個人情報漏洩対策、5つのポイントと過去の実例を紹介 ~人為的ミス編~

年々増加傾向にある個人情報漏洩事故。株式会社東京商工リサーチの調査(※)によると、2021年の上場企業(子会社含む)の個人情報の漏えい・紛失事故件数は137件で、過去最多を記録しました。個人情報漏洩事故の要因には、人為的ミスによるものと外部攻撃によるものの2種類があり、企業は双方に対して対策を行わなければなりません。今回は前者の、人為的ミスによる流出原因とその対策について、解説します。(※参考:https://www.tsr-net.co.jp/news/analysis/20210117_01.html

個人情報漏洩の事故事例

まずは、国内でどのような事故が発生しているのか、最近の事故事例を見ていきましょう。

1. 株式会社東急コミュニティー/元従業員が社内システムから顧客情報を流出

2021年3月29日、株式会社東急コミュニティーの元従業員1名が同社管理のマンション顧客の氏名や住所等の個人情報約5,000名分を不正に持ち出し、外部流出させました。同年1月に外部からの指摘を受けた同社が社内調査を行ったところ、元従業員が社内業務管理システムを使って、2019年10月と2020年11月の合計2回にわたり顧客情報を持ち出していたことが判明しました。同社は、当該顧客に対して書面にてお詫びと説明を行い、再発防止策のために社内業務管理システムへのアクセス制限強化と全社教育を実施しました。

2. 島根県雲南市/コロナ感染児童名簿を全児童の保護者へ誤送信

2022年8月8日、島根県雲南市立木次小学校が、新型コロナウイルス感染者や接触した児童の氏名や所属を記載した名簿5名分を、誤って全児童の保護者174名に誤送信したことが明らかになりました。雲南市教育委員会によると、当該メールは教員間での情報共有を目的としていましたが、誤って全保護者を宛先に追加してしまい、受信者の一部から流出について指摘が入ったため判明したということです。送信から2時間後には、メールの内容を口外しないよう求めるメールが保護者へ送られましたが、同委員会には誤送信の際のマニュアルがなかったと公表しています。

3. 兵庫県尼崎市/全市民約46万人等が記録されたUSBメモリを紛失

こちらのニュースは大きな注目を集めました。2022年6月23日、尼崎市の住民税非課税世帯に対する臨時給付金支給事業の受託事業者の関係者が、全市民約46万人等が記録されたUSBメモリを外部に持ち出し、立ち寄った飲食店で酒に酔って紛失したことが明らかになりました。同市によると、紛失したのは受託先であるBIPROGY株式会社関西支社(大阪市北区)の関係社員で、データ移管作業のために持ち出しを行い、飲食店の帰りに鞄ごと紛失してしまいました。ただし、紛失したUSBメモリはパスワードが付され、内容については暗号化処理が施されていました。翌24日には発見され、不正利用された形跡はないとされていますが、市民からの不満や批判の声が相次ぎました。

なお、上記尼崎市の事故を受け、2022年7月13日に個人情報保護委員会から個人情報の取り扱いに関する注意喚起(※)が発表されました。企業は、個人情報漏洩事故へのより一層の留意が求められています。

(※参考:USBメモリ紛失事案を受けた個人データの適正な取扱いについて

5つの個人情報漏洩対策

このように、人為的ミスによる個人情報漏洩事故は後を絶ちません。では、こうした事故を防止するためにはどのような対策が必要でしょうか。ここでは、5つのポイントを紹介します。

1. パソコンUSBの持ち出しを安易に許可しない

USBは簡単にデータを保存・活用できて便利な反面、多くのセキュリティ事故につながっているのも事実です。根本的にUSB端末を持ち出し禁止にしてしまえば良いかもしれませんが、仕事の都合上そうはいかないことが多々あります。

対策としては、持ち出し時は厳格なルールを設定し、チームで共有しておくことです。具体的には、持ち出すUSB端末を決めておく、持ち出しの際は上長に指示を仰ぎ、履歴を記録するなどして、セキュリティリスクを減らしましょう。

