情報漏洩とは？よくある原因と対策方法

【投稿日】 2022年8月3日 【最終更新日】 2022年9月4日

情報漏洩とは、もともと秘匿されていた個人情報や機密情報が公の場に流出してしまうことです。

昨今では上場企業においても情報漏洩が目立ちます。毎年、企業による情報漏洩のせいで個人情報が100万人単位で流出してしまっている現状があります。

漏洩の原因は、情報(および媒体)の紛失、誤操作、不正アクセス、管理ミス、盗難、設定ミス、内部犯罪、無許可持ち出し、セキュリティ不足など様々ですが、全方位的なセキュリティ対策が十分にされていないことも現実です。

そこで、今回は情報漏洩を事前に防げるよう、情報漏洩の主な原因や対策、実際に起きてしまった情報漏洩の事例を見ながら予防や対策、対処法などについて詳しく解説します。

情報漏洩の主な原因と対策方法

情報漏洩が起きてしまう原因を大別すると、人的要因と外部要因の2種類に分けられます。

情報漏洩の原因1：内部要因

内部要因とは、企業の内部の人間が誤って情報を外部に漏らしてしまったり、悪意を持って情報を内部の人間が持ち出してしまう事です。

誤って、ミスをして、というヒューマンエラーによる情報漏洩は、防ぎようがなさそうにも思えますが、対策を強化することである程度の段階までは情報漏洩を防げるようになります。

また、一方で悪意ある内部の人間による情報漏洩は、探偵事務所など専門の調査機関などに依頼して、疑わしい人間の調査（行動、信用調査や交友関係、本当の経歴、過去の犯罪歴、反社会的勢力との繋がりの調査、隠しカメラを使った映像、音声取得など）を行ったりすることで予防することができます。

まずは、人的要因の典型的なパターンと、その基本的な対策方法について個別に見ていきましょう。

【人的要因1】デバイスの不用意な持ち出し

どんな業界でもIT化が進み、昨今ではDXの波もあるほどであり現場環境ではデバイス、記憶媒体を扱うのが当たり前となっています。

デバイスとはPC、スマートフォンを始めとした携帯電話やタブレット、記憶媒体とはUSBメモリなどを差します。

上記デバイス群を不用意に持ち出してしまうことで現場外の人間でも操作できる状態となってしまうことがあり、この時点で情報漏洩の可能性が高まります。

近年、リモートワークも一般的になったことで、ノートPCなどデバイスを持ち出す機会は非常に増えました。

出先であろうとデバイスの管理が行き届かないと、第三者から勝手にUSBメモリなどを接続されてデータの持ち出し・改ざん等の操作がされてしまうだけでなく、管理が行き届いていない場所に置かれたデバイスは丸ごと盗難や紛失の危険性もあります。

デバイスに関する対策方法は以下の通りです。

【人的要因2】メールの誤送信・メールに添付するファイルミス

メールの誤送信もありがちな情報漏洩の原因です。

メールの誤送信をしてしまうと、本来ならメールを送るべき相手ではない相手に、送るべきだった赤の他人の情報を開示してしまうことになります。そこには社外秘の情報だったり、個人情報が記載されていることが考えられるため、裁判沙汰となってもおかしくありません。

メールに関する対策は以下の通りです。

【人的要因3】現実の物品の管理不足による漏洩

デバイスを要因とする情報漏洩と近いですが、まさに個人情報が記載された書類などを適当に放置してしまうことによる情報漏洩も見逃せません。

大事な情報が記載された物品を適当に扱ってしまうと、来客や点検員など誰でも社外秘情報を持ち出せてしまう機会を創出してしまうことになります。

それだけでなく、「こんなところに放置されているということは、もう必要がない資料なんだな」と良かれと思った社内の人間がシュレッダーや溶解処理などで二度と復元できない状態にしてしまうこともありえます。これはなまじ秘密遵守の思いがあればあるほど起こり得る事故です。

