【2023年事例】中小企業の情報漏洩事例と対策のポイントとは
2023年、国内の上場企業とその子会社における情報漏洩や紛失事故の件数は、過去最多を記録しました。大企業の事例が注目されがちですが、中小企業も例外ではありません。情報漏洩のリスクは、企業規模に関わらず、すべての企業にとって重大な脅威となっています。
それでは、中小企業が情報漏洩のリスクに立ち向かうには、どのような対策が必要でしょうか。本記事では、実際に起こった情報漏洩事例を紹介し、そこから得られる教訓を基に、中小企業が今すぐ取り組むべきセキュリティ対策のポイントを解説します。
また、情報漏洩に関する基本的な情報については、こちらの記事「情報漏洩対策は企業において必須!情報漏洩の原因や備え方を紹介します」でも紹介しています。
2023年の情報漏洩・紛失事故の発生状況
東京商工リサーチが実施した「2023年上場企業の個人情報漏えい・紛失事故」調査によると、2023年の情報漏洩・紛失事故の発生件数は175件で、2012年の調査開始以来、3年連続で最多記録を更新しています。
事故原因の内訳を見ると、「ウイルス感染・不正アクセス」が93件(53.1%)で最も多く、「誤表示・誤送信」が43件(24.5%)、「不正持ち出し・盗難」が24件(13.7%)と続いています。この結果から、情報漏洩や紛失事故はサイバー攻撃によるものだけでなく、人的要因から起こる事故も多いことがわかります。特に「不正持ち出し・盗難」による大規模な事故が増加しており、1件当たりの被害者数は平均で102万4,713人に上ります。
情報漏洩が発生すると、企業は経営危機に直面する可能性があります。中小企業においては、事故への対応や信頼回復に多くの労力を割かなければならないケースが少なくありません。
中小企業のIT管理を任された時は、情報漏洩のリスクを自社の問題として捉えることが重要です。サイバー攻撃が巧妙化していることや人的ミスが多発していることを踏まえ、事故を未然に防ぐための対策を講じるとともに、事故の発生を想定して、インシデント対応の準備を進めておく必要があります。
出典:東京商工リサーチ「2023年の個人情報漏えい・紛失事故が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」
2023年に発生した中小企業の情報漏洩事例5選
2023年には、どのような情報漏洩・紛失事故が発生したのでしょうか。ここでは、原因別に5つの事例を取り上げ、中小企業のセキュリティ対策における課題を明らかにします。
情報漏えい事例① USBメモリの紛失:企業A
診療報酬明細書(レセプト)の精度調査などを行う企業Aでは、調査の委託元である医療法人から預かったUSBメモリを誤って紛失するという事故が発生しました。USBメモリには、患者や職員、協力会社などの関係者を含む3,500人以上の個人情報が記録されていました。
紛失したUSBメモリにはパスワードが設定されていたため、第三者が個人情報を入手する可能性は低いと考えられます。しかし、企業Aではこの事故を重く受け止め、情報管理体制の見直しと強化に着手しました。
具体的には、個人情報を取り扱う情報管理室や執務スペースでの防犯カメラの設置、従業員が使用するパソコンのログ管理、USBメモリの設定管理(制御設定を行っていないパソコンでの使用制限等)、個人情報の管理や返却及び廃棄に関するルールの明確化と周知徹底などの対策を講じています。
情報漏えい事例② 不正行為:企業B
ある地方自治体から公共サービスの窓口業務を受託していた企業Bでは、この業務を担当していた従業員による個人情報の不正持ち出しが発生しました。
持ち出された可能性のある個人情報は、申請書類に記載された氏名、住所、電話番号など、約2,000人分に上りました。
個人情報を取り扱う業務を受託する企業には、個人情報保護に関する法令や規範を遵守し、情報漏えいを防ぐための技術的・物理的・人的なセキュリティ対策を講じ、個人情報の取得・利用・提供を適切に管理する体制の構築が求められます。
この事例は、従業員一人ひとりが確固たる倫理観とセキュリティ意識を持つことの重要性を示唆したと言えるでしょう。
情報漏えい事例③ 不正アクセス:企業C
健康食品や化粧品を扱うECサイトを運営する企業Cでは、5,000人を超える利用客の個人情報やクレジットカード情報などが漏洩したことが明らかになりました。
