個人情報漏洩の対策は万全ですか?企業が取り組むべきセキュリティ対策|法人携帯テレニシ.biz

個人情報漏洩の対策は万全ですか?企業が取り組むべきセキュリティ対策

個人情報漏洩の対策は万全ですか?企業が取り組むべきセキュリティ対策

改正個人情報保護法が2022年4月1日に施行され、事業者は個人の権利や利益を保護する必要性がより高まりました。情報漏えいが起きた場合には、事業者は個人情報保護委員会に報告しなければなりません。

下記の要件に該当する情報漏えいが起きた場合には、事業者は個人情報保護委員会への漏えい等報告が義務付けられています。


  1. 要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)
  2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)
  3. 不正の目的をもって行われたおそれがある個人データの漏えい等(又はそのおそれ)
  4. 個人データに係る本人の数が1,000人を超える漏えい等(又はそのおそれ)※民間事業者
    個人データに係る本人の数が100人を超える漏えい等(又はそのおそれ)※行政機関等

本記事では、個人情報漏洩によるリスクや発生する原因、情報漏えい防止に向けたセキュリティ対策について解説します。

1.個人情報漏洩によるリスク

ここでは個人情報漏洩を発生させた場合に、企業が想定しておくべきリスクについて紹介します。

(1)刑事罰を受ける

たとえば顧客名簿データを記録したUSBメモリを持ち出して電車の中で紛失した場合、個人情報の漏えいに対して、個人情報保護法に基づいて措置命令が出される可能性があります。


この措置命令に対して適切に対応しないと、刑事罰を受けるので注意が必要です。令和2年個人情報保護法改正にともない「6か月以下の懲役または30万円以下の罰金」から「1年以下の懲役または100万円以下の罰金」へと罰則が強化されています。

また、改正法施行により、個人情報流出のペナルティはより強化されました。
法人の代表者または法人もしくは人の代理人、使用人その他の従業者が、その法人または人の業務に関して、措置命令違反をした場合、改正個人情報保護法では1億円以下の罰金刑が科せられます。

(2)損害賠償責任の発生

情報流出が発生すると、企業は民事上の損害賠償責任を負います。損害賠償額は、流出情報の内容・範囲、実際の損失の有無や企業の事後対応が適切だったかが考慮されるので、事例ごとに大きく異なるのがポイントです。


過去の事例では、1人あたり1,000円から3万5千円ほどの損害賠償額の支払いが命じられたケースがありました。お詫び状のほか、場合によっては金券を送付するなど謝罪コストがかかるうえ、流出件数が多ければ莫大な損害賠償額の支払いとなり経営に大きな影響を与えます。

(3)社会的信用の低下

ECサイトに登録されたクレジットカード番号や病院の診療記録などの個人データが漏えいすると、要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)に該当します。「要配慮個人情報」とは、不当な差別、偏見その他の不利益が生じないように取扱いに配慮を要する情報として、個人情報保護法に定められた情報です。不安を与えたり、実際に不正利用によって被害者が出たりするので、企業は信頼を失い社会的信用は大きく低下するでしょう。


顧客や取引先からの問い合わせや苦情の連絡が入り、対応に追われて業務に集中できないため、社員のモチベーションも低下してしまいます。

(4)なりすまし・不正利用の発生

メールアドレスやID・パスワードなども個人情報に該当し、これらのデータが流出すると、なりすましや不正利用の被害が発生する可能性があります。


クレジットカードが不正利用されたりするほか、最近ではSNSのアカウントの乗っ取りやWebサイトの改ざん、ウイルス感染をねらって実在する企業の社員になりすましてメールが社外へ配信される手口もあるようです。

(5)ランサムウェア・マルウェア感染

ランサムウェアと呼ばれるマルウェア(悪意のあるソフトウェアや悪質なコード)の脅威が増しています。IPA(情報処理推進機構)は、2022年3月に、法人が1番注意すべき脅威として「ランサムウェア」を1位として発表しました。


ランサムウェアはパソコンなどの端末やソフトウェアの脆弱性を悪用するもので、その感染経路としてよく用いられているのが「なりすましメール」の送信です。


具体的な被害事例の1つとして、メールに記載されたURLを安易にクリックしてランムウェアをダウンロードしてしまう手法が挙げられます。不審な外部の宛先からのメールやURLには確認が必要だと、社内で注意を喚起することが大切です。

2.個人情報漏洩が起きる原因

2021年の東京商工リサーチの報告書が発表した「場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件574万人分(2021年)」では、情報漏えいの原因がまとめられています。

 