2. メールの誤送付や誤ファイル送付の防止策

メールは自分一人で作業が完結できてしまうため、人為的ミスが発生しやすいツールです。宛先の誤送信や誤ファイルの添付はよくあることかもしれません。

メール送信において、「送信前に宛先に注意して確認する」や「添付ファイルにパスワードを設定する」だけでは不十分です。特に「添付ファイルにパスワードを設定する」いわゆる“PPAP”については、あらゆる問題点があり、2020年11月には日本政府がPPAPの利用をやめる方針を発表したことをきっかけに「PPAPを廃止」とする企業が増えています。

PPAPの問題点として具体的に以下のようなものが挙げられます。

  • ・メールが盗聴される可能性がある
  • ・情報漏えいの可能性がある
  • ・ウイルスチェックができない可能性がある

対策としては、誤送信に気づいた時に取り消せるようメールの送信を一定時間保留する、重要なメールを自動でフィルタリングして上長の承認を得る、などのメールシステムを導入し、仕組化することは有効です。その他、セキュリティと利便性を兼ねているクラウドストレージを導入し、よりセキュアにファイル共有を行うことも対策の一つです。

また、誤送信を防ぐためには社内メールをチャットに置き換える方法も有効です。社内用と社外用のメールを区別していれば、情報が社外へ漏洩する可能性が少なくなります。予算があれば、誤送信防止機能付きのメールソフトを導入するのも一案です。

3. 外出時(カフェやコワーキングスペース等)の対策

テレワークを導入している場合は、社外での作業リスクに注意が必要です。具体的には、電話やパソコン画面から情報が漏洩してしまう可能性や、機器へ不正アクセスされる可能性が考えられます。作業画面を放置しない、危険性のあるネットワークを使用しないなどの対策を徹底しましょう。

また、電話やトイレ等で携帯電話やパソコンを置いたまま離席してしまうとPCごと盗難されたり、USBなどでデータを抜き取られたりする可能性もあるので放置したままにしないように注意しましょう。

テレワーク時は「社外に重要な情報を持ち出している」という認識を持ち、安易に情報を露呈しないことが重要です。

4. パスワードの設定

重要なデータにパスワードをかけて二段階認証を行う方法は、シンプルながらも有効な手段です。しかし、パスワードの設定内容には注意しなければなりません。誕生日など他人に簡単に知られてしまうものや、数字のみ、アルファベットのみはセキュリティが脆弱なため、おすすめできません。また、パスワードの使いまわしや自身の設定したパスワードを他人に教えることがないよう、十分注意してください。

内閣サイバーセキュリティセンターが発行する「インターネットの安全・安心ハンドブック」(※)によると、安全なパスワードには複雑さ×長さが重要で、「英大文字小文字+数字+記号で10桁以上」が推奨されています。

(※参考:インターネットの安全・安心ハンドブック:https://security-portal.nisc.go.jp/handbook/index.html

5. 従業員教育の徹底

内部から発生する、つまり人為的要因による個人情報漏洩対策には、従業員教育の徹底が必要不可欠です。正社員のみならず、パート・アルバイトも含めて全従業員が個人情報に対する意識を高め、組織体制を強化します。

具体的には、社内で資料を配布したり勉強会を開いたりする方法が挙げられますが、従業員により主体性を持ってもらうためには内部監査や情報セキュリティ担当持ち回りなど、工夫が必要です。また、教育のマンネリ化を防ぐ対策として、外部講師を招いて研修を実施することも効果的でしょう。

Coach Mamoruなら万全のセキュリティリスク対策が可能

今回ご紹介したように、人為的ミスによる個人情報漏洩事故は年々増加しています。そして、こうしたセキュリティ事故を未然に防ぐことが、安全に会社経営を継続していくための重要な要素であることは明らかでしょう。

セキュリティ対策には専門的かつ最新の情報が必要なため、昨今、外部の専門家を巻き込んで対策を講じる企業が増えています。

そこで今回おすすめするのが、日本パープルが提供する「Coach Mamoru(コーチマモル)」です。Coach Mamoruは企業の課題に合わせてサービス内容を柔軟にカスタマイズできるコンサルティングサービスです。まだ社内で把握しきれていない課題の把握から運用、定着(教育)までを一括してサポートしています。セキュリティ対策にも精通しており、最新の知識・トレンドを含めた最善の支援を提供し、組織文化の構築に貢献するとしています。

「社内の課題を把握したい」「社内教育を徹底したい」とお考えの担当者は一度相談してみてはいかがでしょうか。

Coach Mamoru公式URL:https://www.mamoru-kun.com/security_consulting/