企業で管理している個人情報データ流出のニュースが、毎日のように報道されています。皆さんも耳にすることが多いのではないでしょうか。年々、その危険性の高まりが増している印象があり、不安に感じている人も少なくないでしょう。
顧客データのような、個人情報データが外部に漏洩してしまうと、データを管理している企業はもちろんのこと、流出したデータの当事者にも、さまざまな被害が及びます。
今回の本記事では、個人情報が流出した場合の被害内容を中心に、個人情報流出の概要・流出した際の対処・対策方法について解説します。
個人情報の流出といった脅威は、どこの企業・個人でも起こりえるものです。そのため、どなたにとっても役立つ情報であるため、ぜひ最後までお読みください。
個人情報とは?
個人情報は大切な情報であるため、「個人情報保護法」によって保護がなされています。個人情報保護法では、個人情報の定義は下記のとおりです。
「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。
これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます”。
引用:政府広報オンライン
たとえば、生年月日はそれだけでは特定の個人を識別できません。しかし、氏名と組み合わせることで特定の個人が識別できてしまうため、個人情報という扱いです。
また、番号・記号・符号などで、特定の個人を識別できてしまう情報も、個人情報に含まれます。たとえば、運転免許証番号・パスポート番号などが、それに該当します。
ここで肝心なことは、上記のような方法で個人が識別できる情報であれば、氏名、住所などの基本情報に限らず、購買情報や趣味、居場所、メッセージなど、その人に関する全ての情報が個人情報であるということです。
このように、個人情報として保護される情報は、広範囲にわたるものです。
個人情報が流出するとどうなるか?
次に、実際に個人情報が流出してしまった場合に、どのような問題が生じるかについて、「企業」「個人」向けに分けて紹介します。
企業に及ぼす問題
企業で管理されている顧客データなどの、個人情報が流出してしまったときには、大きく以下の3点の問題が起こります。
- 信頼が失墜する
- 経済的損失が発生する
- 刑事罰が適用される場合がある
それぞれの問題点について、詳しくみていきましょう。
信用が失墜する
個人情報が流出することによって、まず第一に顧客や取引先からに迷惑をかけてしまい、信用が失墜してしまうことがあります。たとえば、顧客離れが起きてしまい売上が減少してしまったり、取引先が取引相手を変えてしまい、商品の売買ができなくなったりする場合もあります。
一度落ちてしまった信用を取り戻すためには、多大なコストと時間がかかるため、個人情報を流失させてしまった企業は苦境に立たされ、深刻な問題となります。
このようなケースでは、トップが責任を問われる可能性も否定できません。
経済的損失が発生する
個人情報が流出し、その結果顧客に何らかの被害が発生した場合には、顧客から金銭的な補償が求められることもあります。大量の顧客データが流出し、多数の被害者が出てしまったときには、多額の補償が発生してしまう可能性があります。
また、個人情報の流出原因が特定されるまでの間、自社のシステムサービスを停止しなければならなくなる可能性もあります。このようになると、自社のビジネスを一時的にせよ停止しなければならなくなるわけですから、大きな経済的な損失が発生するでしょう。
他にも、被害者が自社に対して、裁判所に損害賠償請求を訴えた場合には、訴訟費用も発生します。
刑事罰が適用される場合がある
個人情報保護法によると、個人情報が流出してしまった場合には、個人情報保護委員会から報告徴収、立入検査が求められます。
個人情報保護委員会とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取り扱いの確保を図ることを任務とする、独立性の高い国家機関です。
個人情報保護委員会からの報告徴収・立入検査に応じなかったとき、および報告徴収に対して虚偽の報告がなされた場合には、刑事罰(50万円以下の罰金)が科せられる可能性があります。
その他にも、個人情報保護委員会の命令に対し、企業が違反した場合には、最高で1億円の罰金が科せられる可能性もあります。すでに個人情報保護法に違反しないことは、企業にとって見逃せないコンプライアンスの項目になっています。
個人に及ぼす問題
自分の個人情報が流出することによって生じる問題点は、以下の4点です。
- クレジットカードが不正利用される
- ID・パスワードが不正利用される
- 人種・信条・病歴などの特に秘匿性の高い情報が漏洩してしまう
- 何らかの犯罪に巻き込まれてしまう
それぞれの問題について、更に詳しく解説しましょう。
クレジットカードが不正利用される
クレジットカード番号や、有効期限・氏名などが流出してしまうと、悪意を持った第三者にクレジットカードを不正利用されてしまう可能性があります。
自分が知らないところで、カードが利用されてしまい、毎月の利用明細を見て初めて気づくといったことがありえます。
ID・パスワードが不正利用される
システムを利用するためには、ユーザーID(アカウント)・パスワードが必要です。これらの情報が流失してしまうことにより、本人になりすまし、システムを悪用されてしまう可能性があります。
たとえば、インターネットバンクでの取引が不正に行われて大金が引き出されてしまったり、機密性の高い情報を管理しているシステムに不正アクセスされることにより、重要なデータが閲覧・更新されてしまうといったリスクがあります。
人種・信条・病歴などの特に秘匿性の高い情報が漏洩してしまう
人種・信条や病歴などの情報は、個人にとってもっとも秘匿性の高い機密情報です。これらの情報が流出されてしまうことにより、プライバシーが侵害されたり、他人に知られたくない情報が閲覧されてしまうといった可能性もありえます。
