情報漏えいの件数は増加傾向
東京商工リサーチの調べによると、2012~2016年の5年間における上場企業(グループ会社含む)の情報漏えい・データ紛失の件数は、増加傾向にあるという報告をしています。漏えいした件数は1回あたり1万件未満という事案が8割を占めますが、なかには100万件以上の個人情報が流出した事件もあります。また未上場企業でも、数十万から数百万件もの情報が流出する事件も多発。企業規模や取扱件数に限らず、社内ルールの徹底や情報管理の取り組みが求められています。
情報漏えい事件が企業に与えるリスクとは
個人情報や機密情報などの情報漏えいやデータ紛失事件は、なかなかなくなりません。
情報漏えいによって企業が受ける具体的なリスクの内容や、その原因、経営者の責任などをまとめて紹介します。
情報漏えいの件数は増加傾向
東京商工リサーチの調べによると、2012~2016年の5年間における上場企業(グループ会社含む)の情報漏えい・データ紛失の件数は、増加傾向にあるという報告をしています。漏えいした件数は1回あたり1万件未満という事案が8割を占めますが、なかには100万件以上の個人情報が流出した事件もあります。また未上場企業でも、数十万から数百万件もの情報が流出する事件も多発。企業規模や取扱件数に限らず、社内ルールの徹底や情報管理の取り組みが求められています。
身近なところにリスクが潜む情報漏えい事件
情報漏えいやデータ紛失の事件は、なぜ後を絶たないのでしょうか。その原因を探っていくと、紛失・置き忘れといった人為ミスだけではないことがわかってきます。
メールやFAXの誤配信・書類廃棄などが原因の最多
メールやFAXの送り先や添付ファイルを間違えて送ってしまった、個人情報の入ったファイルを誤って捨ててしまった…など、ちょっとした不注意から情報漏えいにつながるケースがとても多いです。
企業として情報管理に関するルールを設けるのはもちろんですが、それでも起こる場合は管理ルールの見直しが必要でしょうし、社員の意識を高めるため定期的に研修やテストを実施するなど、全社的に対策をしていくことが求められます。
ウイルス感染による情報流出件数は数百万件規模に
社員のパソコンにコンピュータウィルスが侵入し、情報が流出するといったケース。事件の数はそれほど多くありませんが、個人情報など1度に流出する件数は数万件から数百万件と被害が大きいことがサイバー攻撃の特徴です。これを防ぐには、企業のセキュリティ体制を強化するしかありません。ウイルス対策ソフトのインストールやVPN(仮想プライベートネットワーク)による安全なネットワークの構築、さらに社員にも出所のわからないメールの添付ファイルは開かないなどの教育も必要です。
書類やUSBメモリ、スマートフォンの紛失など
パソコンや機密情報の挟まったファイルを外部に持ち出してどこかに置き忘れた、紛失したという事件。特に書類、USBメモリなどの紛失が多く、盗難にあった際に企業が受ける影響はとても大きなものになります。
対策としては、持ち出さないように管理すること。家に帰って仕事をする場合など、持ち出す必要があるときは、リモートで安全なネットワーク環境内に入ってから作業する、あるいは持ち出すデータには暗号化をするなどの対策をしっかり行いましょう。
個人情報の売買や機密情報を使った取引など
人為ミス(ヒューマンエラー)ではなく、意図的に情報を流出させようというケースも少なからずあります。個人情報の売買、企業の機密情報を使った取引、内部告発などが、最たる例でしょう。
これも、データを持ち出せないように管理することが初歩的な対策となります。また、こうした社員をつくらないように社員教育の徹底も重要です。
損害賠償請求や刑事責任を問われる可能性も
流出した個人または企業側への謝罪はもちろんですが、場合によっては損害賠償請求に発展することもあります。従業員や委託業者が行った罪(横領罪、不正アクセス罪など)であっても、企業に民事や刑事責任を問われることもあります。
従業員のミスであっても会社には使用者責任が生じる
情報漏えい者が従業員や業務委託先の社員の場合、民法715条に基づき、企業には「使用者責任」が問われることになります。
また、個人情報保護法で規定されている「個人情報取扱事業者」の企業には、従業者に対する監督責任違反が問われることもあり、主務大臣による報告徴収や勧告などの対象となります。この勧告に違反すると、6ヶ月以下の懲役または30万円以下の罰金が処せられます。
安全管理措置義務違反で損害賠償請求の可能性も
盗難やコンピュータウィルス(クラッカー)による不正アクセスなどが原因で、情報漏えいが起きた場合でも、企業に対して責任が追及されることがほとんどです。
個人情報取扱事業者の企業であれば、安全管理措置義務違反または監督義務違反になる可能性もありますし、流出した情報がもとになって被害が生じた場合、損害賠償請求を起こされることも考えられます。
増え続ける情報漏えい事件の一例を紹介
ここ数年増え続けている個人情報や企業の機密情報などの情報漏えい・データ紛失事件。その一例をご紹介します。
情報漏えい件数は2,000万件、損失総額は数百億円に
教育関連の企業に派遣社員として働いていたSEが、会社の個人情報をコピーして持ち出し名簿業者に売却していた事件。派遣社員は逮捕されましたが、この事件がきっかけで顧客離れが進み、一時、赤字に転落するなど経営に大きな影響を与えました。
約7,700万件の個人情報、クレジットカード番号も流出
電機メーカーが運営するオンラインサービスに、大規模なアクセスエラーが発生。サーバーの脆弱性に対処していなかったことから不正侵入され、利用者全員の個人情報が流出する事態になりました。
ガイドラインを制定していたものの事件が発生
ある病院で、患者の手術内容や検査データなどの入ったUSBメモリを職員が持ち出して紛失した事件。病院では個人情報に関するガイドラインを設けていましたが、徹底されていなかった実情が浮き彫りとなりました。
金融機関・保険会社で多い紛失事例
銀行で起きた紛失事故です。顧客の個人情報などが入った紙媒体の資料を紛失。シュレッターで裁断したため流出リスクは極めて低いというものの、3万人以上の顧客情報を破棄してしまいました。
個人情報がサイト上に公開され、誰でも閲覧可能に
ある財団法人が主催するセミナーに参加する方のリストが、ホームページ上に公開されてしまったという事案。アクセス制限を誤って設定したことが原因でしたが、約150人の個人情報が1カ月以上公開されたままになっていました。
当選者全員のアドレスを宛先(To)で送信
高速道路管理会社が行ったキャンペーンで、当選者全員のメールアドレスをBccではなく宛先(To)で送ってしまい情報が流出。被害届は出ていないものの、会社側の情報管理の徹底が求められました。