企業の存続を脅かす情報漏えい。その多くは内部者による紛失や管理ミスなど、ささいな人的ミスです。しかし情報漏えいは企業の信頼低下に直結しやすく、顧客情報の損害賠償額は1件当たり6億円にのぼるという調査もあります（JNSA・2018年調べ）。

この記事では情報漏えいで想定される損害・被害事例などを紹介した後、企業がとるべき対応方法を解説します。

情報漏えい・データ流出の原因

JNSAの調査によると、情報漏えいを起こす原因の約6割は「内部要因」であり、またその大半が「誤操作」「紛失」「置き忘れ」「管理ミス」などの⼈的ミスとされています。

始めから情報を盗むことを目的とした不正アクセスが原因となるのものは約2割程度ですが、不正アクセスによる情報漏えいは、人的ミスよりも大量に情報が漏えいする傾向があり、その分インシデントの被害も⼤きくなります。

 

情報漏えい・データ流出で想定される損害

企業が顧客情報を漏えいすると、企業は次のような法的責任を問われることになります。

刑事上の罰則

個人情報保護法20・21条では「個人情報を扱う企業は、データの安全管理のために必要な措置を講じ、従業員に対する適切な監督を行わなければならない」と規定されています。

従業員による不手際で、顧客情報が漏えいした場合、企業は個人情報保護法違反によって行政的な監督や注意勧告の対象となります（命令違反で6ヶ月以下の懲役、または30万円以下の罰金）。また、従業員の不手際でなく、外部のハッカーによって情報漏えいが発生した場合も、企業は個人情報保護法に基づく「安全管理措置責任」を問われることになります。

民事上の罰則

顧客情報を漏えいすると、民事上の罰則が適用されることもあります。たとえば情報漏えいによる顧客が企業を相手取り、損害賠償請求を起こすこともあります。賠償金はケースによって異なりますが、顧客への賠償として一人当たり500円分の金券が配布されることがあります。一人当たりの賠償額は決して高くないものの、合計すると数千万円以上になる可能性もあり、金銭的に大きな被害を企業が被るのは言うまでもありません。

間接的な損害

顧客情報の漏えいが発覚すると、法的な賠償以外に様々な間接的損害が生じます。その最たる例が「社会的信用の低下」と「経済的な損失」です。

長い年月をかけ地道に培った社会的信用は、たった一度の情報漏えいで失われてしまいます。たとえば情報漏えいでブランドイメージに傷がつくと、マーケットシェアを他社に奪われ、顧客との取引停止や契約破棄につながりかねません。

情報漏えいによる経済的な損失も、1件あたり4億円超にのぼり（日経クロステック・2020年調べ）、損害賠償額の平均とあわせると、企業の全体的損失は、約10億円以上になります（売上低下は数年以上続く恐れがあるため、約10億円以上という額もあくまで目安に過ぎません）。このように、失墜した信用を取り戻すには、莫大な時間とコスト、そしてマイナスをカバーする惜しみない努力が必要となってしまうのです。

情報漏えい・データ流出で起きた被害事例

実際に情報漏えい・データ流出で起きた被害事例を紹介します。

CASE1／巧妙に遠隔操作で営業機密を持ち出し

2015年、家電量販の大手企業に勤めていた元社員が不正競争防止法違反（営業秘密の領得）の疑いで逮捕・起訴されました。

この元社員は退職前に遠隔操作ソフトを事務所のパソコンにインストールし、転職先から不正に営業秘密の情報を取得していたと言います。裁判長は持ち出したデータを「競合他社にとって利益をもたらす可能性が高い」として営業秘密に当たると判断。元社員は懲役2年、執行猶予3年、罰金100万円の有罪判決となりました。

CASE2／現職従業員等のミスによる漏えいも43.8%と増加中

2017年時点で、IPA（独立行政法人情報処理推進機構）の実態調査によると、2012年度調査では、営業秘密の流出者は、中途退職者が最多(50.3%)でした。また2016年度調査では、現職従業員等のミスによるものが最多(43.8%) となっており、うっかりミスが増えています。こうした内部者による情報流出は後を絶たず、企業の信頼失墜に発展しています。

CASE3／2895万件の顧客情報が流出し、社会的信用も失墜

2014年6月下旬に発覚した大手通信教育事業者の情報漏えい事件では、派遣社員のシステムエンジニアが、顧客情報を不正にコピーして名簿業者に渡していました。結果的に2895万件もの顧客情報が流出し、会員も減少するなど社会的信用は失墜しました。なお、この企業は補償に200億円もの大金を充てることになり、純利益は2年連続で赤字に陥りました。