情報漏洩の原因は、悪意ある第三者が同社サイトの脆弱性に対して、クロスサイトスクリプティングという手法で不正アクセスし、クレジットカード決済処理時に個人情報を取得するアプリケーションを改ざんし、不正にデータを入手したことによります。
この事例は、ECサイトを運営する企業にとって、セキュリティ対策の重要性を再認識させるものです。クロスサイトスクリプティングをはじめとするサイバー攻撃を防ぐため、脆弱性を定期的にチェックすることが欠かせません。また、セキュリティパッチの最新化を行うなど、発見されたぜい弱性に対して適切に対応することが重要です。これにより、悪意ある第三者による不正アクセスや、個人情報の不正な取得を防ぐ必要があります。
一方で、ウェブサイトのユーザーとしてもクロスサイトスクリプティングには注意が必要です。悪意がなくとも、自分や自社の従業員が、不正なスクリプトを自社のECサイトや他社が運営するサイトに持ち込んでしまう可能性もあります。自社サイトのセキュリティ対策を強化することはもちろん、従業員一人一人の ITリテラシーを向上させることも重要です。
情報漏えい事例④ メール誤送信:企業D
自動車販売店を運営する企業Dにおいては、2,000件弱の顧客のメールアドレスが流出する事故が発生しました。
この事故は、従業員がキャンペーンの案内メールを顧客に送信する際に、顧客のメールアドレスをBCCではなくCCに入力したことが原因です。その結果、メールを受信した顧客同士でメールアドレスが相互に見えてしまう事態となりました。
事故発覚後、企業Dは該当する顧客に対して謝罪文を送付し、誤って送信されたメールの削除を依頼しました。また、情報管理の徹底強化を宣言し、再発防止に取り組む姿勢を示しています。
メールの誤送信は、人的ミスに起因する代表的な情報漏洩事例の一つです。CCとBCCの使い分けをはじめとする基本的なメールの取り扱いルールを、全従業員に徹底することが重要です。加えて、同報メール配信の手順として複数人によるクロスチェックを実施したり、メールシステムに遅延送信設定(即時配信せず一定の時間後に配信される設定)を導入したりするなど、誤送信を防止するための具体的な仕組みづくりも検討すべきでしょう。
情報漏えい事例⑤ 誤設定・誤掲載:企業E
ある企業Eが地方自治体から運営を受託していた施設のウェブサイトで、1,000人を超える個人情報が流出するという事故が発生しました。流出したのは、氏名や市町村までの住所、電話番号、生年月日などです。
事故の原因は、同社従業員が本来掲載すべきだったPDFファイルと、個人情報が記録されたExcelファイルを取り違えてしまったことにあります。この誤掲載は、顧客からの指摘によって発覚しました。
企業Eは直ちにサイト上のファイルを正しいものに置き換えましたが、サーバー上からは完全に消去されておらず、複数のワードを組み合わせて検索すると、個人情報が掲載されたExcelファイルを閲覧できてしまう状態になっていました。この問題は第三者の指摘により明らかになり、その後同社はサーバー上からもファイルを完全に削除しました。
事故の原因として、同社は「スタッフの不注意による操作ミス」「確認が十分でなかった」「サイトの仕様を正しく認識できていなかった」としています。
この事例は、中小企業においても個人情報の取り扱いに関する意識を向上させること、具体的な対策の実施が急務であることを示唆しています。サイトの設定やファイル管理に関するルールの整備、スタッフへの教育・啓蒙、公開前後のチェック体制の強化など、多角的なアプローチが求められるでしょう。
情報漏洩事例から得られる教訓
中小企業がセキュリティ対策を推進するには、限られたリソースを有効活用し、優先度の高い課題と懸念事項から着実に対策を実施していくことが重要です。一度に多くの対策を導入しようとするのではなく、自社の状況に合わせて段階的に取り組むことが効果的でしょう。
ここでは、セキュリティ対策を進めるポイントとおすすめのセキュリティ対策について解説します。
※ジャスミーでは、企業の情報システム部門の担当者と一般社員を対象に、セキュリティ意識の実態を測る「企業におけるセキュリティ意識の実態調査」を実施しました。こちらもぜひご覧ください。
段階的にセキュリティ対策を進めるポイント
