情報漏えいの原因と防止策～原因と事例を学び、リスクが顕在化しない組織をつくる

情報漏えい対策を徹底するうえで重要なのは、「何が原因で漏えいが起きるのか」「どんな事例があったのか」を知ることです。組織に潜むリスクを「自分ごと化」し、対策の優先順位を明確にするために、実際の事例を踏まえて対策を考えましょう。

情報漏えいの原因４選

コンプライアンス違反が起きやすい組織環境

個人情報の漏えいの大きな原因のひとつが、コンプライアンス違反が起きやすい「組織風土」や「職場の仕組み」です。特に、個人×組織風土の掛け合わせで違反のリスクは大きくなります。
コンプライアンス違反を防止するには、教育・チェック体制・組織の風通しの良さがカギになります。

＜コンプライアンス違反が起きやすい組織風土＞

トップの無関心、形だけの姿勢
売上の成果や数字偏重の評価制度
通報しにくい雰囲気や環境
業務が属人化している

情報セキュリティ管理不足

情報セキュリティポリシーの軽視や、社員教育の不備により、情報漏えいが発生しています。コンプライアンス違反をおこさないために、どのようなことに気をつけるべきかを、実際の事例を知ることも重要です。

＜守るべき情報の種類＞

個人情報（顧客・社員など）
財務情報
機密情報（取引先情報、技術、契約書など）
内部情報（未公開情報、経営資料など）

＜情報セキュリティ管理不足による情報漏えいの事例＞

①社員による顧客情報の無断持ち出し
退職予定の社員が、顧客名簿をＵＳＢメモリーに保存して持ち出し、転職先の競合企業に提供した。

②ファイル共有設定ミスによる情報漏えい
クラウドストレージのファイル共有設定ミスにより、内部のメールやファイルが誰でも閲覧できる状態となり、社外の第三者が機密情報にアクセスできる状態となった。

③ランサムウェア攻撃後の報告義務違反
ランサムウェアに感染し、顧客データが暗号化され使用不能になったが、社内で隠蔽し、関係機関や顧客への報告を怠った。

ヒューマンエラー

個人情報の漏えいは、外部からの悪意のある攻撃などによる割合より、内部関係の「誤配達・誤交付」「誤送信」「紛失・減失・き損」といったヒューマンエラーが主な理由となっています。
個人情報保護の研修は一方的な知識の詰め込みだけでは不十分で、「なぜ守るのか」→「どう守るのか」→「自分の行動に落とし込む」という流れが大切です。

個人のＳＮＳ発信

ソーシャルメディア（ＳＮＳ）の発信による情報漏えいも含めたコンプライアンス違反が大きな問題になっています。特に最近は、個人の発信が企業全体の信頼を揺るがすケースが増えており、企業にとっては避けて通れないリスクになっています。
対策はどうすれば良いのか、企業や組織が取るべき具体策を検討する必要があります。

＜ソーシャルメディアによる情報漏えい・コンプライアンス違反の事例＞

①内部情報の漏えい
社員がＳＮＳで未発表の新商品情報を投稿した。上場企業の場合、未公開情報の発信はインサイダー取引規制や適時開示規則に抵触する可能性がある。

②著作権や肖像権の侵害
研修の様子を撮影し、投稿した結果、他人の顔が無断で映っていた。被写体の許可を得ずに投稿し、肖像権侵害のクレームになった。他にも使用していたＢＧＭが無断利用だった場合、著作権侵害に該当する可能性もある。

③誹謗中傷や差別的表現
外国人に対して差別的な投稿し、企業のブランドイメージが大きく損なわれ、店舗閉鎖や謝罪会見に発展した。

④不適切な行為の投稿
飲食業界などでの不適切な行為を写真撮影しＳＮＳに投稿した。食品衛生法違反や営業妨害として企業に損害が発生し、一時営業停止と投稿者には損害賠償請求も行われた。

⑤虚偽または誤解を招く広告（ステマ）
インフルエンサーが広告と明記せずに商品を紹介し、報酬を受け取って投稿していたにも関わらず、広告の表記なし。景品表示法違反（不当表示）とされ、企業に行政指導が入ることもある。