個人情報流出を防ぐ対策15選！情報漏えいの原因やポイントも解説

個人情報流出の原因

従業員や顧客の個人情報が流出させてしまう原因として以下の7つが挙げられます。

なぜリスクが生じるのか、どのような悪影響が生じるのかなど、各原因を理解することが重要です。

マルウェア感染

マルウェアとはスマートフォンやノートPCに侵入し、悪影響を及ぼすプログラムの総称です。マルウェアにはさまざまな種類が存在し、被害内容や特徴は異なります。主なマルウェアの特徴を以下にまとめました。

参照：Office110

種類を問わず、マルウェアに感染すると個人情報が流出する可能性が高まります。近年はファイルレスマルウェアやランサムウェアなど、検知困難な種類も増えており、早急な対策が必要です。

不正アクセス

不正アクセスとは、社内システムやデバイス端末内へ不正にログインする行為です。従業員や顧客の個人情報などを盗んだ後、金銭的な報酬の獲得と引き換えに盗んだ情報の悪用や売却をおこないます。

不正アクセスの原因はマルウェア感染や脆弱性攻撃、フィッシングサイトへの誘導など、さまざまです。システムやアプリケーションで使用するアカウント情報の管理不足が原因で、不正アクセスを招くケースも少なくありません。

個人情報保護のため、予測しやすいパスワードの設定や単一アカウントの使い回しは避けましょう。数カ月に1回のペースでパスワードを変更することも有効です。

ヒューマンエラー

従業員の過失や操作ミスにより個人情報が流出するケースも多いです。帰宅途中に顧客の個人情報を保存したUSBメモリや文書を落とし、個人情報流出につながった事例も珍しくありません。

電車通勤の場合は、第三者による盗難やカバンの置き忘れにより個人情報が流出する可能性もります。誤操作に関しては、顧客の個人情報を多数含んだメールを取引先に誤送信し、個人情報流出が発覚するケースが多いです。

他にもビジネスメール詐欺に引っかかり、個人情報や機密情報を誤って入力するケースが想定されます。

無料Wi-Fi店での利用

無料Wi-Fi店は便利な一方、さまざまなリスクが生じます。WEPと呼ばれる接続方法の場合、通信内容は暗号化されません。第三者からメールのやりとりや顧客の個人情報を盗み見される可能性が生じます。

ログイン不要で利用可能なタイプの無料Wi-Fiは情報漏えいのリスクが高まるため、注意しましょう。最悪の場合は第三者からの遠隔操作やマルウェア感染によりデバイスが機能不全となり、個人情報の流出を招きます。

サイト上での個人情報の入力回避やWi-Fiへの自動接続OFFなど、個人レベルで情報流出防止対策を徹底することも重要です。

不正アプリのインストール

「Google Play」や「App Store」以外のアプリストアを利用した場合、不正アプリをインストールしている可能性があります。

不正アプリは個人情報の盗取や金銭の要求、DDoS攻撃の踏み台など、さまざまな悪事のために開発されたアプリです。ユーザーにメリットをもたらす機能は実装されていません。

不正アプリをインストールすると、有料アプリの購入やスマートフォンの暗号化など、さまざまなリスクに見舞われます。

広告画面やWebサイトからアプリをインストールするのは避けましょう。公式ストアでアプリをインストールする場合も、提供元不明のアプリをインストールすることは避けるべきです。

SNSでの投稿

投稿を見たユーザーが個人情報を特定し、空き巣やストーカーなど、犯罪に発展したケースも珍しくありません。企業用アカウントで業績や財務情報を投稿した場合は株価が暴落し、多額の損害が発生します。

SNSは拡散力に優れており、不特定多数の方へ効率的に情報を発信できるツールです。誤った情報や不適切な表現を含んだ内容を投稿すると悪評が広まり、イメージダウンにつながります。

