個人情報流出・漏えい(漏洩)を防ぐには?過去の事例と対応方法・対策を解説!

2023年07月28日
著者:

INDEX

はじめに

個人情報の漏えい・紛失事故の発生社数・件数は、2021年、2022年と2年連続で過去最多を更新しました。※個人情報の流出・漏えい事故が発生すれば、企業の社会的信用が大きく損なわれるだけでなく、莫大な損害賠償により企業そのものを存続できなくなるリスクもあります。

デジタル化の進展などに伴い、個人情報保護法をはじめとした各種法令も段階的に厳格化されてきており、大企業・中小企業関係なく、個人情報を適切に取り扱うための知識や流出、漏えい対策を今まで以上に強化する必要があります。

この記事では、過去に起こった個人情報流出・漏えい事例を元に、改めて情報漏えいが発生する原因や企業が取るべき対応を見ていきます。また企業や従業員を守るための情報の流出・漏えいへの対策として、「入退室管理システム」に焦点を当てて紹介します。
※出典:TSRデータインサイト | 東京商工リサーチ

Akerun入退室管理(アケルン)ダウンロード

個人情報の流出・漏えい(漏洩)がもたらすリスク

社会的信用が失墜するリスク

個人情報の流出・漏えいなどが起こると、個人情報保護委員会への報告義務に加え、自社のWebサイトで被害の状況を公表したり、取引先に周知したりしなければなりません。場合によっては、メディアに報道される可能性もあります。

それらにより、これまで築き上げてきた顧客や取引先からの信頼を失うだけでなく、会社の信用やブランドイメージの悪化、自社の評判が著しく低下するリスクがあります。さらに、ブランドイメージの悪化などによって顧客離れが発生し、売上が大幅に減少するおそれがあります。

莫大な時間と費用がかかるリスク

個人情報の流出・漏えいによって個人情報が何件流出したのか、一次・二次被害は発生していないか、原因は何だったかなど被害状況を把握するだけでも時間と労力を要します。

その後、顧客や取引先に被害状況を周知したりWebサイトで公表するための費用や二次被害の防止に向けた費用や補償、再発防止のための対策費用、従業員のセキュリティ教育費用、被害にあった顧客や取引先へのお詫びの連絡や場合によっては損害賠償のための費用など様々な費用が発生します。

企業の存続が困難になるリスク

被害にあった顧客や取引先への損害賠償などが膨大な規模ににのぼったり、社会的信用を失い売上が大幅に減少したりすれば、企業そのものを存続できなくなるリスクもあります。

関連記事 この記事を読んだ方へおすすめ

実際に発生した個人情報の流出・漏えい(漏洩)事例を紹介

2023年3月 通信サービス企業|利用者約596万件の個人情報流出

通信サービス企業の業務委託先において、最終的に約596万件の顧客情報が流出しました。通信大手企業が展開している映像配信サービスやネット回線サービスの利用者の氏名・住所・電話番号・生年月日などが含まれ、クレジット情報や銀行口座などの情報は含まれていなかったとしています。その後、内部調査をして元派遣社員が情報を流出させたことがわかりました。これにより、システムに不必要な接続ができないように制限し再発防止を行いました。

2022年6月 通信サービスの企画・開発・運営企業|会員275万件の個人情報流出

通信サービスの企画・開発・運営企業が運営する個人間取引のマーケットプレイス事業の通販サービスで、275万件の会員の個人情報が流出しました。そこには、氏名・生年月日・住所・電話番号・口座情報などが含まれていました。通販サービスのデータベースへの不正アクセスが原因とされ、外部のセキュリティ専門家の協力のもと該当箇所のセキュリティ対策を実施しました。情報の不正利用は確認されていないものの、引き続き外部のセキュリティ専門家のもとセキュリティ対策を強化しています。

2014年7月教育・生活サービス企業|会員約3504万件の個人情報流出

教育・生活サービス企業の業務委託先の元社員が顧客情報を不正取得し、名簿業者に売却していたことが判明したもので、名前・生年月日・住所・電話番号などの情報が含まれていました。これにより、元社員が逮捕され懲役2年6ヶ月と罰金300万円を課せられ、担当部署にいた2人の取締役が引責辞任する結果となりました。また企業が社会的信用を失い、大規模な顧客離れが起きたことにより、事件発覚の翌々年まで大幅な経営赤字にまで発展しました。

