情報漏えいはなぜ発生する？新社会人が気を付けるべき「8つ」のこと！

【情報漏えい】とは？

【情報漏えい】とは何か。
【XXX社10,000件の顧客情報流失】
こういった見出しのニュースを見たことはないでしょうか？

【情報漏えい】について、ざっくり【企業がお客さまの情報を流失すること】と認識されている方も多いのではないかと思います。
正確にはお客さまの情報にかかわらず、企業内部の情報が外部に漏えいすることを【情報漏えい】と示します。

では具体的にどんな情報があるのか、代表的なものは以下の通りです。

• 従業員情報：従業員の個人情報
• 契約者情報：ご契約者さまの個人情報、またその他協力会社の情報
• 内部機密情報：会社内部の (機密) 情報など
  ⇒技術的なノウハウやソースコード、営業的資料 (価格表や見積書) なども該当します。

• 【情報漏えい】= セキュリティーインシデント、セキュリティー事故など、さまざまな呼び方があります。

【情報漏えい】が起きた場合、その影響　

企業として【情報漏えい】が発生した場合、多くの損失が発生します。

• 企業の信用低下
• 機会の損失
• 情報の悪用
• 損害賠償
  

上述の内容の通り、【情報漏えい】は企業として多くの損失が発生します。
社会人として、【情報漏えい】の当事者になりたくないと思うのが普通です。
では【情報漏えい】の当事者にならないため、どうすればいいのでしょうか？

新社会人として【情報漏えい】を起こさないためには？

【情報漏えい】がなぜ発生するのか、知ることが大事となります。
【情報漏えい】はどんな時に発生するのか、事前に知っておき、気を付けることにより防ぐことが可能となります。
本コラムでは【情報漏えい】の発生する原因、また、新社会人の皆さまが気を付けなければならないことについて、具体的な事象を用いて説明していきたいと思います。

「情報漏えい」が発生する原因となる3つの事象　

では最初に【情報漏えい】がどんな時に発生するのか、情報漏えいが発生する原因となる3つの事象について説明します。

1. 攻撃者/悪意のある第三者からの攻撃による情報漏えい

【コンピューターウイルス】と言い換えればイメージが付きやすいかと思います。
世の中には企業の情報を盗み【お金】を得る悪意のある人間 (クラッカー) がいます。
クラッカーはさまざまな方法で企業システムに侵入し、機密情報を取得し【お金】を得ることを目的としています。
【ランサムウエア】や【Emotet (エモテット) 】といったマルウエアやさまざまな攻撃手法で、皆さまのPCに侵入し企業内部の機密情報を狙っています。
※ランサムウエアについては以下コラムも併せてご参照ください。

2. 人為的な設定ミスや、個人のミス　

人為的なミス、個人のミスで【情報漏えい】が発生することがあります。
具体的な内容としては大きく分けて2つのパターンがあります。

1つ目は【セキュリティー的な設定のミス】による情報漏えいです。
極端な例ですが、会社の機密情報や個人情報が保存されているフォルダ権限を誤って誰でも閲覧できる設定にしてしまったことなどが挙げられます。
昨今では企業情報をクラウドサービスに保存することも一般的になっており、設定ミスにより機密情報が外部に公開されるといった事例も発生しています。

2つ目は【個人のミス】による情報漏えいです。
会社備品の紛失、メールの誤送信など、通常業務中の【うっかり】にて発生する情報漏えいとなります。
【個人のミス】については、新社会人として最初に気を付けならない事象となっています。
本件については次項以降で説明したいと思います。

3. 企業内部に悪意のある人間が？内部漏えい

企業内部の人間が悪意を持って情報漏えいする行為となります。
新社会人の皆さんからすると、【えっ】と思うかもしれませんが、現実的に企業内部の人間、つまり内部犯による情報漏えいは発生しています。
具体的な内容としては、【お客さまの個人情報を金銭目的で盗む行為】や【転職先で自分の立場を有利にするため情報を持ち出す】など、個人の利益を目的とした行為が多くあげられます。
新社会人の皆さまには関係ないお話だと思いますが、多くの企業ではPC操作時のログなどを保存していることを覚えておいてください。