他にも秘密遵守精神から、誰にも触れられないような場所に隠すように収納してしまうあまり、どこにしまったか忘れてしまい、結果的に紛失という形で情報漏洩レベルを上げてしまうこともあります。

現実の資料などの管理についての対策は以下の通りです。

【人的要因4】機密情報について口頭で触れてしまう

機密保持についての意識が低い環境下では、社員が日常会話などで社内外の機密情報を話題としてしまうリスクがあります。

例えば「何ヶ月に一回パスワード変えないといけないの面倒だよね、どういうふうにしてる？」「面倒だよね。数字や記号を……」といった会話が社内で行われてしまえば当該PCが貸与者以外でも操作できるようになってしまいます。

他に上記の会話が外部の飲食店などで行われてしまえば、全く会社に関係ない人間でも社内に入り込むことができればそのPCの操作ができてしまいます。

機密保持意識が足りない場合の対策は以下の通りです。

情報漏洩の原因1：外部要因

外部要因は、第三者によるハッキングや、社内ネットワークへの外部からの侵入、などにより情報漏洩してしまうことです。

人的要因とは違って、悪意を持って行われるケースが多いので、漏洩した情報を悪用されるリスクが高いのが特徴です。

しかし、これらは人的要因とは違い、セキュリティ対策の徹底などである程度防ぐことができます。

まずは、外部要因の典型例とともに、どのように対策すべきかを一つひとつ見ていきましょう。

【外部要因1】悪意ある第三者による社内サーバ・PCへの侵入

外的要因による情報漏洩の例として、外部からの攻撃(マルウェア感染、DoS攻撃／DDoS攻撃、SQLインジェクションなど)、ハッキングが挙げられます。攻撃を受けると外部から社内の機密情報が閲覧可能となってしまい、そのままデータが複製されたりして持ち出されてしまうことがあります。

外部からの攻撃、ハッキングへの対策は以下の通りです。

【外部要因2】リモートワーク・テレワークにまつわる外部からの侵入

リモートワークやテレワークの推進により、社内ネットワークを守るだけではリスク対策が間に合わなくなるケースも増えました。

会社のPCが外部からの侵入を守れても、各社員のPCが狙われる可能性もあるためです。

リモートワークやテレワークにおけるセキュリティ対策は以下の通りです。

もし、情報漏洩が起きてしまったら？どんな対応をとるべき？

万が一情報漏洩が起きてしまっても、適切に対応することで被害を最小限に抑えることができます。

もし情報漏洩が発覚してもまずは落ち着いて、以下解説の順番を参考に、現在とるべき行動は何かを考えてください。

情報漏洩が起きてないとしても、「万が一起きてしまったらどう対応するのか？」を把握しておき、体制を作っておくことも重要です。

【対応1】本当に情報漏洩が起きたのかを確認、現時点でそれ以上の流出が起きない対応をとる

情報漏洩が起きたという情報を入手次第、すぐに情報漏洩が起きた範囲について確認しましょう。

続いて、情報漏洩が起きている原因が特定できたのであれば、当該システムやサービスを一時的に停止させます。

【対応2】漏洩した情報の属性ごとへの対応をする(二次被害対応)

ここでいう情報の属性とは、漏洩した情報が社内についてのものなのか、顧客のような第三者の個人情報のどちらかを判断するためのものです。

後者である顧客の個人情報が漏洩したのであれば、その当人は自社による情報漏洩被害を受けたことになります。

流出した情報により、その情報を入手した者なら誰でも何かしらのサービス・システムにログインできてしまうような状態である場合、速やかに事態の報告、謝罪とともにログインIDやパスワードの変更を促します。