新商品販売や顧客の個人情報など、機密情報をSNSに投稿しないよう、従業員への徹底指導が必要です。

内部不正

給料や人間関係、業務内容などの職場環境に不満を抱いていた場合、意図的に個人情報を流出させる従業員がいる可能性があります。機密情報漏えいにより勤務先が多額の損失に苦しむ現状をみて、自身のストレスや不満を解消するためです。

近年は自宅やコワーキングスペースなど、オフィス以外で働くケースも増えています。オフィス以外で働く従業員に関しては、勤務態度や仕事に取り組む姿勢を直接確認できません。上司や先輩の目は届きにくくなっており、以前よりも内部不正が発生しやすい状況になっています。

個人情報流出を防ぐ対策10選【外部攻撃編】

サイバー攻撃やマルウェア感染など、外部攻撃向けの個人情報流出防止対策には以下10個の方法が挙げられます。

セキュリティ対策の課題や予算を算出したうえで、自社に合った方法を選びましょう。

IDaaSを導入する

IDaaS（Identity as a Service）とは、従業員のアカウント情報をまとめて管理するシステムです。基幹システムやWebアプリケーション、クラウドサービスのログイン時に入力するパスワードやIDを保管します。

IDaaSを導入するメリットは、不正アクセスによる情報漏えいのリスクを軽減できる点です。ログインの際はワンタイムパスワードの入力や指紋認証など、複数の要素を交えて本人認証を実施するため、なりすましを防げます。

従業員の業務内容や所属部署、役職に応じてアクセス権の設定も可能です。閲覧可能なファイルが限定されるため、アクセス権の過大付与にともなう内部不正の発生を避けられます。

EDRを導入する

EDR （Endpoint Detection and Response）とは、エンドポイント内の異常を検知するツールです。ノートPCやスマートフォンをエンドポイントとみなし、端末内でサイバー攻撃やマルウェアが発生していないか、調査します。

端末内での異常を検知した場合はシステム管理者に通知した後、異常を素早く隔離する仕組みです。隔離後は感染経路や被害状況などを分析し、分析結果は課題抽出や二次災害の防止に役立てられます。

EDRはランサムウェアやファイルレスマルウェアなど、判別が難しい脅威を検知できる点も魅力です。在宅勤務者や外出頻度が多い従業員を抱える企業に、適したツールといえるでしょう。

UTMを導入する

UTM（Unified Threat Management：統合脅威管理）とは、複数の機能を搭載したセキュリティツールです。UTMが搭載する主な機能を以下の表にまとめました。

UTMを活用するメリットは、費用を抑えつつセキュリティ対策を強化できる点です。複数の機能を搭載しているため、個々にツールを導入する必要はありません。1つの画面から稼働状況を確認できるため、システム管理者の運用負担軽減も図れます。

企業側の担当者と連絡も取りやすく、トラブルが発生しても早期解決が望めるでしょう。

WAFを導入する

WAF（Web Application Firewall）とは、Webアプリケーションの保護に特化したセキュリティツールです。Webアプリケーションの脆弱性を突く攻撃を防げます。WAFが防げる主なサイバー攻撃を以下にまとめました。

参照：ドコモビジネスソリューションズ

仮にサイバー攻撃や不正アクセスを受けた場合は攻撃の種類や日時、手法などを可視化し、個人情報の保護体制を強化できます。

特定URL除外機能を活用すると、警戒不要なWebアプリケーションを防御対象から外せるため、ページの読み込み速度が落ちる心配もありません。

SWGを導入する

SWG（Secure Web Gateway）とは、通信を中継するクラウド型プロキシのことです。社外のWebサイトにアクセスする際、危険なサイトや有害なサイトへのアクセスをブロックします。

アプリケーション制御機能も搭載されており、システム管理者が許可していないアプリケーションが無断で使用される心配はありません。

外部からのアクセスに対しては、不正アクセスやマルウェアではないかを判別します。仮に社内ネットワークへ侵入されたとしても、サンドボックスにより被害を最小限に抑えられるでしょう。

