お問い合わせ
企業の存続を脅かす情報漏えい。その多くは内部者による紛失や管理ミスなど、ささいな人的ミスです。しかし情報漏えいは企業の信頼低下に直結しやすく、顧客情報の損害賠償額は1件当たり6億円にのぼるという調査もあります(JNSA・2018年調べ)。
この記事では情報漏えいで想定される損害・被害事例などを紹介した後、企業がとるべき対応方法を解説します。
目次
情報漏えい・データ流出の原因
JNSAの調査によると、情報漏えいを起こす原因の約6割は「内部要因」であり、またその大半が「誤操作」「紛失」「置き忘れ」「管理ミス」などの⼈的ミスとされています。
始めから情報を盗むことを目的とした不正アクセスが原因となるのものは約2割程度ですが、不正アクセスによる情報漏えいは、人的ミスよりも大量に情報が漏えいする傾向があり、その分インシデントの被害も⼤きくなります。
参考:JNSA『2018年 情報セキュリティインシデントに関する調査報告書』より引用
企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もし、マルウェア・ランサムウェア感染、不正アクセス、社内不正、情報持ち出しのような情報セキュリティ上の問題が発生した場合、まずは感染経路や漏えいしたデータの有無などを確認することが重要です。
ただ、調査を行うには、デジタルデータの収集・解析などの専門技術が必要です。これは自社のみで対応するのが困難なため、個人情報の漏えいが発生した、もしくは疑われる場合は、速やかにフォレンジック専門家に相談し、調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
法人様は最短30分でWeb打ち合せ(無料)を設定
情報漏えい・データ流出で想定される損害
企業が顧客情報を漏えいすると、企業は次のような法的責任を問われることになります。
刑事上の罰則
個人情報保護法20・21条では「個人情報を扱う企業は、データの安全管理のために必要な措置を講じ、従業員に対する適切な監督を行わなければならない」と規定されています。
従業員による不手際で、顧客情報が漏えいした場合、企業は個人情報保護法違反によって行政的な監督や注意勧告の対象となります(命令違反で6ヶ月以下の懲役、または30万円以下の罰金)。また、従業員の不手際でなく、外部のハッカーによって情報漏えいが発生した場合も、企業は個人情報保護法に基づく「安全管理措置責任」を問われることになります。
民事上の罰則
顧客情報を漏えいすると、民事上の罰則が適用されることもあります。たとえば情報漏えいによる顧客が企業を相手取り、損害賠償請求を起こすこともあります。賠償金はケースによって異なりますが、顧客への賠償として一人当たり500円分の金券が配布されることがあります。一人当たりの賠償額は決して高くないものの、合計すると数千万円以上になる可能性もあり、金銭的に大きな被害を企業が被るのは言うまでもありません。
間接的な損害
顧客情報の漏えいが発覚すると、法的な賠償以外に様々な間接的損害が生じます。その最たる例が「社会的信用の低下」と「経済的な損失」です。
長い年月をかけ地道に培った社会的信用は、たった一度の情報漏えいで失われてしまいます。たとえば情報漏えいでブランドイメージに傷がつくと、マーケットシェアを他社に奪われ、顧客との取引停止や契約破棄につながりかねません。
情報漏えいによる経済的な損失も、1件あたり4億円超にのぼり(日経クロステック・2020年調べ)、損害賠償額の平均とあわせると、企業の全体的損失は、約10億円以上になります(売上低下は数年以上続く恐れがあるため、約10億円以上という額もあくまで目安に過ぎません)。このように、失墜した信用を取り戻すには、莫大な時間とコスト、そしてマイナスをカバーする惜しみない努力が必要となってしまうのです。
情報漏えい・データ流出で起きた被害事例
実際に情報漏えい・データ流出で起きた被害事例を紹介します。
CASE1/巧妙に遠隔操作で営業機密を持ち出し
2015年、家電量販の大手企業に勤めていた元社員が不正競争防止法違反(営業秘密の領得)の疑いで逮捕・起訴されました。
この元社員は退職前に遠隔操作ソフトを事務所のパソコンにインストールし、転職先から不正に営業秘密の情報を取得していたと言います。裁判長は持ち出したデータを「競合他社にとって利益をもたらす可能性が高い」として営業秘密に当たると判断。元社員は懲役2年、執行猶予3年、罰金100万円の有罪判決となりました。
CASE2/現職従業員等のミスによる漏えいも43.8%と増加中
2017年時点で、IPA(独立行政法人情報処理推進機構)の実態調査によると、2012年度調査では、営業秘密の流出者は、中途退職者が最多(50.3%)でした。また2016年度調査では、現職従業員等のミスによるものが最多(43.8%) となっており、うっかりミスが増えています。こうした内部者による情報流出は後を絶たず、企業の信頼失墜に発展しています。
CASE3/2895万件の顧客情報が流出し、社会的信用も失墜
2014年6月下旬に発覚した大手通信教育事業者の情報漏えい事件では、派遣社員のシステムエンジニアが、顧客情報を不正にコピーして名簿業者に渡していました。結果的に2895万件もの顧客情報が流出し、会員も減少するなど社会的信用は失墜しました。なお、この企業は補償に200億円もの大金を充てることになり、純利益は2年連続で赤字に陥りました。