Akerun入退室管理(アケルン)ダウンロード

個人情報の流出・漏えい(漏洩)が起こる原因

ウイルス感染(マルウェア)、不正アクセス

  • セキュリティ対策が不十分だった
  • 古いソフトウェアを使い続けていた
  • 社内ネットワークへのアクセスが容易だった、など

デジタル技術の普及によりコンピューターウイルスや不正アクセスの手法も日々進化しています。そのため、古いセキュリティシステムを使い続けたり、セキュリティ対策そのものが不十分だった場合、ウイルス感染、不正アクセスのリスクが高まります。

従業員による不正やメールの誤送信、セキュリティ意識の低さなど

  • 個人情報が含まれるメールを誤送信した
  • 重要書類やパソコンを社外に持ち出して紛失した
  • 顧客情報を外部記憶装置に移して不正に持ち出した、など

従業員が売却による金銭的な利益などを目的として自社が持っている個人情報を不正に持ち出したり、会社で禁止されているPCの社外持ち出しの結果、紛失や盗難に遭うケースがあります。

個人情報の流出とは本質が異なりますが、2023年5月、ある金融企業がクレジットカードの所有者にDM(シーラーはがきタイプ)で表面の宛先箇所にクレジットカード番号を印字したまま発送してしまったという事故が発生しました。

幸い、カードの有効期限やセキュリティコードなどの情報は記載していなかったため、顧客が被害を被ることはありませんでしたが、このように人的ミス(ヒューマンエラー)により情報の流出や漏えいが発生するケースも多くあります。これらに共通することは、企業側のセキュリティ対策の不十分さもありますが、個人情報や重要な情報を取り扱うことに対する、従業員のセキュリティに対する意識の低さも大きな要因となることがあります。

企業側の管理体制の脆弱性など

  • セキュリティに対する考え方が不十分
  • 従業員に対する研修・教育が不十分
  • どの従業員がどこにいて何の情報を扱っているか適正に管理できていない、など

そもそも企業のセキュリティに対する考え方が不十分で、数年前に導入した古いソフトウェアをアップデートせずにそのまま使っていたり、パソコンやクラウドサービス、重要書類の保管場所などのパスワードを使い回したり、数年間同じパスワードを使ったりするケースもあります。

またメールの誤送信や不正持ち出しなどは一元的には従業員の責任ですが、企業として従業員にセキュリティ教育を適切に講じれていない、従業員が扱っている情報管理できていない企業側にも責任があると言えます。

関連記事 この記事を読んだ方へおすすめ

企業の物理セキュリティ対策の重要性!専門知識がなくても対策できる方法を紹介!

個人情報の流出・漏えい(漏洩)が発生した際の対応方法

関係各所への迅速な報告

個人情報保護委員会では、個人情報の漏えいなどの報告期限を設けています。まずは、事件発覚してから3〜5日以内に当該事態に関するを報告を速やかにしなければなりません。(速報)

次に、事態が発覚してから30日以内に社内調査によって確認された情報を報告する必要があります。(確報)報告先は民間事業者等あるいは行政機関等になりますが、どのような情報が流出・漏えいしたかなど内容によって変わります。

個人情報の流出・漏えいが起きた際は、現状の把握と同時に、行政機関などに速やかに報告する必要があります。 ※参考:漏えい等の対応とお役立ち資料 |個人情報保護委員会

事故発生と現状の速やかな公表

個人情報が流出・漏えいした際には、Webサイトなどを通じて速やかに事件の発生について公表しましょう。他にも、被害に遭ったと想定される顧客などにも発生した事案によりもたらされるリスクと謝罪の連絡をする必要があります。この際に慌てて作業すると、メールの誤送信など新たな被害を生むおそれがあるため、細心の注意が必要です。

復旧と再発防止に務める

企業のセキュリティ対策が不十分だった場合、新たなセキュリティシステムの導入など再発防止策を講じる必要があります。一方、従業員の人的ミスや不正持ち出しなどが原因であれば、当該従業員の処分や全従業員へのセキュリティ研修・教育の徹底を行います。

Akerun入退室管理(アケルン)ダウンロード

個人情報の流出・漏えい(漏洩)を防ぐにはセキュリティソフトなどでは不十分

基本の防止策

こうした対策を講じている企業も多いでしょう。しかし、これらだけでは十分とはいえません。例えば、個人情報を取り扱うエリアでの従業員による不正持ち出しといった行為への対策として、企業側が監視し、エリアでの情報の取り扱いなどを常時管理するのは人的リソースなどの観点からも困難なケースが多くあります。