サンドボックスは侵入したマルウェアやウイルスを仮想空間へ隔離し、ネットワーク内へのダメージを防ぎます。

DLPを導入する

DLP（Data Loss Prevention）とは、個人情報を含む機密情報の流出防止に特化したセキュリティツールです。相手にメールや文書を送る際、顧客の個人情報が含まれていた場合は自動検知し、メールの送信をキャンセルします。

機密情報に指定した情報に限定して監視をおこなうため、業務負担増大や取引先との関係悪化を招くことはないでしょう。USBへのデータコピーや印刷、画面キャプチャなども制限するため、内部不正の発生も避けられます。

機密情報はリアルタイムで監視されており、不審な行為や異常が発生しても被害の最小化が望めるでしょう。

外出先での作業ルールを明確化する

外回りが多い営業担当者を対象に、外出先での事務作業に関するルールを決めましょう。営業担当者は商談の合間にメール処理や資料作成など、事務作業をおこなうケースが珍しくありません。

作業ルールが曖昧では、営業担当者が無料Wi-Fi店で事務作業に励む可能性も生じます。ログイン不要でWi-Fiを利用できる場合、通信内容は暗号化されていない状態です。スマートフォンの盗難やノートPCの画面を盗み見され、情報漏えいを招く可能性もあります。

無料Wi-Fi店での作業禁止や離席時の端末所持、画面ロックの設定などを従業員に命じ、情報漏えいを防ぎましょう。

デバイス機器の持ち帰りを原則禁止する

業務用スマートフォンやノートPCの持ち帰りを原則禁止にしましょう。通勤途中で紛失や盗難に遭った場合、高確率で情報漏えいにつながります。持ち帰りを許可するのは、出張や直行直帰など、やむを得ない事情がある場合のみにしましょう。

業務の持ち帰りが常態化すると従業員の疲労も溜まり、業務効率悪化や成果物の品質低下など、通常の業務運営にも悪影響を及ぼします。

シンクライアント化を検討する

シンクライアントとは、サーバー上で多くのデータ処理をおこなう仕組みです。サーバーで処理した結果が、スマートフォンやノートPCの操作画面に表示されます。

多くのデータ処理をサーバー上で完結するため、デバイス上ではキーボード入力やマウス操作など、最低限の操作しかおこないません。端末内にデータが保存されないため、盗難や紛失が発生しても個人情報流出の被害を最小限に抑えられます。

デバイス上ではデータ保存に加え、アプリケーションのインストールもできません。不正アプリの使用にともなう情報漏えいやマルウェア感染の被害も避けられます。

定期的に脆弱性診断を受ける

脆弱性診断とはシステムやネットワーク機器、Webアプリケーションなど、社内のIT資産に脆弱性が発生していないかを調査することです。脆弱性を放置していると、不正アクセスやDDos攻撃などにより、情報漏えいやサーバーダウンを招く可能性が高まります。

脆弱性診断を定期的に受診することで、リスクを早期に発見し、セキュリティ対策に反映することが目的です。診断結果をもとに、新たなセキュリティツールの導入やアプリの乗り換えをおこない、個人情報の保護に努めます。

個人情報流出を防ぐ対策5選【社内リスク管理編】

従業員の内部不正による個人情報流出を防ぐ対策は以下5つの方法が挙げられます。

複数の対策を実施すると、内部不正の抑止力を高められるでしょう。

アクセス権を必要以上に付与しない

業務内容や所属部署に関連するファイル以外は閲覧できないよう、従業員のアクセス権を設定しましょう。

従業員が顧客や社員の個人情報を自由に閲覧できる場合、個人情報を外部に流出させてしまうおそれがあります。情報流出が起きないかどうかは、従業員のモラルや帰属意識に強く依存している状態です。

社内システム用のアカウント情報が外部に流出した場合は、第三者が簡単に個人情報を閲覧できます。社内外からの脅威を軽減するためにも、アクセス権を必要以上に付与するのは避けましょう。