独立行政法人情報処理推進機構(IPA)が公表している「中小企業の情報セキュリティ対策ガイドライン第3.1版」では、企業規模に関わらず実行すべき重要な対策として以下の5項目を挙げています。
・OSやソフトウェアを最新の状態に保つ
・ウイルス対策ソフトを導入する
・パスワードを強化する
・共有設定を見直す
・脅威や攻撃の手口を理解する
出典:独立行政法人情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン第3.1版」
これらの基本的な対策を実施するだけでなく、自社が持つセキュリティリスクを把握し、対策の優先順位を決定することが求められます。
前述の情報漏洩事例から、中小企業に共通するセキュリティリスクとして「従業員のセキュリティ意識の低さ」と「実際の事故を想定した対策の不備」が浮き彫りになりました。従業員のセキュリティ意識が低いと、個人情報を記録したデバイスの紛失、メールの誤送信、サイトへの誤掲載などのヒューマンエラーを引き起こす恐れがあります。
また、人的リソースが限られている中小企業にとって「実際の事故を想定した対策」は特に重要と言えます。有事の際に原因を特定しやすく、被害拡大を防止できる環境を整備しておくことが大切です。
セキュリティ対策を進めるうえでは、小さな変更から開始して徐々に拡大していくアプローチも有効です。従業員の抵抗感を減らし、セキュリティ意識を根付かせるためには、無理のない範囲で対策を導入し、着実に成果を積み重ねていくことが重要です。
加えて、セキュリティ対策は一度実施すれば完了ではなく、常に更新と改善が必要であることを忘れてはなりません。定期的に対策の効果を検証し、必要に応じて見直しを行うことで、より強固なセキュリティ体制を構築することができるでしょう。
中小企業におすすめのセキュリティ対策
中小企業がセキュリティ対策を進める上では、自社の状況に合わせて段階的に取り組むことが重要です。まずは、以下の3つの段階に分けて対策を進めることをおすすめします。
第1段階:セキュリティの基本を確立する
・情報セキュリティ対策ガイドラインの5項目が実行できているかを確認する
・セキュリティポリシー(基本方針)を定め、従業員教育を行う
・個人情報や重要な業務データへのアクセス条件を整備する
第1段階では、情報セキュリティ対策ガイドラインの5項目を中心に、セキュリティの基本を確立します。これらの対策は、追加のソフトウェアやハードウェアの導入を必要とせず、情報セキュリティに関する社内教育の実施やセキュリティポリシーの策定など、社内の体制整備によって実現可能な内容です。
セキュリティポリシーについては、「情報セキュリティポリシーとは?その目的と重要性、策定方法の基準などを解説」で紹介しています。セキュリティポリシー策定時のポイントなど気になる方はぜひご覧ください。
第2段階:具体的なセキュリティ対策を導入する
・従業員のPC操作を記録し、誤操作やセキュリティポリシー違反の行動を検出できる環境を導入する
・データの損失や被害拡大を防止するソリューションを導入する
・事故の原因を特定しやすい環境を構築する
第2段階では、セキュリティ対策をさらに強化するため、PC操作のモニタリングやデータ損失防止、原因特定のためのソリューションを導入します。近年では、クラウドベースのセキュリティソリューションが普及しており、中小企業でも比較的安価に導入できるようになっています。費用も月額数万円程度のため、専任の人員を雇用するよりも経済的に対策を進められるでしょう。ただし、自社のリスク状況に応じて優先順位を付けて対応することが重要です。
第3段階:継続的な改善を図る
・定期的な従業員教育を行い、セキュリティリテラシーを向上させる
・新たな脅威や脆弱性に対応するため、セキュリティ対策の見直しと更新を継続的に実施する
第3段階では、継続的な改善を図ることが重要です。定期的な従業員教育を行い、セキュリティリテラシーを向上させるとともに、新たな脅威や脆弱性に対応するため、セキュリティ対策の見直しと更新を継続的に実施していきます。
中小企業のセキュリティ対策は、一朝一夕で完璧なものを目指すのではなく、自社の状況に合わせて段階的に強化していくことが大切です。上記の3段階のアプローチを参考に、無理のない範囲で着実に対策を進めていきましょう。
中小企業の情報漏洩対策は段階的に進めよう!