場合によっては【対応1】のようにログインして利用するようなサービス事態の停止を検討してください。

利用履歴が残るサービスについての情報を扱っていた場合は、履歴の確認や事業者への相談なども必要です。

【対応3】情報漏洩の原因を調査し、対策方法を表明する

情報漏洩が起きてしまった足元の現場からは、また次に同じようなことが起きてもおかしくありません。

このため情報漏洩が起きてしまった原因の究明を行い、同じことが再現しないようにするための対応策を考えましょう。

原因の究明において、第三者や内部の人間による意図的な情報漏洩が考えられる場合、疑いがある場合には、探偵事務所など調査機関を活用し、調査をすることもあります。

情報漏洩については、何より「なぜ発生したのか？」の原因の究明が何より大切です。

なぜなら、原因がわかれば再発防止に有効な対策を考えることができるためです。

論理的な対策が打ち出せれば、情報漏洩により失墜してしまった社会的信頼の回復につながります。

隠しカメラを使った疑わしい人物や社員の行動調査・証拠映像や音声の取得も有効！

情報漏洩の原因を調査する方法としては色々とありますが、探偵事務所であれば建物管理者に許可を取り、隠しカメラを設置して、疑わしい人物や社員の行動を調査したり、証拠映像や音声の取得を行うことができます。

個人で勝手に設置すると盗撮になってしまう可能性のある隠しカメラも探偵事務所であれば、建物管理者などに許可を取り、合法的に疑わしい人物（社員）の行動の監視はもちろんのこと、後々の裁判などで使える精度の証拠映像や音声の取得ができます。

場合によっては、隠しカメラを使って探偵が張り込み、現行犯で対応することも可能。

情報漏洩の現場では、必ず怪しい行動が行われているはずです。そういった現場を抑えてしっかりと原因を調査し、対応しましょう。

【対応4】個人情報を取り扱う関係機関に報告する

省庁の中には、特定個人情報の取り扱いについての監視や監督、指導・助言・命令に携わる「個人情報保護委員会」のような機関が存在します。

個人情報を取り扱う業者は、情報漏洩を起こしてしまった場合には個人情報保護委員会に報告することが「個人情報の保護に関する法律」第二十六条によって定められています。

このため情報漏洩を起こしてしまった場合は個人情報保護委員会に対し、起こしてしまった事実について、および再発防止策について報告することになります。

情報漏洩の事例3選！

本章では近年実際に起きた情報漏洩の事例を紹介します。

IT化が進んだこともあり、企業や公共団体、自治体などインターネット上でデータを取り扱うのであればどのような集団にも情報漏洩リスクはあります。

少しでも同じような被害を起こさないよう、過去に起きてしまった事例について起きてしまった原因や、対応などを把握しておくことは非常に重要です。

【事例1】尼崎市の住民46万人の個人情報流出

2022年の6月に尼崎市に住む市民46万人の個人情報が流出したとされる事件がありました。

兵庫県尼崎市は、新型コロナウイルスにおける臨時特別給付金に関する業務を一部アウトソーシングしていました。この外注先の業者が不用意に個人情報の入ったUSBメモリを紛失したことで事態が発覚しました。

原因としては業務を外部委託しており、業者が独断で情報記録媒体を持ち出したことにあるとされています。

遠隔地から情報のやり取りをすることができなかったため、外部記憶媒体であるUSBメモリを用いてデータの持ち運びをすることになっていた委託先の業者でした。

データを移動させる必要がありましたが、必要な許諾を取らずに重大な情報が記録されている媒体を持ち運び、さらには酩酊し前後不覚となりました。

同時に、所持品を丸ごとなくしてしまったという結果になります。

このような危機管理意識の甘さからは、社内における情報管理や業務体制を整える上での動機づけが完全に不十分であった、そのような社員を情報管理担当者に指名すべきでなかったといえるでしょう。

また一見、自治体に非がないように捉えられがちですが、本件の会見に当たって市職員が記者質問への回答中にパスワードについてのヒントとなるような内容を口にしてしまい、市のセキュリティ意識や情報リテラシーについても問題があるとされています。