具体的に気を付けなければいけないこととは？　

【情報漏えい】を引き起こさないために、何に気を付けなければいけないのか？
本項目では【攻撃者/悪意のある第三者からの攻撃による情報漏えい】と【個人のミス】をベースに具体的な事象について説明します。

1. 攻撃者/悪意のある第三者からの攻撃による情報漏えい

悪意ある第三者からの攻撃について、無差別型、標的型の2つの分類に分かれます。

1. 無差別型攻撃

不特定多数を無差別に狙った攻撃手法です。
Webサイトや、メールを利用して不特定多数に対して攻撃を行う手法となります。
誤って悪意あるURLにアクセスしてしまった場合、以下のような事象が発生する可能性があります。

• マルウエアの感染
• 特定のサイトを模倣したダミーサイトに誘導され、ID/パスワードなどの情報が取得される

皆さんの携帯 (スマートフォン) にも公共機関、ショッピングサイト、金融機関などをかかったメールが届いた方も多いと思います。
これも無差別型攻撃の一種となります。

2. 標的型攻撃

特定の業種および、企業を狙った攻撃手法となります。
Webサイトやメールなど、攻撃手法としては無差別型攻撃と変わらないのですが、より巧妙な手口で攻撃してきます。
具体的には実際の【社内メール】や【取引先メール】を模倣しメール本文も巧妙な内容で送られてくるケースが増えてきていますので、注意が必要です。
また、Webサイトはさらに巧妙となります。
悪意ある攻撃者は、攻撃対象となる業種/企業がアクセスするWebサイトを調べ、そのWebサイトを改ざんしウイルスを設定します。
Webサイト側の弱点 (脆弱 (ぜいじゃく) 性) を利用し、Webサイト側にウイルスが仕掛けられた状態となります。
そのため回避することが非常に困難な攻撃手法となります。

ではこういった巧妙な悪意のある攻撃に対して、どう対処すればいいのか？
多くの企業では、ウイルス対策/エンドポイント対策ソフトウエアといったセキュリティー対策ソフトウエアで対応していますが、100%防げるといった保障はありません。
個人としても以下の内容に気を付けることで、悪意のある攻撃からのリスクを下げることが必要となります。

業務と関係ないWebサイトはアクセスしない

こちらは社会人として一般的なルールでもありますが、業務と関係ないWebサイトに対して、社用PC/携帯 (スマートフォン) で極力アクセスしないことによりリスクを下げることができます。

メール本文中のURLおよび、添付ファイルを安易に開かない

メールを利用した悪意ある攻撃について、【添付ファイルの開封】もしくは、【URLのアクセス】がトリガーとなります。
【添付ファイルの開封】もしくは【URLのアクセス】を行う前に、メール本文や、送信元のメールアドレスなどを確認し、少しでもおかしいなと思ったらメール送信者に直接確認することによりリスクを下げることができます。

2. 個人のミス　

では次に【個人のミス】が起因となる情報漏えいとその対策について、具体例を基に記載します。

1. 会社備品の紛失・盗難による情報漏えい　

会社には情報が保管されている備品が多く存在します。
代表的な備品は以下の通りです。

• 社用PC
  
• 社用携帯 (スマートフォン)
• 入室カード
• 名刺
• 外部記憶媒体 (USBメモリー) など

これらの備品には、会社情報を始め、お客さまの情報など多くの情報が保存 (記載) されています。
万が一紛失・盗難した場合、重大な情報漏えいとなります。
新社会人の皆さまは、会社備品にはさまざまな情報が保存されていることを理解し、十分に気を付けましょう。

2. メール誤送信による情報漏えい　

これから新社会人の皆さまは、社内/お客さまに対して多くのメールを送信します。
ここにも【情報漏えい】に対する注意が必要となります。
【宛先の誤り】、【添付ファイルの誤り】といったメールの誤送信です。

ここではメール誤送信とは、どのような【情報漏えい】が発生するのか、具体的な例を用いて説明します。
例：A社担当者にメール送付するべき見積書を、誤ってB社担当者にメール送付してしまった。
上記は典型的な誤送信の例となります。
ではこの例ではどのような情報漏えいとなるのか、以下に記載します。