情報漏えい・データ流出時の対応方法

漏えい情報の種類により必要な対応は異なる

漏えいした情報の種類に応じて、取るべき対応もそれぞれ異なってきます。

顧客など個人に関する情報

漏えいした情報に、顧客など個人情報が含まれている場合、個人情報保護法に準拠した対応が必要となります。特に個人情報保護法が改正される2022年4月以降は、情報漏えいが1件でも発生した場合、本人および個人情報保護委員会への通知が原則義務化されました。

また取引先の情報が含まれる場合は、取引先の意向に沿った対応も並行して行います。

公共性の高い情報

漏えいした情報に公共性・公益性の高い情報が含まれている場合は、監督官庁に報告したり、マスコミなど情報開示する必要があります。

企業情報の場合

組織の技術や知的財産が漏えいした場合は、その内容に応じた経営判断を行います。

初動対応 ／応急処置

情報漏えい発覚後、漏えい件数に関わらず、被害拡大防止のため、次の対応を迅速に取りましょう。たとえ1件の情報漏えいでも、あくまでそれは氷山の一角に過ぎないからです。

責任者を決め、対応チームを構築する

漏えい情報の管理責任者は、漏えいの発覚後、関係する人物や組織を洗い出したり、場合によっては対応チームを編成するなど、具体的なプロジェクトとして対応を推し進める必要があります。仮に、責任者やスケジュールを定めず、なし崩し的に調査してしまうと、情報を取りこぼしたり、被害の全容が把握できなくなったする恐れがあります。

情報を5W1Hで収集・整理する

過不足なく情報を収集・整理し、原因を特定するには、発生日時、発生場所、発災当事者、漏えい内容、漏えい原因、漏えいの流れ（5W1H）を念頭に置いて調査を行いましょう。上記の事実関係に抜け漏れがあると、被害の全容がわからなくなる恐れがあります。

二次被害の防止のための応急処置

被害拡大防止のため、原因やシチュエーションに応じて「ネットワークの遮断」「情報の隔離」「サービスの停止」「セキュリティソフトの更新」など応急処置を取りましょう。

また企業のIDとパスワードが流出した場合は、利用している全サービスのIDとパスワードを変更し、場合によってはクレジットカードの利用履歴などもチェックしましょう。

被害状況を調査する

不用意な操作を避ける

電子的な記録は、容易に改変されてしまうため、システム担当者が不適切な操作を行うと、情報漏えいや不正アクセスの痕跡が不可逆的に上書きされ、調査が困難になる恐れがあります。また民事裁判などで漏えい者を訴えたとしても、証拠データが改変されている場合、法廷に証拠を提出することが出来なくなってしまいます。

被害状況調査をフォレンジック専門業者と提携する

デジタルデータの情報漏えいが発覚した場合、企業はコンプライアンスにのっとり、被害実態の調査を行う必要があります。しかし、前述したようにデジタルデータは改ざんが容易なうえ、失われやすいです。企業内のシステム担当者がむやみに操作するのは控えましょう。

このような場合、デジタルデータから法的証拠を保全・収集・解析する「フォレンジック専門業者」と提携することで、最も適切かつ安全に被害調査を行うことが出来ます。

事後対応

漏えいの通知・報告

情報漏えいが発覚した場合、詳細な状況を迅速に関係者に伝える必要があります。

顧客本人、取引先、個人情報保護委員会への通知はもちろん、必要に応じ、警察、監督官庁、IPAへの報告・届出、ないしマスコミやホームページを介して公表も検討しましょう。

なお、どのようなルートで報告・通知を行うか、社内規程やプライバシーポリシーで策定されている場合、フローに沿って円滑に行いましょう。

内部職員の処分

従業員が情報を持ち出した場合は、当該従業員に対して、民法709条または不正競争防止法21条による民事上・刑事上の措置を講じられることもあります。

情報漏えいを起こした社員に対する処分する際、過去の裁判例から懲戒解雇の基準を満たしてることを確認しましょう。仮に情報漏えいがあったとして、悪意に基づかず、会社に実害が生じた形跡が認められない場合は、懲戒解雇が無効になることもあります。

被害者への損害補償

裁判所から被害者からの慰謝料請求が認められた場合、損害賠償金を補償する義務が生じます。なお、流出した個人情報が、プライバシー権侵害にかかわるセンシティブな内容になるほど損害賠償額が高額になる傾向があります。

有効な再発防止策を実施

今後同じことを繰り返さないように、従業員に対する教育を徹底し、データの取り扱いルールの策定、セキュリティシステムの導入・更新を欠かさず行い、情報漏えいの再発防止策の検討・実施に必要な措置を速やかに講じましょう。

情報漏えいによる被害調査は専門業者に相談する