情報漏えい・データ流出時の対応方法
漏えい情報の種類により必要な対応は異なる
漏えいした情報の種類に応じて、取るべき対応もそれぞれ異なってきます。
顧客など個人に関する情報
漏えいした情報に、顧客など個人情報が含まれている場合、個人情報保護法に準拠した対応が必要となります。特に個人情報保護法が改正される2022年4月以降は、情報漏えいが1件でも発生した場合、本人および個人情報保護委員会への通知が原則義務化されました。
また取引先の情報が含まれる場合は、取引先の意向に沿った対応も並行して行います。
公共性の高い情報
漏えいした情報に公共性・公益性の高い情報が含まれている場合は、監督官庁に報告したり、マスコミなど情報開示する必要があります。
企業情報の場合
組織の技術や知的財産が漏えいした場合は、その内容に応じた経営判断を行います。
初動対応 /応急処置
情報漏えい発覚後、漏えい件数に関わらず、被害拡大防止のため、次の対応を迅速に取りましょう。たとえ1件の情報漏えいでも、あくまでそれは氷山の一角に過ぎないからです。
責任者を決め、対応チームを構築する
漏えい情報の管理責任者は、漏えいの発覚後、関係する人物や組織を洗い出したり、場合によっては対応チームを編成するなど、具体的なプロジェクトとして対応を推し進める必要があります。仮に、責任者やスケジュールを定めず、なし崩し的に調査してしまうと、情報を取りこぼしたり、被害の全容が把握できなくなったする恐れがあります。
情報を5W1Hで収集・整理する
過不足なく情報を収集・整理し、原因を特定するには、発生日時、発生場所、発災当事者、漏えい内容、漏えい原因、漏えいの流れ(5W1H)を念頭に置いて調査を行いましょう。上記の事実関係に抜け漏れがあると、被害の全容がわからなくなる恐れがあります。
二次被害の防止のための応急処置
被害拡大防止のため、原因やシチュエーションに応じて「ネットワークの遮断」「情報の隔離」「サービスの停止」「セキュリティソフトの更新」など応急処置を取りましょう。
また企業のIDとパスワードが流出した場合は、利用している全サービスのIDとパスワードを変更し、場合によってはクレジットカードの利用履歴などもチェックしましょう。
被害状況を調査する
不用意な操作を避ける
電子的な記録は、容易に改変されてしまうため、システム担当者が不適切な操作を行うと、情報漏えいや不正アクセスの痕跡が不可逆的に上書きされ、調査が困難になる恐れがあります。また民事裁判などで漏えい者を訴えたとしても、証拠データが改変されている場合、法廷に証拠を提出することが出来なくなってしまいます。
被害状況調査をフォレンジック専門業者と提携する
デジタルデータの情報漏えいが発覚した場合、企業はコンプライアンスにのっとり、被害実態の調査を行う必要があります。しかし、前述したようにデジタルデータは改ざんが容易なうえ、失われやすいです。企業内のシステム担当者がむやみに操作するのは控えましょう。
このような場合、デジタルデータから法的証拠を保全・収集・解析する「フォレンジック専門業者」と提携することで、最も適切かつ安全に被害調査を行うことが出来ます。
事後対応
漏えいの通知・報告
情報漏えいが発覚した場合、詳細な状況を迅速に関係者に伝える必要があります。
顧客本人、取引先、個人情報保護委員会への通知はもちろん、必要に応じ、警察、監督官庁、IPAへの報告・届出、ないしマスコミやホームページを介して公表も検討しましょう。
なお、どのようなルートで報告・通知を行うか、社内規程やプライバシーポリシーで策定されている場合、フローに沿って円滑に行いましょう。
内部職員の処分
従業員が情報を持ち出した場合は、当該従業員に対して、民法709条または不正競争防止法21条による民事上・刑事上の措置を講じられることもあります。
情報漏えいを起こした社員に対する処分する際、過去の裁判例から懲戒解雇の基準を満たしてることを確認しましょう。仮に情報漏えいがあったとして、悪意に基づかず、会社に実害が生じた形跡が認められない場合は、懲戒解雇が無効になることもあります。
被害者への損害補償
裁判所から被害者からの慰謝料請求が認められた場合、損害賠償金を補償する義務が生じます。なお、流出した個人情報が、プライバシー権侵害にかかわるセンシティブな内容になるほど損害賠償額が高額になる傾向があります。
有効な再発防止策を実施
今後同じことを繰り返さないように、従業員に対する教育を徹底し、データの取り扱いルールの策定、セキュリティシステムの導入・更新を欠かさず行い、情報漏えいの再発防止策の検討・実施に必要な措置を速やかに講じましょう。
情報漏えいによる被害調査は専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセス、社内不正、情報持ち出しのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\累計3.2万件の相談実績 24時間365日無料相談OK!/
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