何らかの犯罪に巻き込まれてしまう
氏名・住所・電話番号といった個人情報が流出することにより、犯罪に巻き込まれてしまう可能性もゼロではありません。
たとえば、ストーカー被害にあってしまう・詐欺にあってしまう・何らかの脅迫や嫌がらせをされてしまうといったことが考えられます。
個人情報が流出した場合の対処
万が一、個人情報が流出したことが分かった場合には、以下の5つの対処を組織的かつ適切に行っていく必要があります。
- 状況を把握する
- 個人情報保護委員会への報告・警察への被害届提出
- 原因を特定し、二次被害を食い止める
- 関係者への連絡を行う
- 会見を行い世間に公表をする
それぞれの対処法について、詳しく解説しましょう。
状況を把握する
最初に行うべきは、個人情報の流出状況および影響範囲を把握することです。ユーザーからの問い合わせや、システム監視中に個人情報の流出が発覚したときには、「流出データ内容の確認」「流出したことによる影響範囲の確認」を行います。
個人情報保護委員会への報告・警察への被害届提出
個人情報が流出した、またはその恐れがある場合には、その規模と内容によっては、発覚から5日以内に個人情報保護委員会に「速報」を行う必要がある場合があります。5日以内というのはとても短いですから、誰がどのように判断してどのように速報をするのかなど、全ての事業者は準備を行っておく必要があります。また、個人情報の流出原因が、外部からのサイバー攻撃であった場合や、内部関係者が悪意を持って流出させたときには、事件となるため、管轄の警察に被害届を提出しましょう。
原因を特定し、二次被害を食い止める
関係者への連絡と並行して、個人情報が流出してしまった箇所・流出原因の特定を行いましょう。一般的に顧客情報は、システムのデータベースに保管されています。そのため、システムのどの機能(例:データベース、ネットワーク・Wi-Fiなどの通信環境など)で、流出したのか調査が必要です。
流出した箇所が明らかになった後に、流出した原因の究明を行います。主な流出原因としては、「外部からのサイバー攻撃」「内部関係者による不正行為」「人為的ミス」の3つに分かれます。
外部からのサイバー攻撃としては、システムの脆弱性をつき、ランサムウェアやウイルスなどのマルウェアによって、データが流出してしまうケース等がありえるでしょう。また、年々その手口は巧妙化しているため、注意が必要です。
この時、自社だけで対応することが難しいと考えられる場合には、外部の専門会社に助けてもらうことが有益です。もちろん費用はかかりますが、それが自社のビジネスに与える重要性から判断していただきたいです。
関係者への連絡を行う
ある程度、詳細が分かった時点で、影響を受ける関係者に対して、連絡しましょう。その際には、「流出したデータ内容」「流出したことによる影響範囲」などを連絡するとよいでしょう。
会見を行い世間に公表をする
個人情報が流出することによって、一般消費者にも影響がおよぶ場合には、報道機関や官公庁を通じて、記者会見などで流出の公開・発表を行いましょう。
公表する内容としては、「個人情報の流出したデータ内容」「流出したことによる影響範囲」「個人情報が流出したことにより想定される実害」などが挙げられます。
個人情報流出の再発防止策検討
個人情報流出の再発を防止するためには、流出原因の調査・分析を踏まえて、再発防止策の検討・実行を徹底的に行う必要があります。
個人情報流出の再発防止策は、流出原因によって以下の3つに分けられます。
- 外部からのサイバー攻撃
- 内部関係者による不正行為
- 人為的ミス
それぞれの再発防止策のポイントを、詳しく解説しましょう。
外部からのサイバー攻撃
外部からの攻撃による個人情報流出の場合には、サーバーに導入したセキュリティ製品を活用することが重要です。素早く自動的に侵入経路を検知するとともに、コンソール画面へのメッセージ通知・攻撃遮断ができるような仕組みを構築すると良いでしょう。
また、サーバーやパソコンのOSを常に最新の状態にしておくことや、データベース内のデータを暗号化しておくことも、攻撃を防ぐための重要な方法です。
他にも、データベースへのアクセス履歴(ログ)を随時取得するとともに記録・保存をし、レポートリストとして出力できるようにしておくと、原因を究明する際に役立ちます。
内部関係者による不正行為
内部不正行為により、個人情報を故意に持ち出した場合の再発防止策としては、データベースへのアクセス権限を、必要最小限の担当者のみに限定するといった方策を取ると良いでしょう。
また、データアクセスを伴う作業を行うときには、必ず一人では実施せずに複数人で作業を行うといった対策も効果があるでしょう。
他にも業務に不要なソフトウェアは、端末にダウンロード・インストールさせないといったルールを設けることも、実効性のある対策です。
従業員一人ひとりに対して、情報セキュリティに関するセミナーといった機会を、定期的に開催することによって、セキュリティに関する意識の向上及び知識のアップデートを図ることも有効です。
人為的ミス
故意ではなく、操作方法のミスによるデータの誤送信や、個人情報が記載された資料の紛失、盗難によって個人情報が流出してしまった場合には、以下の具体的な対策を講じるとよいでしょう。
それは、「操作マニュアルの作成・活用」「作業を行う際には必ず第三者チェックを行う」などのルールを強化するといった対策が挙げられます。
個人情報流出を防ぐためには、上記3点の再発防止のためのセキュリティ対策の検討・着実な実行が必要です。これらの対策を打つためには、まずはISMS(Information Security Management System)の仕組みを導入し、セキュリティ対策を強化することが重要です。
ISMS取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業20年で、3500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。
