スマホからの個人情報流出対策として企業が取り組むべきセキュリティ対策｜法人携帯テレニシ.biz

1.個人情報漏えいによるリスク

企業が個人情報を漏えいしてしまった場合、さまざまなリスクが発生するおそれがあり、重大な損害をもたらす可能性があります。こうしたリスクを回避するためにも、まずはどのようなリスクがあるのかを想定しておくことが大切です。

ここでは個人情報漏えいを発生させた場合に、企業が想定しておくべきリスクについて紹介します。

(1)刑事罰を受ける

たとえば顧客名簿データを記録したUSBメモリを持ち出して電車の中で紛失した場合、個人情報の漏えいに対して、個人情報保護法に基づいて措置命令が出される可能性があります。

この措置命令に対して適切に対応しないと、刑事罰を受けるので注意が必要です。令和2年個人情報保護法改正にともない「6か月以下の懲役または30万円以下の罰金」から「1年以下の懲役または100万円以下の罰金」へと罰則が強化されています。

また、改正法施行により、個人情報流出のペナルティはより強化されました。
法人の代表者または法人もしくは人の代理人、使用人その他の従業者が、その法人または人の業務に関して、措置命令違反をした場合、改正個人情報保護法では1億円以下の罰金刑が科せられます。

(2)損害賠償責任の発生

情報流出が発生すると、企業は民事上の損害賠償責任を負います。損害賠償額は、流出情報の内容・範囲、実際の損失の有無や企業の事後対応が適切だったかが考慮されるので、事例ごとに大きく異なるのがポイントです。

過去の事例では、1人あたり1,000円から35,000円ほどの損害賠償額の支払いが命じられたケースがありました。お詫び状のほか、場合によっては金券を送付するなど謝罪コストがかかるうえ、流出件数が多ければ莫大な損害賠償額の支払いとなり経営に大きな影響を与えます。

(3)社会的信用の低下

ECサイトに登録されたクレジットカード番号や病院の診療記録などの個人データが漏えいすると、要配慮個人情報が含まれる個人データの漏えい等（またはそのおそれ）に該当します。「要配慮個人情報」とは、不当な差別、偏見その他の不利益が生じないように取扱いに配慮を要する情報として、個人情報保護法に定められた情報です。不安を与えたり、実際に不正利用によって被害者が出たりするので、企業は信頼を失い社会的信用は大きく低下するでしょう。

顧客や取引先から問い合わせや苦情の連絡が入り、対応に追われて業務に集中できなくなってしまうことも考えられます。また、問い合わせや苦情への対応により、社員のモチベーションも低下してしまう可能性があるでしょう。場合によっては個人情報漏えいをきっかけに離職者の増加につながるおそれもあります。

(4)なりすまし・不正利用の発生

メールアドレスやID・パスワードなども個人情報に該当し、これらのデータが流出すると、なりすましや不正利用の被害が発生する可能性があります。

クレジットカードが不正利用されたりするほか、最近ではSNSのアカウントの乗っ取りやWebサイトの改ざん、ウイルス感染を狙って実在する企業の社員になりすましてメールが社外へ配信される手口もあるようです。

(5)ランサムウェア・マルウェア感染

ランサムウェアと呼ばれるマルウェア（悪意のあるソフトウェアや悪質なコード）の脅威が増しています。IPA（情報処理推進機構）は、2022年3月に、法人が1番注意すべき脅威として｢ランサムウェア｣を1位として発表しました。

ランサムウェアはパソコンなどの端末やソフトウェアの脆弱性を悪用するもので、その感染経路としてよく用いられているのが「なりすましメール」の送信です。

具体的な被害事例の1つとして、メールに記載されたURLを安易にクリックしてランムウェアをダウンロードしてしまう手法が挙げられます。不審な外部の宛先からのメールやURLには確認が必要だと、社内で注意を喚起することが大切です。

