NPO日本ネットワークセキュリティ協会が2019年に発表した「2018年 情報セキュリティインシデントに関する調査報告書」を見ると、さまざまな要因で情報が漏えいしていることがわかります。
「紛失・置き忘れ(26.2%)」、「誤操作(24.6%)」などの人的要因が多いことや、サイバー攻撃に代表される「不正アクセス(20.3%)」などについては、本コラムだけでなく様々なところで取り上げられていますが、今回は、情報漏えいの要因としては少ないながら非常に重要な「不正な情報持ち出し(2.3%)」について考察します。
「不正な情報持ち出し」による情報漏えいとは
不正な情報持ち出しとは、NPO日本ネットワークセキュリティ協会の定義によると、「社員、外部委託社員、元社員が顧客先や自宅などで情報を持ちだし漏洩してしまう」というトラブルを指します。
その他にも、社員が社内ルールを逸脱して情報を持ち出してしまったことで情報が漏えいしたものも「不正な情報持ち出し」に該当します。
不正な情報持ち出しによる情報漏えい事例
実際に、不正な情報持ち出しによる情報漏えいの事例にはどのようなものがあるのか、いくつか事例をあげて紹介します。サイバー攻撃やなりすましによるクレジットカード不正使用などの外敵からの要因ではなく、敵は内部にも潜んでいるということわかるインシデントもあります。
事例1 大手教育サイトによる情報の持ち出し
大手教育サービスを提供する会社の委託先従業員が、子供や保護者の住所、氏名、電話番号等の個人情報を持ち出すという事件が発生しました。この事件で約2900万件のデータが流出し大きな問題として取り上げられました。
犯人である派遣社員の男性は、名簿業者に個人情報を売却する目的で、約20回データを持ち出していました。結果的に、当時東京支社に勤務していた派遣社員の男性は逮捕されました。
事例2 経済新聞社社員自宅PCに3000名の賃金データを送信
2018年、大手経済新聞社に勤めるデジタル事業担当の社員が、業務用のPCを分解し、ハードディスクを抜き取り、自宅のPCに賃金データ3000件を送信するという情報漏えいが発生しました。
この社員は、上記以外にも、専門誌の読者情報約3万6000人分、電子版の読者情報約34万人分を抜き取った疑いがあるとして、当時会社は警察と連携し調査をすすめました。結果的に、大手新聞社はその社員を懲戒解雇し、その後告訴しています。
事例3 医科大46万件の患者カルテが流出
医科大に所属する男子学生が、講義のデータを収集する目的で講師のPCにUSBメモリを使用した際、メモリ内に保存されていたバックアップソフトが、講義データだけでなく46万件の患者データも自動転送。男子学生の目的は「講義データの入手」で、彼は同じようなデータコピーを何度も行い、不審に思った学校側からの通報によりサイバー犯罪対策課に任意同行を求められました。
流出した原因として、教員用PCにIDとパスワードが記載されていたため、学生が簡単にアクセスできたと考えられ、大学側のセキュリティ意識の低さが問題であると当時話題になりました。
共通していること
それぞれの事例に共通していることが、情報漏えいを起こしてしまった企業の認識の甘さです。どのトラブルも、企業が危機意識を持ってきちんとした対策をとっていれば、発生しない可能性が高かったと言えます。この他にも、さまざまな形で不正持ち出しによる情報漏えいが発生しています。防ぐためには、なぜ発生したのかを考察する必要があります。
「不正な情報持ち出し」による情報漏えいの考察
なぜ不正な持ち出しが発生してしまうのでしょうか。不正持ち出しが行われる背景には何が考えられるのかを解説します。
背景と課題
不正な情報持ち出しにはいくつかの原因が考えられます。IPA(情報処理推進機構)が2017年に公開した「組織における内部不正とその対策」では、“故意による内部不正”と“故意ではない不正”があるとデータで示しています。このデータをもとにトラブルが発生する原因をみていきましょう。
故意ではない情報持ち出しの背景
内部不正をした人の中で、最も多い理由が、情報を持ち出してはいけないというルールを知りながら、うっかり持ち出してしまうケースです。全体の4割を占めています。また、そもそもルールを知らずに違反をしてしまったというケースも報告されています。
「うっかり持ち出してしまった」「ルールを知らなかった」という原因には、社内での情報セキュリティの重要性が浸透していないという背景があります。
社内でのルールづくりだけでなく、社員への情報セキュリティの重要性がしっかり浸透していれば、このような不正な持ち出しを減らすことができます。
故意に情報を持ち出してしまう背景
一方で、ルール違反と認識していながらも情報を持ち出してしまうケースもあります。自宅で作業するためにデータを持ち出すなどのケースは、他の社員が当たり前のようにルールを破っていることが形骸化し、社内ルールがあってないようなことになっている悪い例です。
それ以外にも、会社に対して不満を持っている社員が、不正な持ち出しを行うこともあります。
これらに関しては、「社員の情報セキュリティに対する危機意識の低さ」が問題だと言えます。情報セキュリティの重要性を伝えていない会社の環境が、社員の情報を持ち出すことへの罪悪感のなさを誘発させている可能性があります。
社内ルールの徹底と社員の意識を変えるだけで、不正な持ち出しを大幅に減少させることができるため、対処していない企業は早急に対処するように心がけましょう。
解決手段
不正な情報漏えいを防ぐためには、こうした状況を社内にある1つの問題として捉えるのではなく「経営課題」として捉えることが重要です。そのうえで次のような対策を検討しましょう。
情報セキュリティに関する危機意識の再認識
情報に携わる社員に対しては徹底した教育が必要です。この社員教育は正社員だけでなくアルバイトスタッフを含めプロジェクトに携わるすべての人に行う必要があります。さらに、情報セキュリティ問題は日々変化していくので、定期的に研修を行い、常に社員に高い意識を持もってもらうようにしましょう。
ルールの明確化
不正な持ち出しにより、情報漏えいが発生してしまう背景として、情報を取り扱うためのルールや教育が正しく整備・徹底されていないことが事例などからもわかります。誰が管理するのか、持ち出す場合はどのようにするのか、などのルールを明確化し、そのうえで教育を徹底して、不正できない環境を整えておく必要があります。
端末のセキュリティ機能をアップする
働き方の多様化によりノートPCやタブレット端末を外に持ち出す機会が増えています。持ち出し禁止の情報は、遠隔で操作した時に情報が漏れないように、仮想デスクトップによる対策や、ノートPCを紛失しても不正にアクセスされないよう、パスワードの強化だけでなく、リモートワイプソフトなども導入するなど、いくつかの対策を講じる必要があります。
暗号化ソフトを活用する
ファイルを暗号化するソフトをPCに導入することで、ファイルを外部に持ち出してもアクセス権限がないとファイルを閲覧できないため、端末とセットで強化しておくことをおすすめします。
まとめ
不正な持ち出しによる情報漏えいを防ぐために大切なことは、情報の取り扱いルールを徹底し、社内の危機意識を高め、不正ができない環境を企業が整備することです。情報漏えいは会社の信用を大きく失ってしまうので、経営課題として対策を検討するようにしてください。