また外部からの不法侵入による個人情報の流出・漏えいを防ぐには、適切な入退室管理システムを導入するなどの対策が必要になります。

セキュリティソフトとあわせて入退室管理システムを導入するのがおすすめ

個人情報の流出・漏えいを防ぐには、情報セキュリティ面での対策としてのセキュリティソフトの導入とあわせて、物理セキュリティ面での対策として入退室管理システムを導入するのがおすすめです。

入退室管理システムでは、「いつ」「誰が」「どのエリアに」入退室したのかが記録できるため、万が一、個人情報の流出・漏えいが発生した場合でも、その日時にその場にいた人物を特定しやすくなります。また「入退室できる場所」「入退室できる日時(曜日や時間)」「入退室できる人」などを細かく指定して解錠権限を付与・解徐できるため、外部からの不法侵入のリスクも大きく低減できます。

セキュリティソフトと入退室管理システムと組み合わせることで、情報セキュリティと物理的セキュリティの両方の対策を取ることができ、より厳重に個人情報を保護できます。

関連記事 この記事を読んだ方へおすすめ

オフィスセキュリティとは?重要性やゾーニング、セキュリティを強化する対策を解説

Akerun入退室管理システムで物理的セキュリティを強化

企業が個人情報の流出・漏えいを防ぐことは、企業と従業員を守ることにも繋がります。ぜひAkerun入退室管理システム(以下、Akerun)の導入を検討してみてください。

Akerunとは

累計7,000社を超える導入実績を持つ入退室管理システムで、オフィスはもちろんフィットネスジムや学校、レンタルスペース、シェアオフィス、店舗など幅広い場所で導入されています。

細かい解錠権限を設定できる

Akerunは、Web管理ツールや専用アプリを使って、管理者が簡単に、入退室できる人や入退室できる場所、解錠できる日時(曜日や時間など)を細かく設定して解錠権限を付与・解除できます。そのため、個人情報を扱う場所には情報管理担当者しか入退室できない設定にし、必要に応じてそれ以外の従業員に一時的に解錠権限を付与できます。

万が一、個人情報の流出・漏えいが発生しても、入退室の記録/ログが残るので速やかに該当する人物を絞り込むことができます。

様々な解錠方法がある

Akerunは、日頃から持ち歩くスマートフォンや社員証、交通系ICカードなどを「鍵」として解錠できるほか、Web管理ツールや専用アプリから遠隔で施錠・解錠もできます。利用者に合う解錠方法を選ぶことで、利便性を高めるとともにオートロック機能も搭載しているので、閉め忘れを防ぎオフィスや店舗/施設のセキュリティを高めることができます。

今あるドアに取り付けるだけで工事は不要

Akerunは、既存のドアのサムターン(つまみ)に被せるように貼り付けるだけで設置できるため、ドアに穴を開けたりドアの交換したりなどの工事は不要です。開き戸だけでなく自動ドアや電気錠まで、幅広く対応しています。

また、強力な両面テープで貼り付けるためドアを傷つけることもありません。賃貸物件でも原状回復が必要なく、そのまま移転先で付け替えられることから、継続的に利用できます。
※一部のドアでは簡易的な工事が必要な場合もあるため、設置可能か「Akerun取付診断」でご確認いただくか、お気軽にお問合せください。

勤怠管理システムなどと連携し業務の効率化も図れる

Akerunは、オフィスや店舗/施設のセキュリティを強化するだけでなく、外部の勤怠管理システムや会員管理、決済、顔認証など様々なシステムと連携できます。そのため規模・業種・業態を問わず、個人情報を取り扱うあらゆる企業に導入可能です。

勤怠管理システムと連携すれば労務関連の業務の効率化が図れ、顔認証システムと連携すれば、不審者の侵入などによる個人情報の流出・漏えいを防止できます。効果的な個人情報の流出・漏えい対策をお探しの方はぜひ、以下のAkerunの資料をご覧ください。



関連記事 この記事を読んだ方へおすすめ

電子ロックは企業のセキュリティ対策に有効!導入が簡単な後付け型電子ロックについても解説

中小企業の情報セキュリティ対策ガイドライン 脅威・課題・すぐできる対策を解説

自動ドア×スマートロックでセキュリティ強化!電子錠・電気錠の仕組みも解説!
「akerun(アケルン)入退室管理システム」に関する資料

資料ダウンロード

「Akerun入退室管理システム」導入を検討されているお客様に
製品・サービスの特長をご紹介します。

3分でわかる!
資料ダウンロード