2.個人情報漏えいが起きる原因

2023年の東京商工リサーチが発表した「2023年の【個人情報漏えい・紛失事故】が年間最多件数175件、流出・紛失情報も最多の4,090万人分」では、情報漏えいの原因がまとめられています。

ここでは「過失」「故意」「サイバー攻撃」の3つの観点から、個人情報漏えいの原因について見ていきましょう。

(1)過失による個人情報漏えい

2023年の東京商工リサーチの報告書では、情報漏えいの原因が過失によるものが原因の中でも上位を占めています。

• 誤表示・誤送信
• 紛失・誤廃棄
• 盗難

それぞれの原因について詳しく解説していきましょう。

誤表示・誤送信

スマホから個人情報が流出してしまう原因として起こりやすいのが、「誤表示・誤送信」です。たとえば、メールで顧客の情報を送信する際、メールアドレスが誤っており関係のない人へ送信してしまうなどのケースがあります。また、画像に位置情報が記録されており、そのままSNSに投稿したことで個人情報の漏えいにつながる可能性もあるでしょう。

ユーザーがWebサイトにログインした際、なぜか他人のマイページが表示されてしまい、個人情報が表示されてしまう事故などが誤表示になります。誤表示・誤送信は過失による個人情報漏えいの中でもとくに起こりやすいもので、2023年の情報漏えい・紛失事故175件中43件（24.5％）は誤表示・誤送信が原因でした。

紛失・誤廃棄

個人情報漏えいの原因に、紛失や誤廃棄もあります。スマホそのものをなくした結果、個人情報の流出につながったケースは少なくありません。

また、スマホ以外にもHDD・USBといった記録媒体を社外に持ち出したことで紛失につながったケースもあります。近年は、テレワークやノマドワークなど柔軟な働き方を取り入れる企業も増えており、スマホや記録媒体などを紛失するリスクは高まっています。

ほかにも、書類の誤廃棄によって個人情報漏えいにつながる可能性もあるでしょう。たとえば、廃棄する予定のPCに個人情報を残したまま処分してしまったり、廃棄前の情報選別が不十分で、必要な個人情報まで廃棄したりするなどが挙げられます。

盗難

顧客の個人情報が入ったスマホを社外に持ち出したことで、盗難の被害に遭うリスクもあります。万が一盗難されたとしても、ロック機能があるから安心と捉えている人もいるかもしれません。しかし、場合によっては画面ロックが解除されてしまう可能性もあります。

盗難被害で考えられる事例としては、スマホの置き引きや社用車の車上荒らしなどが挙げられます。とくに、飲食店やカフェなどで仕事をしたあと、店を出るときにスマホを忘れてしまい盗難被害に遭うケースもあるでしょう。

(2)故意による個人情報漏えい

個人情報へのアクセス権限を持つ社員が、故意に個人情報を流出させてしまう場合もあります。

• 不正な情報の持ち出し
• 内部犯罪・内部不正行為

故意による個人情報の漏えいを防ぐためにも、企業として原因を把握し、対策を取っていかなくてはなりません。

不正な情報の持ち出し

顧客の個人情報が入ったスマホを社外へ持ち出すことで、紛失や盗難などのリスクが高まります。そのため、端末の持ち出しに関してルールを設けている企業も少なくありません。

たとえば、「許可された端末しか持ち出してはいけない」「端末を社外に持ち出す場合は必ず上長から承諾を得なくてはならない」などです。しかし、こういったルールがあるにもかわらず勝手に持ち出してしまい、紛失・盗難に遭う可能性もあります。

また、働き方改革によって残業ができなくなり、仕事を自宅へ持ち帰るのが常態化している職場でも、不正な情報の持ち出しが行われるケースは多く、対策が必要です。

内部犯罪・内部不正行為

いくら外部からの不正アクセスを防ぐセキュリティ対策を強化しても、社内の人間によって個人情報が持ち出されてしまっては意味がありません。たとえば2022年12月には、大手通信会社に勤めていた元社員が、営業秘密を転職先の企業へ不正に持ち出したとして有罪判決を受けています。