【事例2】サンドラッグ顧客情報流出

2022年7月、サンドラッグは自社が持つ顧客情報のうち、個人情報やクレジットカード情報が流出したことを明らかにしました。

原因は不正ログインとされています。悪意ある第三者が、サンドラッグとは異なるサービスから不正に手に入れたログイン情報(ID、パスワード)を利用してログインを試行する「リスト型攻撃」を行ったことで被害を受けました。この攻撃の実行者のIPアドレスは海外とされています。

流出情報のトータル数は19057件にも及ぶとされています。

本件を受けてのサンドラッグの対策は、不正ログイン元のIPアドレスを遮断するとともに専門家によるセキュリティ強化をしたというものでした。

また情報流出した可能性のある顧客への対応は、メールで本件について説明し、ログイン情報を変更する案内を出すという手段でした。

サンドラッグ側が不正ログインに気づいた7月11日のうちに同メールは送られているとのことでした。もちろんはじめから情報漏洩などしないに越したことはありませんが、事後対応の動きとしては機動性があるものでした。

【事例3】厚生労働省が提供する講義受講者の個人情報流出

2021年8月、厚生労働省は自らが提供する研修事業の運営を委託した業者により、受講生の個人情報を流出させてしまいました。

研修事業の運営を委託されていたのは学校法人大原学園であり、同社が仕様にないセキュリティの低い方法で名簿を管理していたこと、内部向けメールを申込者宛に送ってしまったことに原因があります。

本件により、研修の受講生1106人の氏名、生年月日、住所、電話番号が流出することになり、同法人は送り先を間違えたメールを受け取った相手に謝罪するとともにメールの消去を依頼、実行し、さらなる流出がないことを確かめました。

さらに流出させてしまった情報の持ち主にも謝罪し、今後の改善策として管理・教育を徹底すると発表しました。

厚生労働省も改善策を発表しました。その内容は、委託先に情報管理を徹底させることと情報セキュリティ監査を実施するというものでした。

情報漏洩はいつ起こるか分からない！対策と予防、そして起きてしまった時の対処法を把握しておこう！

情報漏洩が起こる原因や対策、その後の対応について解説しました。

情報管理意識が根付いたDX時代においても、依然として私企業、公的機関においても情報漏洩は起こっています。

情報漏洩によって社会的信頼を落とさないためにも、本記事で解説したような、情報漏洩が起きる典型的な原因と基本的な対策・予防方法、そして起きてしまった時の対処法について、しっかりと事前に把握しておきましょう。

内部要因による情報漏洩の原因究明、疑わしい内部の人間の調査なら探偵事務所SATにおまかせ！

情報漏洩はいつ起きるか分かりません。特に厄介なのが、ヒューマンエラーによる情報漏洩や悪意ある内部の人間による意図的な情報漏洩です。

なぜこれらのような内部要因の情報漏洩が、厄介なのかというと、これらは完全に防ぐことが難しいためです。

これら、内部要因の情報漏洩のリスクを最小限に抑えるためには、どうミスをしても情報漏洩しないような体制やルール作りはもちろん、疑わしい人に関しての徹底的な調査を行っていくしかありません。

探偵事務所SATでは、情報漏洩に関して疑わしい内部の人間に関する素行調査や、起きてしまった人為的な情報漏洩についての原因究明などをサービスとして提供しています。

また、情報漏洩の原因究明や、証拠収集にうってつけな、隠しカメラを使った証拠映像・音声の収集や、張り込み調査なども合法的に行うことが可能です。

探偵は調査対象に気づかれることなく、調査を行うプロフェッショナルです。

安易に、自社で犯人探しや疑わしい人の調査を行ってしまうと、「これだけ会社に尽くしているのに疑われるなんて・・・」など、関係のない社員のモチベーションの低下などに繋がってきてしまうのでおすすめできません。

何か情報漏洩につながる予兆や、疑わしい人物に関する調査、または起きてしまった人為的な情報漏洩の原因究明の際は、探偵事務所SATにご相談ください。

まずは、メールやお電話にて詳しいお話をお聞きいたします。