情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~

情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~のアイキャッチ画像

大手SNSの5000万人規模の情報漏えい、中学教諭のUSBメモリ紛失、ファミリーレストランを展開する大手外食チェーンのPC紛失、海外航空会社の1000万人近い個人情報の流出など、情報漏えいに関する事件・事故は後を絶ちません。情報漏えいの危険性を回避するために、多くの企業がコンプライアンスを強化するなかで、なぜ、こうした情報漏えいが発生するのか、今一度情報漏えいについて再考したいと思います。

情報漏えいとは

まず、概念としておさらいしていきましょう。一般的に、機密にすべき内部情報(個人情報・組織の機密情報等)を外部に漏えい(流出)させてしまうことを指します。インターネットの普及に伴い、残念ながら毎日のように情報漏えいが発生してしまっているのが現状でしょう。

情報漏えいが発生した場合の影響

個人情報などの情報がもれると多くのリスクが発生します。ここでは、様々な影響によって想定されるリスクについて考えてみます。

個人の場合

  • 個人情報の不正使用被害として…
  • テレコール、DM、架空請求、ネガティブオプションの増加
  • SNSやショッピングサイトのアカウント乗っ取り、なりすましの発生
  • クレジットカード不正使用、脅迫、詐欺、ストーカーなど事件に巻き込まれることも

いずれも金銭的・精神的苦痛につながる懸念があるため、自身の情報漏えい被害を確認した場合、警察相談専用電話#9110や消費者センター等、専門機関へ早めに相談することをおすすめします。

企業の場合

  • 対応に関する人件費・諸経費(被害拡大防止の対応、事実関係の調査及び原因究明・影響範囲の特定、再発防止策の実施、影響を受ける可能性のある方々への連絡等)
  • 情報漏えいによる損害に対する民事訴訟・損害賠償(場合により億単位)
  • 信用・株価・企業イメージの低下、退職者の増加等

企業で情報漏えいが発生した場合、巨額の損失につながる可能性が高いため、まずは個人情報保護委員会の案内に則った迅速な対応が望まれます。

参考:漏えい等の対応(個人情報)(個人情報保護委員会)

情報漏えいの原因と理由

原因

下図は2017年 原因別の情報漏えい件数です。

参考:日本ネットワークセキュリティ協会 2017年 情報セキュリティインシデントに関する調査報告書

2017年だけでも300件以上の情報漏えいがあり、その件数は約520万件という驚異的な数字です。発覚していないものも考えられるため、氷山の一角だととらえるべきでしょう。

また、一般に“情報漏えいの原因はヒューマンエラーが8割”と言われている通り、2017年の主要な原因もヒューマンエラーによるものであることがわかります。原因の残り2割は不正アクセス・ワーム等によるものが考えられますが今回は最大の原因であるヒューマンエラーに焦点を当ててみましょう。

では、なぜヒューマンエラーが起きるのでしょうか。

理由1:不注意

ヒューマンエラー最大の原因にして最も継続的な対応が難しいものですね。

一つ一つの行動や習慣も大切ですが、何より「私は絶対に情報漏えいしない」と考えるのではなく「するかもしれない(当事者になるかもしれない)」と常に想像して行動することが大切です。

理由2:疲労

―疲労が蓄積すれば眠気や不注意を誘発しかねません。適度な休息をとるよう心がけましょう。

理由3:担当者の知識・経験不足

経験不足によりバックドアの存在に気づけないことや権限の設定ミスをしてしまうことも。自身の経験が浅いと感じる場合は必ず別途確認を依頼することが大切です。

理由4:パニック

業務の繁忙期や予期しないトラブルの時こそ、冷静な対応が重要です。急いで良いことはありません。慌てている時こそゆっくり確認することを心がけましょう。

理由5:プレッシャー

―過剰なノルマや圧力がかかる状況では冷静な確認を行うことは困難です。重要な作業の発生時は周囲もプレッシャーをかけないよう多少の配慮が必要でしょう。

理由6:慣れ

―悪い意味で慣れてしまうと、状況が異なる現場で「いつもと同じだろう」という油断が生じます。また、重要な手順の省略等が生じることもあります。

理由7:報告連絡相談の欠如

―上司や先輩に一言報告しておけば、誤操作による事故を防げたかもしれません。日ごろからお互いにコミュニケーションをとるように心がけましょう。

ヒューマンエラーによる情報漏えい対策

IPA(独立行政法人 情報処理推進機構)では、企業(組織)で働く方へ情報漏えい対策の7つのポイントとして、情報漏えいを起こさないための心構えとして示しています。

対策

持ち出し禁止

企業(組織)の情報資産は許可なく持ち出さないこと。

安易な放置禁止

企業(組織)の情報資産を、未対策のまま目の届かない所に放置しないこと。

安易な廃棄禁止

企業(組織)の情報資産を未対策のまま廃棄しないこと。

不要な持ち込み禁止

私物の機器類(パソコンや電子媒体)やプログラム等のデータを許可なく、企業(組織)に持ち込まないこと。

鍵を掛け、貸し借り禁止

個人に割り当てられた権限を許可なく他の人に貸与または譲渡しない

公言禁止

業務上知り得た情報を許可なく公言しないこと。

まず報告

情報漏えいを起こしたら自分で判断せずにまず報告すること。

上記のポイントを守ってさえいれば、情報漏えいが防止できるわけではありません。上記の基本的なことを心構えとしてきちんと理解して、それぞれの具体的な対策を行うことが重要になります。

具体的対策・詳細はあまりにも多岐にわたるため、専門機関のページをご参考ください。

参考:IPA 情報漏えい対策のしおり

まとめ

弊社でも、過去に情報漏えいが発生しかけた経験があり、それ以降は特に対策を行うようになりました。

「他人事ではない」という当事者意識と、「情報漏えいに繋がるかもしれない」という想像力を持った行動を保つことで、情報漏えい発生の可能性を限りなく低くすることができると考えます。

まだ、情報漏えいに関する対策が十分でないとお考えの方は、前述した原因と心構えをもとに、具体的な対策を考えていきましょう。