こうした内部犯罪・内部不正行為は、以下3つの条件が揃うと起きやすいといわれています。

• 情報を入手できる機会
• 内部犯行に及ぶ動機
• 内部犯行を行う理由の正当化

条件を揃えないためにも、内部のセキュリティ対策も必須です。

(3)サイバー攻撃による個人情報漏えい

2023年の情報漏えい・紛失事故の総数175件のうち、ウイルス感染・不正アクセスは93件（53.1％）で半数以上を占めていることがわかっています。企業は顧客の個人情報を守るためにも、サイバー攻撃について理解することが大切です。

社内システム・サーバーへの攻撃

個人情報を管理する社内システムやサーバーを攻撃されたことで、個人情報が漏えいする場合もあります。

社内システムやサーバーへの攻撃方法や侵入経路は多岐にわたります。たとえば、サーバーと通信の橋渡しを行うゲートウェイを狙い、社内システムへの侵入を試みる場合もあるでしょう。また、Webサイトの管理が不十分だった場合に以下のような攻撃を受けてしまうリスクもあるため注意が必要です。

左右にスライドすると表を見ることができます

VPN機器による攻撃

VPN機器は、安全でプライベートな通信を行うために用いる機器です。VPN機器を利用することで通信データが暗号化され、外部からの窃取やデータ改ざんの保護につながります。しかし、不正アクセス・情報漏えいなどのリスクを防ぐVPN機器も、セキュリティ構築が十分でないと攻撃を受けてしまう可能性があるでしょう。

たとえば、VPN機器の脆弱性を狙い、サイバー攻撃を仕掛けられた事例もすでに発生しています。これは、VPN機器を導入した企業でアップデート対応が遅れており、脆弱性の弱いまま運用していたことが原因でした。

また、公衆Wi-FiからVPN接続を行った場合、不正アクセスポイントやスニファリング攻撃を受け、送信した個人情報が盗み見られてしまう可能性もあります。

リモートデスクトップ機能つきのデバイスによる攻撃

リモートデスクトップは、遠方にあるコンピューターを操作したり、他のユーザーと画面を共有できたりする機能です。リモートデスクトップはテレワークなどでも活用されていますが、サイバー攻撃を受けてしまう危険性があることを理解しておかなくてはなりません。

そもそもリモートデスクトップは、接続したコンピューターで任意の操作を実行する権限を与えているため、万が一サイバー攻撃に遭ってしまった場合、デバイスを乗っ取られてしまうリスクがあります。また、デバイスに保存されていたID・パスワードなどの情報漏えいや、ランサムウェアの感染源になる可能性も高いです。

3.企業が今すぐはじめられるスマホのセキュリティ対策

ここでは、情報漏えいを防ぐセキュリティ対策方法について見ていきましょう。

(1)社用携帯に対する対策

スマートフォンを社用携帯として導入している企業も多いでしょう。ここでは社用携帯に対する5つの対策方法をご紹介します。

1.公衆Wi-Fiを使わない

不特定多数の人が利用する公衆Wi-Fiには、さまざまなリスクが潜んでいます。そのため、たとえお店が正規に提供していても、暗号化されていない公衆Wi-Fiは使わないことがリスク回避のために大切です。

暗号化されているWi-Fiには、Wi-Fi名（SSID名）に錠前マークがついています。この錠前マークは、通信が暗号化されている証になります。

通信が暗号化されていないWi-Fiに接続した場合、通信内容が覗き見されたり、公衆Wi-FiのSSIDに偽装した「なりすましアクセスポイント」を知らないうちに利用し、個人情報が漏えいすることがあります。

2.適宜アップデートを行う

ブラウザをはじめ、OS・アプリケーションやソフトウェアは定期的にアップデート（更新）することが漏えい対策につながります。

脆弱性が発見されると、解消するためのセキュリティパッチ（追加プログラム）が配布されるからです。社内ルールを規定するなどして、定期的にOS・ソフトウェアのアップデートを実施して最新の状態に保つようにしましょう。

