情報漏洩の事例
情報漏洩が起きた事例を、以下5つ挙げて紹介します。
- 株式会社ベネッセコーポレーション
- 森永製菓株式会社
- 野村不動産株式会社
- 厚生労働省
- 松下記念病院
株式会社ベネッセコーポレーション
株式会社ベネッセコーポレーションでは、2014年7月、顧客の個人情報が外部に漏洩したことを公表しました。
漏洩した原因は、システム開発・運用を行っているグループ会社の業務委託先の元社員による不正行為です。業務で付与されていたアクセス権限を使い、顧客情報データベースにアクセスし、不正に顧客情報を名簿事業者に売却していました。
顧客から「個人情報を提供していない企業からメール・電話がきている」などの問合せが急増したことをきっかけに、同社において調査、情報漏洩の事実を確認、警察による捜査が開始されました。
流出した個人情報の数は、約2,895万件にも達してしまいました。同社は、被害を受けた可能性がある会員に500円の金券を補償するなどで対応しましたが、会員数が減少し、特別損失が260億円にも達しました。
同社は、本件の再発防止策として、外部専門家の知見と客観性を取り入れた「個人情報漏えい事故調査委員会」を発足し、事実関係の調査体制の強化、事実解明のスピードと質向上に取り組んでいます。また、外部のセキュリティ専門会社が、ぜい弱性評価を行う、と発表しています。
参考:<お客様情報の漏えい>弊社グループ会社の業務委託先の元社員の逮捕について|ベネッセコーポレーション
森永製菓株式会社
森永製菓株式会社は、2022年3月、管理運用する複数のサーバに対して、不正アクセスが発生し、顧客情報が流出した可能性があることを発表しました。
複数のサーバに障害が発生し、その原因を調べたところ、第三者からの不正アクセスが判明した、とのことです。侵入されたサーバには通信販売事業のWebサイトの顧客情報を保管するサーバが含まれており、個人情報が含まれた情報が、ロックされていることがわかりました。最大で、1,648,922人の個人情報が漏洩した可能性がある、とのことです。
インターネット回線に設置していたネットワーク機器の脆弱性を悪用して、攻撃者が侵入した可能性が高いことを発表しています。
参考:不正アクセス発生による個人情報流出の可能性のお知らせとお詫び |森永製菓
野村不動産株式会社
野村不動産株式会社では、2022年5月に従業員が不注意でメール誤送信し、個人情報の漏洩が発生したことを発表しました。
従業員が会員宛てに、BCC に入力すべきメールアドレスを誤って、宛先に入力して送信したことが原因です。受信者から、「他の会員のメールアドレスが見える」と、メール受信者から指摘があり、メール誤送信したことが判明しました。その結果、サービス会員、1,023件のメールアドレスが外部へと流出してしまいました。
同社は、メールの送信先全員に、メールアドレス流出に関する、お詫びの電子メールを送信しました。また、今度再発を繰り返さないよう、本事業に関わる全従業員に対して、遵守すべき事項を周知徹底する、と発表しています。
参考:電子メール誤送信による個人情報の流出に関するお詫び|野村不動産株式会社
厚生労働省
厚生労働省は、2021年3月に委託事業において、メール誤送信がきっかけで、個人情報が漏洩したことを発表しました。
メールには、ファイル共有サービスの URL が記載されており、URLにアクセスすると、個人情報(氏名・生年月日・住所・電話番号)が1,106人分見える、という状態になっていました。
発生した原因は、メール送信時の確認を怠っていたこと、委託事業の仕様書に定められた方法に基づいておらず、クラウドサービスで名簿を管理していたことの2点です。
再発防止策として、メールの送受信時・クラウド利用時の留意事項についての手順書を作成し、社内および関係者に周知・徹底したと発表しています。さらに、従業員に対してはセキュリティ教育計画の策定と、セキュリティ教育を実施するとのことです。
参考:委託事業における個人情報漏えいについて|厚生労働省
松下記念病院
松下幸之助氏の発意により誕生した松下記念病院では、2021年2月25日、患者の個人情報が流出した可能性があることを発表しました。
同院で使用していた、ノート PC 1台を紛失し、患者1,971名の個人情報が流出したとのことです。
ノートパソコンには、患者の氏名・性別・年齢・生年月日、そして患者の特定部位についての撮影画像データ、そのほか病室・医師コード・医師氏名も含まれていました。同院によると、紛失が明らかになったのは、2021年2月16日であり、捜索を進めたものの、今も所在不明の状態が続いているとのことです。
同院は、被害者に対して個別に連絡を取り、書面で謝罪したとのことです。
参考:委託事業における個人情報漏えいについて|厚生労働省
情報漏洩の事例を通して得られる教訓
情報漏洩の事例を通して得られる教訓を、以下4点説明します。
- 紛失・置き忘れ
- 人為的なミス
- システム脆弱性
- 内部の不正行為
紛失・置き忘れ
1つ目の教訓は、紛失・置き忘れです。
個人情報が含まれる PC 、USB を電車に置き忘れてしまったり、書類をシェアオフィスやカフェなどに置き忘れることが、情報漏洩を引き起こす原因のひとつです。
物理的に紛失・置き忘れのリスクがある物に対しては、重要な情報を保存しないこと、あるいは暗号化して、データが盗まれた場合でも読み取ることができないようにすべきです。また、必要なとき以外は持ち出ししてはならないと、従業員に周知することも大切です。