BYOD導入を避ける

BYOD（Bring Your Own Device）とは、従業員の私物デバイスを業務に持ち込むことです。アプリやソフトウェアのアップデートもシステム管理者が対応できず、企業側が制限を設けづらくなり、脆弱性の早期発見が困難です。

勤務時間外でWebサイトを閲覧する機会も多く、マルウェア感染のリスクも高まります。個人情報保護を最優先する場合、BYODの導入は避けましょう。

ログデータを収集する

システムやアプリケーションのログデータ収集により、内部不正の発生リスクを軽減できます。システム管理者はログデータから「誰がいつどのような操作をしたか」という情報収集が可能です。

仮に個人情報流出につながる不正行為が発生した場合、ログデータを確認するとすぐに犯人を特定できます。定期的にログデータの分析および確認している旨を従業員へ周知し、不正行為への抑止力を高めましょう。

従業員へセキュリティ教育を実施する

従業員の過失や誤操作での情報漏えいを避けるためには、定期的にセキュリティ教育を実施することが重要です。個人情報の流出により自社にどのような影響があるのか想像できないと、従業員の行動意識も変わらないでしょう。

セキュリティ教育の実施により、個人情報の扱い方やSNSの使い方に変化が生まれ、情報漏えいのリスクを軽減できます。マルウェアの種類やサイバー攻撃の手口に関する研修も実施すると、業務と関係ないWebサイトへのアクセスも減らせるでしょう。

秘密保持に関する誓約書を締結する

採用予定の人材も含め、秘密保持に関する誓約書を締結しましょう。機密情報を流出させた場合に損害賠償を請求する旨を誓約書に示すことで、内部不正の抑止力を高められます。

退職予定の従業員に関しては、退職前に誓約書への記入を従業員へ求めてください。好条件での転職と引き換えに顧客の個人情報を外部に持ち出さないようにするためです。

必要に応じて競合避止義務に関する誓約書を活用しましょう。一定期間、競合他社への転職や同じ業界での起業を禁じることで、顧客の個人情報が流出する可能性を軽減できます。

個人情報流出防止に臨む前に意識すべき5つのポイント

個人情報保護の対策強化に臨む前に以下5つのポイントを整理しましょう。

ポイントの内容を詳しくみていきます。

ポイント1. IT導入補助金の利用を検討する

セキュリティツール導入にともなう金銭的負担の増大に悩んでいる企業向けの選択肢です。IT導入補助金のセキュリティ推進枠を利用すると、最大100万円が補助されます。

注意点は、IPAの「サイバーセキュリティお助け隊サービスリスト」に掲載されたツールのみが、補助金の対象です。リストに掲載されていないセキュリティツールを導入した場合、補助金の支給対象とはみなされません。

2023年度の公募期間はすでに終了しているため、補助金を活用する場合は来年度以降の応募を検討するかたちになります。

ポイント2. 中小企業が狙われる頻度も増えている

近年は中小企業をターゲットにしたサプライチェーン攻撃の被害件数も増加傾向にあります。サプライチェーン攻撃とはターゲット企業を直接狙うのではなく、セキュリティレベルの低い取引先から個人情報を盗むサイバー攻撃です。

セキュリティ対策の意識が低い中小企業を狙い、ターゲット企業に勤務する従業員の個人情報や機密情報を確実に取得しようとします。

自社が原因で取引先の機密情報が流出した場合、取引先から損害賠償を求められる可能性があります。損害賠償支払いや経営の圧迫を避けるためにも、セキュリティ対策の強化に励みましょう。

ポイント3. セキュリティ会社に相談する

セキュリティ全般に関する悩みを相談したい場合の選択肢となります。セキュリティ会社に依頼するメリットは、対応可能な範囲が広い点です。

セキュリティ対策の課題抽出やセキュリティツールの提案、脆弱性診断の実施など、さまざまな内容を依頼できます。企業によってはシステムやWebサイトの運用代行も依頼可能です。