3.画面ロック・パスワードを設定する

社用携帯を貸与されたら、情報漏えいのリスクを最小限にとどめるため、画面ロックやパスワードを設定するようにしましょう。なお、単にパスワードを設定するのみでは不十分です。以下のポイントを取り入れ、推測されにくいパスワードを設定することが大切です。

• 推測されやすいパスワード（生年月日・住所・単純な数字の羅列）を避ける
• 桁数が多いものにする
• 英数大小文字を含むものにする　など

万が一誰でも操作できる状態の社用携帯が紛失・盗難にあったら、悪意のある第三者が社内ネットワークにアクセスしたり、機密情報(個人情報や顧客情報含む)が漏えいするリスクが高まるからです。

4.セキュリティ対策アプリを入れる

社用携帯で、ビジネス利用に最適なセキュリティソフトを活用することも検討しましょう。

たとえばソフトバンクであれば、「スマートフォン法人基本パック」を提供しています。各キャリアが提供しているセキュリティ管理策を活用して、万が一のケースでも慌てないようにセキュリティ面を強化しておくのがおすすめです。

5.端末・パスワードの使いまわしをしない

端末の管理やセキュリティへの意識が甘くなるので、社内で社用携帯の使い回しをするのはやめましょう。個人情報の漏えい対策をするなら、社員1人に1台の社用携帯を貸与するのがおすすめです。

また、パスワードの使いまわしにも注意が必要です。パスワードを使いまわすことで「パスワードリスト攻撃」を受けてしまうおそれがあります。

パスワードリスト攻撃とは、犯罪者が不正に入手したアカウントIDやパスワードのリストを活用し、不正アクセスを行うサイバー攻撃です。万が一社用携帯のパスワードをすべて統一していた場合、すべてのスマホで不正アクセスを受けてしまうかもしれません。こうした事態を防ぐためにも、パスワードの使いまわしは行わないようにしましょう。

(2)内部不正に対する対策

内部不正に対する対策としては、社内ネットワークに保存されている共有データに、アクセス・コントロールを実施するなどが考えられます。

メールやUSBメモリなどへのデータのコピーを禁止したり、許可されていない端末を社内の端末に接続させたりしないなどの対策が可能です。

個人情報流出に関する教育を行う

企業にとって、個人情報の漏えいは金銭的な被害に加え、顧客からの信用も失ってしまうなどの二次被害が発生するおそれもあります。しかし、いくら経営者が気を付けていたとしても、従業員一人ひとりに「個人情報が流出する危険性がある」という意識がなければ、漏えいする可能性が出てくるでしょう。

そのため、個人情報流出に関する教育を実施し、社内のリテラシーを高めていくことが重要です。たとえば、セキュリティポリシーや実施要領の策定などが挙げられます。単に資料を渡して方針を伝えるだけではなく、きちんとポリシーに則って行動してもらえるよう、意識を高めるための取り組みが必要です。

端末管理を徹底する

現代のビジネスには、PCだけでなくスマホも活用されており、社用端末を所有する企業も多いです。そのため、端末を適切に管理しておかないと、個人情報の漏えいにつながるおそれがあります。

端末管理にもさまざまな方法がありますが、近年はMDM（モバイル端末管理）ツールなどが活用されています。MDMツールは社用端末を一括で管理し、セキュリティ強化を図るためのツールです。導入することで、グループ単位または個別で管理でき、異常がないかを迅速に確認できるでしょう。

また、MDMツールを活用することで、端末の使用を監視できる点も大きな強みです。たとえば、従業員が勝手にアプリをインストールした結果、マルウェアに感染してしまうといったリスクを防げます。

不要な持ち出しを禁止にする

上でも解説したように、社用のスマホを不要に持ち出してしまうことで、紛失や盗難のリスクが高まります。このようなリスクをなくすためには、不要な持ち出しを禁止にするルールを策定しましょう。

