑥不正アクセス検知システムを導入する
不正アクセス検知システムを導入することも大切なこと。
監視システムで簡単に検知できますので、データセンターなどにはパトランプを設置したり、アラートが出た際には、責任者にもインシデントアラートが届くようにしましょう。
システムとしての導入も当然ですが、エスカレーションルールの整備も必要です。
- アラートが発生した際に、まだ攻撃を受けただけで改竄・盗難まではたどり着いていない場合は課長に報告する
- 誰かが不正にアクセスしたとなれば部長に報告する
- 情報が盗まれた・改ざんされた場合は社長に報告する
など、会社によって段階を追ってルートを決めておくようにしましょう。
個人情報漏洩の対策4選【個人編】
では、個人の場合はどのように対策していくべきでしょうか。
個人情報を漏洩させないためにできることをご紹介します。
①不審なWebサイトに個人情報を入力しない
不審なサイトにアクセスしないことが大切です。とはいえ、不審なサイトかどうかなどはわからないため、個人情報を漏洩してしまうのでしょう。
では、不審なサイトの見分け方として、まずはそのサイトの運営会社を確認することです。
偽サイトなどの場合には、虚偽の住所などが記載されているため、googleなどで検索するとすぐにわかります。
会社代表の氏名も本物のサイトとは別人物であることがわかるでしょう。
もしも可能なら、ドメインの確認もお忘れなく。
ドメインとは、「https://www.◯◯◯.co.jp/」などのように◯◯◯に該当する部分です。
偽サイトは、本物のコピーで作成されていることも多く、内容を見ても判断ができません。
ですが唯一、ドメインだけは重複して取得できないため、偽サイトは本物とは違うドメインを利用しています。
また、偽メールからのフィッシング被害を防ぐために、Amazonや楽天などの有名サイトを名乗ったメールには注意し、メールからのリンクは開かないようにすることも大切です。
その上で、少しでも不安がある場合には安易に個人情報は入力しないようにしましょう。
リンクを踏んでしまっても慌てずに大切な情報は入力しないで、すぐさまブラウザを閉じましょう。
中にはリンクを踏んだだけでも、マルウェアが送り込まれてしまうケースもありますので、すぐにネットワークからその端末を切り離して仕舞えば、情報を抜き取られる被害からは免れます。
②二段階認証(2要素認証)を利用する
各種アプリなどは2段階認証を取り入れていきましょう。
特にクレジットカードのサイトや、オンラインバンキング、ローン会社のサイトなどは確実に2段階認証を取り入れていくことが大切です。
2段階認証を取り入れることで、なりすましがたとえアクセスしようとしても不可能になります。
あなたの違う端末にキーやパスワードが送られてきますので、その情報を入力しない限りは、そのサイトにはアクセスできなくなる仕組みだからです。
③セキュリティソフトを導入・更新する
パソコンやタブレット、スマホなどにセキュリティソフトを導入し定期的に最新に更新することも忘れないようにしてください。
つい面倒で更新を忘れがちになってしまうかもしれませんが、サイバー被害からあなた自身の個人情報を守ってくれますので、必須でやるようにしましょう。
④パスワードを使い回さない
また、安易なパスワードを使いまわしたりすることも厳禁です。
誕生日や電話番号の数字を利用するとすぐにハッキングされてしまいますのでご注意を。
その上で、パスワードは定期的に変更することも大切です。
もしも、悪意ある第三者にパスワードが引き抜かれていても、被害を最小限に抑えることに成功します。
まとめ
個人情報漏洩事件は後を絶ちません。
しかし、極力防止することは可能です。最初にできることは、従業員に情報リテラシーについて教育を行い、人為的なミスを防ぐことを実施していきましょう。
そして、自社のサーバーや端末などのセキュリティーを万全にすること。
そして、定期的な脆弱性テストを行うことが大切です。
それでも、マルウェアの巧妙化などで防ぎきれないケースも存在しますので、万が一サイバー攻撃などを受けた場合は、すぐさま関係各所に連絡を取り、対処していくことが大切です。
あらかじめ弁護士保険へご加入いただき、様々なリスクに備えていただくこともオススメします。
ひとりひとりに真摯に向き合い、事件解決に向け取り組んでます。気軽にご相談が聞けて、迅速に対応できる弁護士であり続けたいと考えております。
※事前予約いただければ平日夜間や土日にも対応可能です。
----------------------------------------------------------------------------------------------------------------
2019年よりミカタ少額短期保険(株)が運営する法律メディアサイトです!
日常生活で困ったこと・疑問に思ったこと等、
法律に関するトラブル解決方法やお役立ち情報を、
弁護士監修のもと発信しています♪
----------------------------------------------------------------------------------------------------------------