2023年、国内の上場企業で発生した情報漏洩と紛失事故の件数は過去最多を記録しました。大企業の事例が注目されがちですが、中小企業も例外ではありません。情報漏洩のリスクは、規模に関わらずすべての企業にとって重大な脅威となっています。
特に中小企業では、さまざまなセキュリティ対策を一度に進めるのは難しいのが実情です。そこで重要なのが、自社のセキュリティリスクを正しく把握し、優先順位を明確にしながら、段階的に対策を進めていくことです。
中小企業のセキュリティ対策を進めていくうえで紹介したいサービスが「Jasmy Secure PC」です。
ジャスミーの「Jasmy Secure PC」には、PCの操作ログを記録する「ドライブレコーダー機能」が搭載されています。この機能により、従業員のPC操作ログを可視化し、誤操作やセキュリティポリシー違反の行動を検出することができます。また、万が一情報漏洩事故が発生した場合でも、ログデータを分析することで原因の特定や流出した情報の確認が可能です。こうしたツールの導入は、従業員のセキュリティ意識の向上と適切な行動の定着に役立ちます。
加えて、「Jasmy Secure PC」には情報漏洩を防止する「ゴーストドライブ機能」も搭載。特定の条件下でのみマウントされる暗号化ドライブでデータを安全に管理できます。
「Jasmy Secure PC」は、これらの機能をクラウドベースのサービスとして、非常に低コストで提供しています。全ての機能を利用する場合でも、1ユーザー月額440円(税込)で利用する複数のPC端末に導入可能なので、中小企業でも導入のハードルが低いのが特長です。さらに、1ライセンスから導入可能なので無駄なコストを抑えながら、段階的にセキュリティ対策を強化できます。
情報漏洩対策は、企業の信頼を守り、事業の継続性を確保するために欠かせない取り組みです。本記事で紹介した段階的なアプローチを参考に、自社の状況に合わせて着実に対策を進めていきましょう。「Jasmy Secure PC」のようなログ管理ツールを活用することで、より効果的かつ効率的に情報漏洩対策を進められます。
監修者
柿沼 英彦
取締役(商品サービス企画、経営企画・マーケティング担当)
㈱住友銀行(現 ㈱三井住友銀行)入社後、ジーアールホームネット㈱(現 ㈱NTTぷらら)へ出向し、ISP事業の立ち上げに従事。ソニー㈱に転職した後、ソニー銀行㈱の会社設立、事業立ち上げに携わり、ソニースタイルドットコム・ジャパン㈱およびソニーマーケティング㈱、ソニー生命保険㈱にてマーケティング・サービス開発を担当。その後㈱イオン銀行の商品開発部長、営業企画部長を経て、イオン・アリアンツ生命保険㈱の会社設立、事業立ち上げを行い取締役に就任。2022年2月よりジャスミーに参画