一切の持ち出しを禁止にするのではなく、不要な持ち出しを禁止にするのがポイントです。もし業務で必ず使用するのであれば、端末を持ち出す際にあらかじめ上長から承諾を得るような体制を作ります。

また、持ち出しOKの端末と持ち出しできない端末に分けるのも1つの方法です。自社の業務に合ったルールを策定してください。

守秘義務に関する契約を結ぶ

個人情報の漏えいを防ぐために、従業員と守秘義務に関する契約を結ぶことも検討してください。原則業務上で得た情報は口外しないものですが、中には誰かに喋ってしまう人もいるでしょう。しかし、書面で口外しないことを契約することで、従業員一人ひとりの情報に対する認識を整えることが可能です。

守秘義務に関する契約は、「秘密保持契約書」が用いられます。この契約書は、従業員と企業でやり取りしている秘密情報を、第三者に流出しないために締結される書類です。契約を結ぶ際は雇用形態に関係なく、パート・アルバイトなどの非正規社員に対しても実施するようにしましょう。

(3)不正アクセスに対する対策

外部から社内のネットワークに不正アクセスをさせない方法としては、ファイアウォール・UTMなどを用いた不正アクセスの遮断が有効です。

ファイアウォールとは、インターネットを介して外部から侵入してくる不正なアクセスをブロックするためのシステムです。インターネットの普及にともない、多種多様な情報に容易にアクセスすることが可能になりましたが、その反面、インターネット経由での外部からの不正アクセスの危険性が高まりました。そこで、コンピューターを不正アクセスから守るためにファイアウォールが開発されました。

また、WAF（ワフ：ウェブアプリケーションファイアウォール）などのセキュリティソフトの導入・更新も効果的です。WAFを導入すれば、アプリケーションの脆弱性を悪用したサイバー攻撃の対策ができます。

4.スマホのおすすめセキュリティ対策システム

ここでは、おすすめのセキュリティ対策システムを、次のとおり3つご紹介します。

1. ビジネス・コンシェル デバイスマネジメント（BCDM）
2. LANSCOPE エンドポイントマネージャー クラウド版
3. Zimperium MTD™

では、それぞれについて見ていきましょう。

(1)ビジネス・コンシェル デバイスマネジメント（BCDM）

ビジネス・コンシェル デバイスマネジメントは、ソフトバンクが自社開発したクラウド型のMDMです。

社員にさまざまなデバイスを貸与している企業なら、モバイルとPC一括管理できるビジネス・コンシェル デバイスマネジメントを導入すると業務効率化につながります。社用携帯の私用利用を防止するなど、情報漏えい対策も可能です。

(2)LANSCOPE エンドポイントマネージャー クラウド版

LANSCOPE エンドポイントマネージャー クラウド版は、クラウド型IT資産管理・MDMツールです。操作ログの管理などWindowsの管理からiOS・Android管理まで、デバイスの種類を問わずに管理できます。

通信キャリアやOSが混在していても、管理しているIT資産の台帳を自動作成可能です。設定したルールに従ってアラートを設定すれば、適切に利用されているか管理画面で確認できます。

(3)Zimperium MTD™

Zimperium（ジンペリウム）MTD™は、モバイル端末向けに開発されたセキュリティアプリです。AIを搭載しており、iOS、Android端末にインストールすれば、デバイス・ネットワークに対する脅威をチェックしてくれます。

まとめ：スマホからの個人情報流出対策を進めよう！

本記事では、個人情報の漏えいが発生すると想定されるリスクや情報流出の原因、個人情報漏えい対策について解説しました。

従来から守秘義務を徹底して企業活動を行っているはずですが、個人情報保護法のもとでは顧客の了解のもと個人情報を取り扱っている意識も持ち合わせることが大切です。

弊社では、法人様向けサービスとしてMDMやセキュリティアプリをご用意しております。個人情報漏えい対策を強化されたい法人様は、お気軽に弊社までお問い合わせくださいませ。