• A社および、A社担当者の情報
• A社が購入もしくは提案する予定の情報、またその先のエンドユーザー情報
• 過去のメールのやり取り　
  ※返信だった場合

上記の通り、主にA社の情報が漏えいしていることがわかります。
A社の関係ないところでA社の情報が他社 (B社) に漏えいし、A社から不信感を抱かれてしまいます。
担当者はA社からの信頼を大きく落とす形となり、今後の取引にも影響が出る可能性があります。
また場合によっては損害賠償の請求にまで発展する可能性もあります。
送信したメールは取り消すことができません。
メール送信の際は宛先/本文/添付ファイルなど、送信前に確認することが大事です。

3. 社外での業務会話による情報漏えい

社外での業務会話についても注意が必要となります。エレベーターの中、ランチ中、電車の中、誰がどこで聞いているかわかりません。
不意な会話の中から情報漏えいが発生する場合がありますので注意が必要です。

4. 社外での業務による情報漏えい　

テレワーク環境の普及により、社外でも不便なく業務を行える環境になりました。
どこでも仕事できることはメリットになりますが、反面セキュリティー的なリスクも伴います。
注意しなければいけないこととして、【社外での業務会話】同様に、どこで誰が見ているかわからないという点があります。
テレワークについては、自宅での業務が基本となります。
やむを得ず社外、自宅外で業務する必要がある場合、PCの画面が見えないようにするなど、十分に注意が必要です。
余談ですが、電車内でパソコンを広げている方をたまに見かけます。
隣に座っていると、パソコンの画面が全て見えてしまうので非常に残念な気持ちになりますね。

5. SNSへの投稿による情報漏えい

最後にSNSへの投稿による情報漏えいです。
1つ目の事象としては、誤って社内の情報をSNSにアップロードしてしまった。
これは社用PC/スマートフォンで、プライベートのSNSに投稿している場合に発生します。
社用PC/スマートフォンのプライベート利用は、どの企業でも基本的には禁止されていると思いますので絶対にやめましょう。
2つ目の事象としては、【勤め先】、【業務内容】、【業務場所】などが推測できる投稿です。
SNSでは誰が見ているかわかりません、一つの投稿からではわからない場合でも、過去複数の投稿から特定されるパターンもありますので、業務に関する投稿はやめましょう。

6. 飲食時

特に気を付けなければいけない状況として挙げられるのが、飲酒時です。
新社会人となり、お酒を飲む機会は増えてくると思います。
お酒を飲むと注意力・判断力が低下し、かばんの置き忘れ/盗難などの【紛失】や、盛り上がってくると【会話の声が大きく】なります。
社内の仲間たちの飲み会でも、会話の内容には十分注意する必要があります。
また新社会人の皆さまは、大学の同期などと集まることもあるかと思います。
会話の内容は、やはり入社した会社の話になると思います。
当時は大学の同期でも、今は別会社の人であることを改めて認識し、会話の内容には十分注意いただければと思います。

【情報漏えい】を起こしてしまったら　

【情報漏えい】を発生させてしまった場合どうするべきなのか

• スマートフォンを紛失してしまった！
• メールを誤送信してしまった！
• カバンを置き忘れてしまった！

どんなに気を付けていても、こういった【情報漏えい】は発生する可能性があります。
【情報漏えい】が発生した時は、必ず会社のルールに基づき、速やかな対応をお願いします。
早急に対応することにより【情報漏えい】を防ぐ、被害を最小限に抑えることができるかもしれません。

最後に

最後までお読みいただきありがとうございます。
【情報漏えい】について、どのような時に発生するのか、その影響、どんな時に気をつけなければいけないのか、代表的な事例をベースに記載しました。
読んでいただき、なんとなく気づいた方もいるかと思いますが、【情報漏えい】は事前に気を付けていれば、防げる内容がほとんどとなります。
これから新社会人の皆さまは業務を通じて、いろいろなことを経験していくかと思います。
その際、「念のためメールの宛先もう一度確認しておこう」や、「ここでこの会話していいのか？」など、このコラムの内容が、少しでも皆さまの役に立てば幸いです。

関連サービス

こんな記事も読まれています