人為的なミス
2つ目の教訓は、人為的なミスです。
たとえば、メール送信時の宛先ミス、BCC ミス、システム入力の誤動作・誤った入力、ファイル格納先の公開範囲を間違える、などが挙げられます。ミスしてしまうと、あっという間に適切ではない方に対して情報が行き渡り、情報漏洩につながってしまう可能性が高いです。
人為的なミスを防止するためには、ミスできないように入力規則をシステム側で設けること、本当に必要な方に、必要なタイミングのときのみに、アクセス権限を持たせる必要があります。また、従業員一人ひとりのセキュリティ意識を高めることも重要です。
システム脆弱性
3つ目の教訓は、システム脆弱性です。
悪意を持った人は、社内システムの脆弱性を突いて、攻撃を仕掛けます。たとえば、ソフトウェアには開発者が意図せずに作り込んでしまった脆弱性がある可能性がありますし、ネットワーク回線の脆弱性をついて、攻撃者が社内ネットワークに侵入してしまう可能性もあるでしょう。
対策としてソフトウェアや OS は最新の状態にアップデートしておくこと、ネットワーク設定も常に最新のものになるように、見直しをする必要があります。また、不正侵入された場合や、異常な通信が見られた場合に警告を発するようなシステムを導入することも大切です。
内部の不正行為
4つ目の教訓は、内部の不正行為です。
従業員・元従業員・業務委託など、内部の人間による不正行為により、情報漏洩事故が起きる可能性も高いです。
たとえば、内部関係者が企業への恨みや金銭的利益などの動機で、故意に情報を漏らす場合もありますし、セキュリティリスクの認識の欠如や、誤った操作などで、無意識に情報漏洩事故を起こしてしまうこともあります。
社内の業務に関わっている人だからといって、安心して個人情報が登録されたシステムにアクセス権を付与するのは絶対にやめましょう。従業員一人ひとりに対して、情報セキュリティ教育・トレーニングを徹底することも重要です。
情報漏洩の事例から取り組むべき対策
情報漏洩の事例から取り組むべき対策について、以下3点を紹介します。
- 従業員の意識改革
- セキュリティの高い製品・サービス導入
- 漏洩した場合の対応方針の策定
従業員の意識改革
1つ目の対策は、従業員の意識改革です。
たとえば、情報セキュリティ教育を実施することで、従業員一人ひとりが高い意識を持ってセキュリティ対策に取り組むべきことを周知しましょう。
たとえば、規則で禁止されているサイトにはアクセスしない、業務に関係のないソフトを絶対にダウンロードしないなど、改めて基本から伝えることも大切です。
また、システムにログインが必要なときは、複雑なパスワード入力など設定を強化することと、複数システムでの使い回しを禁止しましょう。単に禁止するだけでは、従業員にストレスを与えてしまう可能性もありますので、セキュリティリスクと必要性をしっかりと伝えることも重要です。
情報漏洩への対策は、システムを強化するだけでなく、業務に携わる従業員や関係者がセキュリティリスクへの意識を高く持ち、しっかりと取り組むことが大切です。
セキュリティの高い製品・サービス導入
2つ目の対策は、セキュリティの高い製品・サービス導入です。
サイバー攻撃や不正アクセスなどは、近年高度化しており、従来のままのセキュリティ対策では太刀打ちできないものもあります。そのため、時代に沿ったセキュリティの高い製品・サービスを導入する必要があります。
従来、オンプレミスでシステムを運用してインターネットにアクセスしていた企業は、クラウドへの切り替えを検討することも対策の一つです。また、インターネットを介して社内ネットワークに接続する際は、 境界型セキュリティの VPN ではなく、ゼロトラストソリューションの導入を検討することも大切です。
情報漏洩が不安ならば、セキュリティがしっかりとした製品・サービスを導入することも大切です。
漏洩した場合の対応方針の策定
3つ目の対策は、漏洩した場合の対策方針の策定です。
情報漏洩しないための対策ももちろん大切ですが、情報が漏洩した後の対策もしっかりと取り決めておくことも重要です。
たとえば、情報漏洩が起きた場合に備えて、どのような流れで誰が対応するべきかを決めておきましょう。明確にしておくことで、万が一、情報が漏洩した際にも落ち着いて、取り決めした流れに沿って、スムーズな対応ができます。迅速に対応すれば、情報流出件数が少なくなる可能性もあるでしょう。
情報漏洩に備えて、発生した後の対策も明確に取り決めて、担当者に展開しましょう。
情報漏洩の事例を教訓に対策を導入しよう
本記事では、情報漏洩の事例、得られる教訓、すべき対策について紹介しました。
情報漏洩を発生させないための対策として、従業員に対してセキュリティリスクを周知すること、最新のセキュリティサービス導入、発生した後の対策方針の策定が重要です。
しかし、自社に十分なリソースであったり、なかなか従業員全員の意識改革を図ることは難しい、と感じる方もいるでしょう。
そのような、「情報漏洩が不安」「情報を管理するのが大変」と感じている方に向けて、ドライブ活用コンサルが本気で作った、Google ドライブ 拡張サービス「 Cmosy 」があります。高いセキュリティ要件を備えており、Google ドライブ のデータを直接ファイルとして送受信が可能です。安全なデータやりとりができますので、一度お試ししてみてください。
Cmosy のご紹介はこちら