ここでは「過失」「故意」「サイバー攻撃」の3つの観点から、個人情報漏洩の原因について見ていきましょう。

(1)過失による個人情報漏洩

2021年の東京商工リサーチの報告書によると、以下のようなものが個人の過失による情報漏えいの原因上位です。


  • 誤表示・誤送信
  • 紛失・誤廃棄
  • 盗難

2021年の情報漏えい・紛失事故のうち、原因別は「ウイルス感染・不正アクセス」が最多ですが、上記のヒューマンエラーも多くの割合を占めています。

ヒューマンエラーによる被害を未然に防ぐルールづくりはもちろん、徹底した遵守を社内で呼びかけましょう。

(2)故意による個人情報漏洩

重要な個人データにアクセス権限を持つ社員などによる「不正な情報の持ち出し」や「内部犯罪・内部不正行為」は頭の痛い問題です。


社内の従業員の故意による情報漏えい対策には、かなりの対策コストがかかります。

(3)サイバー攻撃による個人情報漏洩

2021年の情報漏えい・紛失事故の137件のうち、原因別は「ウイルス感染・不正アクセス」が最も多く、情報漏えい・紛失事故の原因のおよそ半数を占めています。

なお、膨大な個人情報データに不正アクセス等の手段でアクセスするサイバー犯罪は、被害の大きさ・影響の度合いが非常に高く、年々増加の一途をたどっています。

たとえば次のような機器・システムの脆弱性などがターゲットにされているので注意が必要です。


  • 社内システム・サーバー
  • 通信内容の覗き見を防止する「VPN機器」
  • 社外からアクセス可能な「リモートデスクトップ」機能つきのデバイス

3.今すぐはじめられるセキュリティ対策

ここでは、情報漏えいを防ぐセキュリティ対策方法について見ていきましょう。

(1)社用携帯に対する対策

スマートフォンを社用携帯として導入している企業も多いでしょう。ここでは社用携帯に対する5つの対策方法をご紹介します。

公衆Wi-Fiを使わない

不特定多数の人が利用する公衆Wi-Fiには、さまざまなリスクが潜んでいます。そのため、たとえお店が正規に提供していても、暗号化されていない公衆Wi-Fiは使わないことがリスク回避のために大切です。

暗号化されているWi-Fiには、Wi-Fi名(SSID名)に錠前マークがついています。この錠前マークは、通信が暗号化されている証になります。


通信が暗号化されていないWi-Fiに接続した場合、通信内容が覗き見されたり、公衆Wi-FiのSSIDに偽装した「なりすましアクセスポイント」を知らないうちに利用し、個人情報が漏えいすることがあります。

適宜アップデートを行う

ブラウザをはじめ、OS・アプリケーションやソフトウェアは定期的にアップデート(更新)することが漏えい対策につながります。

脆弱性が発見されると、解消するためのセキュリティパッチ(追加プログラム)が配布されるからです。社内ルールを規定するなどして、定期的にOS・ソフトウェアのアップデートを実施して最新の状態に保つようにしましょう。

画面ロック・パスワードを設定する

社用携帯を貸与されたら、情報漏えいのリスクを最小限にとどめるため、画面ロックやパスワードを設定するようにしましょう。なお、単にパスワードを設定するのみでは不十分です。推測されやすいパスワード(生年月日・住所・単純な数字の羅列)を避ける・桁数が多いものにする・英数大小文字を含むものにするなど、推測されにくいパスワードを設定することが大切です。


万が一誰でも操作できる状態の社用携帯が紛失・盗難にあったら、悪意のある第三者が社内ネットワークにアクセスしたり、機密情報(個人情報や顧客情報含む)が漏えいするリスクが高まるからです。

セキュリティ対策アプリを入れる

社用携帯で、ビジネス利用に最適なセキュリティソフトを活用することも検討しましょう。


たとえばソフトバンクであれば、「スマートフォン法人基本パック」を提供しています。各キャリアが提供しているセキュリティ管理策を活用して、万が一のケースでも慌てないようにセキュリティ面を強化しておくのがおすすめです。


端末の使いまわしをしない

端末の管理やセキュリティへの意識が甘くなるので、社内で社用携帯の使い回しをするのはやめましょう。個人情報の漏えい対策をするなら、社員1人に1台の社用携帯を貸与するのがおすすめです。

(2)内部不正に対する対策

内部不正に対する対策としては、社内ネットワークに保存されている共有データに、アクセス・コントロールを実施するなどが考えられます。

 

メールやUSBメモリなどへのデータのコピーを禁止したり、許可されていない端末を社内の端末に接続させたりしないなどの対策が可能です。

(3)不正アクセスに対する対策

外部から社内のネットワークに不正アクセスをさせない方法としては、ファイアウォール・UTMなどを用いた不正アクセスの遮断が有効です。


ファイアウォールとは、インターネットを介して外部から侵入してくる不正なアクセスをブロックするためのシステムです。インターネットの普及にともない、多種多様な情報に容易にアクセスすることが可能になりましたが、その反面、インターネット経由での外部からの不正アクセスの危険性が高まりました。そこで、コンピューターを不正アクセスから守るためにファイアウォールが開発されました。


