企業や組織において情報漏えいがなくなることはないと言われています。しかしリスクを少しでも抑えるために、個人情報や企業情報を守る対策は必要不可欠です。
JSNA(日本セキュリティ・ネットワーク協会)は、2018年に新聞やインターネット上で公開された個人情報漏えい事案を集計し、その原因の割合を発表しました。
驚きの調査結果が明らかに
「紛失や置き忘れ」が26.2%、「誤操作」が24.6%、「不正アクセス」が20.3%、「管理ミス」が12.2%、「盗難」が3.8%、「設定ミス」が3.6%でした。
また「内部犯罪や内部不正行為」が2.9%、「不正な情報持ち出し」が2.3%、「バグやセキュリティホール」が1.8%、「目的外使用」が0.7%、「ワームやウイルス」が0.2%、「その他」が1.4%という結果に。
このことから、情報漏えいが発生した原因としてヒューマンエラーが大きな割合を占めていることがわかります。
情報漏えいと言えばサイバー攻撃が原因で起こるようなイメージを思い浮かべがちですが、実はヒューマンエラーが原因というのは驚きです。
企業や組織で情報漏えい事案が発生すると、社会的信用が低下する、損害賠償や原因の究明に莫大な費用が必要になるなど、大きなダメージを受けてしまうため、できる限りの対策をしておきたいところです。
ここからは、どのようにして情報漏えいが起きてしまうのかを事例形式でご紹介していきましょう。
「紛失や置き忘れ」に関する事例
2013年にとある銀行が顧客の個人情報が書かれた資料を紛失したことを公表。その書類には約3万8000人分の住所から名前、生年月日、電話番号、口座番号などが書かれていました。
当時銀行は、それらの書類について誤って破棄した可能性が高く、外部へ情報が漏えいした懸念は極めて低いものと考えていると述べました。書類の保管期間を誤認していたことが原因ではないかと考えられています。
2014年には、とある電気通信事業者がパソコンを紛失したことを公表しました。そのパソコン内には、運営するコミュニティサイトの顧客情報が入っており、1321人分の住所や名前、メールアドレスが漏えいしました。
企業の社員が業務で使うパソコンを紛失したというこの事案では、パソコンにパスワードが設定されており、公表時点では漏えいした情報を悪用されたという報告はありませんでした。
同じく2014年、とある病院でパスワードを設定していないUSBメモリーを紛失するという事案が発生しました。そのメモリーの中には33例の脳神経外科手術のデータが入っており、患者のIDや名前、性別、検査データや腫瘍の大きさなどの情報が漏えいしました。
病院では、個人情報保護法へ対応するためのガイドラインを定めていたのですが、このような事案が発生してしまったのです。
2017年にはNHKの委託先従業員が個人情報の記載された書類を紛失するという事案が発生しました。この書類には3300人の住所から名前、電話番号だけでなく、支払い用のクレジットカード情報まで記載されていました。
「誤操作」に関する事例
2014年に地方自治体が実施した婚活イベントでの出来事です。イベント参加者へBCCメールを送るはずが、アドレスが他の参加者に公開される方法でメールを一斉送信したため、参加者情報がお互いに知られてしまうことに。
同じ年に同様の事案が発生しています。
とある高速道路管理会社が、自社が実施したプレゼントキャンペーンの当選者へ、他の当選者のメールアドレスを宛先に表示して送信してしまうという事案が発生しました。
BCCメールは同じ内容のメールを同時に複数名に送信する際、受信先において同時に送信されたアドレスを見ることができない設定です。この設定をせず、複数人へ同時にメールを送信することが情報漏えいへつながったという事案でした。
このようにメールやFAXに関する誤操作は多く、メールの宛先を間違える、BCCメールを使わなかった、添付書類のミスで不特定多数の相手に情報を送信してしまうなどのケースが多数報告されています。
「管理ミス」および「設定ミス」に関する事例
2019年に地方のある病院ホームページに、7167人分の患者の個人情報が掲載されているという事例がありました。
患者の治療実績のみを掲載するはずが、このデータ作成のために使用した個人名や入院日、治療方針などを含むエクセルファイルを、個人情報を伏せるためのPDF化を怠りそのまま掲載してしまったというものです。
その病院ではホームページに掲載する際は、「上司が事前にホームページをチェックする」というフローがあったのですが、この件に関してはチェックが行われていなかったことが判明しました。
2020年には地方の広告会社において、情報漏えい案件が発生。業務基幹システムの開発業務を請け負った委託先の従業員がソフト開発プラットフォームで作業した時に、ソースコードや取引先情報を外部から閲覧可能な状態に変更してしまいました。
このことから、2万8515件もの取引先情報が外部から閲覧できる状態に。この中には1万5599件の個人情報が含まれていたということです。
この事案は故意に情報流出させたわけではなく、作業中の誤操作によって発生したものでした。
このように、チェックをするフローを設定していても実行されていない、あるいは作業中のミスによって情報が漏えいしてしまうというケースもあるのです。
2018年、とある医療機器メーカーの元従業員が書類送検されるという事案がありました。
この元従業員は社内の機密情報を取り扱う部門に在籍しており、医療機関から提供された患者情報など2603件ものデータを不正に持ち出したことから書類送検に至りました。
2019年には関東地方のある県庁で、行政情報が入ったハードディスクを不正に転売されたことから情報が漏えいするという事案が発生しました。
ハードディスクを管理していたリース会社の従業員がオークションサイトでハードディスクを不正転売しており、オークションで落札した人がデータ復旧したところ某県の情報だということが判明しました。
18個のハードディスクが不正転売されたのですが、未だ9個は所在不明のままです。
「サイバー攻撃」に関する事例
2015年に発生した日本年金機構から約125万人の個人情報が漏えいした事案もサイバー攻撃によるものでした。
日本年金機構の職員がメールに添付されたファイルを開けると、その職員のパソコンがマルウェアに感染し、このパソコンからローカルネットワークに接続することで、複数のフォルダから情報を抜き取られるというものでした。
また、2020年にもある財団法人から不正アクセスによる情報漏えい事案が発表されました。
財団法人が運営業務を委託していたポータルサイトに対してセキュリティ強化のために脆弱性診断を行ったところ、過去に不正アクセスされており、1984名の個人情報が漏えいしていたというものです。
まとめ
様々な情報漏えいの事例を見てきましたが、セキュリティ対策の重要さを改めて実感できたのではないでしょうか。
ヒューマンエラーによる情報漏えいが多いことから、従業員へのセキュリティ対策に関する教育の必要性、社内リテラシーを高めることはかなり重要だということがわかります。
また、セキュリティツールでの対策の重要さも実感できるのではないでしょうか。
企業や組織で情報漏えいが発生した場合、企業は被害者という立場になりますが、その企業から情報が漏えいした個人の立場からすると、企業は加害者ということになってしまいます。
情報漏えいの被害者にも加害者にもならないよう、日ごろからセキュリティ対策を心掛けたいものです。