セキュリティ会社ごとに得意分野や実績、料金体系は異なるため、ホームページで各企業の特徴を把握しましょう。「比較ビズ」を利用すると、約88社のなかから自社の条件に合ったセキュリティ会社を見つけられます。

ポイント4. ITコンサルティング会社に相談する

ITコンサルティング会社は、多くの企業に携わっており、実務経験やセキュリティに関する知識をもとに自社の実情を把握したうえで提案してくれます。

どのような点を意識して個人情報の保護体制強化に取り組むべきか、プロからアドバイスして欲しい場合に利用しましょう。客観的な視点で社内の人間では気付かなかった内容を指摘してもらえる点も魅力です。

ITコンサルティングサービスをはじめ、外部サービスを利用することでもちろんコストが発生します。自社の課題や予算を決めてから利用することで余計な出費を防げるでしょう。

ポイント5. 外部研修を利用する

社内でセキュリティ研修の開催が難しい場合に取る選択肢です。外部研修を利用することで、最新のサイバー攻撃やマルウェアの傾向など、トレンドを交えた高品質な情報を得ることができます。

企画内容立案や研修用の資料作成など、研修開催に向けた準備の手間を省ける点も魅力です。SNSでのリスクやアプリの使い方など、複数の研修を受講すると従業員の意識を高められるでしょう。

すべての研修会社がセキュリティ研修を得意としているわけではありません。ホームページから開催実績や事例を確認し、受講先を決めましょう。

まとめ

今回の記事では以下の4点に関して述べました。

個人情報が流出する原因はマルウェア感染や不正アクセス、内部不正などさまざまです。セキュリティツールの導入や脆弱性診断を行い、個人情報の保護に努める姿勢が求められます。

セキュリティに精通した人材がいない場合はどのような対策が有効か、わからない場合も多いでしょう。実情を反映した施策を実行するためには、セキュリティ会社やコンサルティング会社に相談するのがおすすめです。

「比較ビズ」を利用すると、必要事項を入力する2分程度で条件に合った企業を探し出せます。外注先を探している方は、ぜひ利用してみてください。

監修者のコメント

株式会社ロードマップ

代表取締役 石川 真実

株式会社ロードマップ代表取締役。1980年岩手県奥州市出身。SEOを中心としたWEB制作から集客を行う攻めの部分と、WEBサイトのセキュリティ診断など守りのサービスをワンストップで提供。特に相談が多い誹謗中傷・風評被害対策をメインにサービス提供しており4000億売上がある企業のレピュテーションリスク予防を実施し結果を出し契約継続中。

詳しく見る

セキュリティ対策を強化する企業は増えていますが、個人情報漏えい事故のニュースは後を絶ちません。東京商工リサーチの調査では、2021年の上場企業とその子会社が公表した個人情報の漏えい事故件数は137件、574万9,773人分。（公表したのは120社）

2012年以降の10年間で、最多の事故件数を記録しています。事故の原因別では、「ウイルス感染・不正アクセス」が49.6%と最多で、次いで、「誤表示・誤送信」が31.3％という結果となっています。

個人情報漏えい事故を起こせば、企業の社会的信用の失墜だけでなく、原因究明や二次被害の防止、損害賠償の支払いなど様々な対応が必要です。漏えいのリスクとは常に隣り合わせであり、個人情報を扱っているのであれば、いま一度自社のセキュリティ対策を見直すことをお勧めします。

一人一人のセキュリティ意識を高めるだけでなく、会社全体で漏えいさせない仕組みづくりに取り組み、個人情報漏えいを未然に防ぎましょう。

執筆者

比較ビズ編集部では、BtoB向けに様々な業種の発注に役立つ情報を発信。「発注先の選び方を知りたい」「外注する際の費用相場を知りたい」といった疑問を編集部のメンバーが分かりやすく解説しています。