また、WAF(ワフ:ウェブアプリケーションファイアウォール)などのセキュリティソフトの導入・更新も効果的です。WAFを導入すれば、アプリケーションの脆弱性を悪用したサイバー攻撃の対策ができます。

4.おすすめのセキュリティ対策システム

ここでは、おすすめのセキュリティ対策システムを、次のとおり3つご紹介します。


  1. ビジネス・コンシェル デバイスマネジメント(BCDM)
  2. LANSCOPE クラウド版
  3. Zimperium zIPS™

では、それぞれについて見ていきましょう。

(1)ビジネス・コンシェル デバイスマネジメント(BCDM)

ビジネス・コンシェル デバイスマネジメントは、ソフトバンクが自社開発したクラウド型のMDMです。


社員にさまざまなデバイスを貸与している企業なら、モバイルとPC一括管理できるビジネス・コンシェル デバイスマネジメントを導入すると業務効率化につながります。社用携帯の私用利用を防止するなど、情報漏えい対策も可能です。


(2) LANSCOPE クラウド版

LANSCOPE クラウド版は、クラウド型IT資産管理・MDMツールです。操作ログの管理などWindowsの管理からiOS・Android管理まで、デバイスの種類を問わずに管理できます。


通信キャリアやOSが混在していても、管理しているIT資産の台帳を自動作成可能です。設定したルールに従ってアラートを設定すれば、適切に利用されているか管理画面で確認できます。


(3)Zimperium zIPS™

Zimperium(ジンペリウム) zIPS™は、モバイル端末向けに開発されたセキュリティアプリです。AIを搭載しており、iOS、Android端末にインストールすれば、デバイス・ネットワークに対する脅威をチェックしてくれます。

5.まとめ

本記事では、個人情報の漏えいが発生すると想定されるリスクや情報流出の原因、個人情報漏洩対策についてくわしく解説しました。


従来から守秘義務を徹底して企業活動を行なっているはずですが、個人情報保護法のもとでは顧客の了解のもと個人情報を取り扱っている意識も持ち合わせることが大切です。


弊社では、法人様向けサービスとしてMDMやセキュリティアプリをご用意しております。個人情報漏洩対策を強化されたい法人様は、お気軽に弊社までお問い合わせくださいませ。

【参考】
      

健康経営に取り組むメリットとは?
導入におすすめな商材も紹介! >

人気のお役立ち記事 月間ランキング

  • 1

    会社携帯、休日も対応すべき?電話がかかってきた時の適切な対処法とは
  • 会社携帯、休日も対応すべき?電話がかかってきた時の適切な対処法とは

    営業職であれば会社携帯を支給されて、日々の業務連絡や顧客対応のために利用している方も多いでしょう。せっかくの休日にもかかわらず取引先やクライアントから会社携帯に着信があった場合に、どのように対応すれば良いのでしょうか?休日の電話対応は、できるだけ避けたいものです。

  • 2

    会社携帯3大キャリアを徹底比較!本当はどこで契約するのがおすすめ?
  • 会社携帯3大キャリアを徹底比較!本当はどこで契約するのがおすすめ?

    あなたは自社に合った会社携帯の契約方法をご存知ですか?テレニシでは多くのお客様から「会社携帯の料金を見直したいがどのキャリアが一番安いのか」「LINE等アプリを使いたいがどのプランがお得なのか」「アフターフォローがしっかりしているキャリアはどこなのか」などご質問をいただきます。

  • 3

    LINE WORKSとLINEの違いについて徹底解説
  • LINE WORKSとLINEの違いについて徹底解説

    昨今のテレワーク推進により会社員の働き方が大きく変わり、在宅ワーク中の従業員・取引先との情報共有など、社内外の相手とのやりとりをより効率化するためのコミュニケーションツールとしてビジネスチャットツール「LINE WORKS」を導入する企業が増えています。

  • 4

    会社携帯の履歴はどこまで確認できるのか?
  • 会社携帯の履歴はどこまで確認できるのか?

    業務効率化を期待してスマホを会社携帯として社員に支給する場合、社員が法人携帯を使って業務とは関係ないSNSや動画の閲覧など私的利用する可能性を踏まえた対策をする必要があります。私的な電話・メールの使用やインターネットを利用した問題行動が起きている場合に、管理者側でどこまで履歴を確認できるのか使用状況の確認方法を知っておきたい、あるいはプライベートな利用を防ぐ対策をしておきたいとお考えの方も多いでしょう。

  • 5

    個人事業主の携帯料金は経費にできる?
  • 個人事業主の携帯料金は経費にできる?

    事業と生活の明確な区別がつけづらい個人事業主の方は、「何がどこまで経費になるのか?」「これは計上しても良いのか?」と迷うことが多々あるかと思います。事務所兼自宅となっている住居に関連する費用や、自家用車の車両費やガソリン代、そして、個人の携帯に関する費用などは、特に悩む方が多いのではないでしょうか。