情報漏えいニュースの考察～誤操作によるインシデント編～

企業は、顧客、クライアントからの大切な情報を管理する立場です。その企業が情報漏えいを防ぐためには、社員への教育と情報管理が必要不可欠で、多くの企業が取り組んでいるはずです。しかし、情報漏えいのニュースは後を絶つことはありません。

NPO日本ネットワークセキュリティ協会が2019年に発表した「2018年 情報セキュリティインシデントに関する調査報告書」の情報漏えいの発生原因を見ると、多いのは、よく言われるサイバー攻撃による情報漏えいではなく、ワースト1位「紛失、置き忘れ」、ワースト2位「誤操作」と、”ヒューマンエラー”が上位を占めていることがわかります。

本記事では、ワースト2位の誤操作について考察し、企業がどのような対策すべきかを考えてみます。

誤操作の定義

情報漏えいの誤操作は、NPO日本ネットワークセキュリティ協会の「情報セキュリティインシデントに関する調査報告書」によると、次のようなケースが該当します。

メールに関する誤操作

メールでのあて先を間違えて送信をしてしまう、送付先を違う相手に送り情報が漏えいしてしまう、添付書類のミスなどにより不特定多数のユーザーに情報が送信されしまう、といったケース。

管理ミス

個人情報などを取り扱うルールがなく、個人情報が公開された状態で、第三者が自由に閲覧可能なケース。

ホームページ制作での誤操作

ホームページ上に誤って個人情報を掲載してしまうケースや、個人情報を伏せて掲載するはずの情報が加工せずに掲載され第三者に個人情報が公開されてしまうケース。

データの削除し忘れ

ファイルサーバーにあるデータを、ローカルPCに保存、その後削除せずに放置している状態で、第三者がデータを閲覧できてしまうケース。

「誤操作による」情報漏えい事例

人為的なミスによって情報漏えい事件は、日々発生しています。実際に発生した誤操作による情報漏えい事件をピックアップして紹介します。

事例1:委託先従業員のミスにより個人情報流出

2020年北海道にある広告会社で、業務基幹システムの開発業務を委託した委託先の従業員がミスを起こし、取引先情報2万8515件（そのうち個人情報1万5599件）が、外部から閲覧可能状態であることがわかりました。

従業員がソフト開発プラットフォームを使用して作業した際に、誤操作によってソースコード、取引先情報を外部閲覧可能な状態に変更してしまったことで情報漏えいが発生しました。

事例2:顧客ファイルを添付したメールによる個人情報流出

大手書籍リユース会社が、オンラインショップサイトを利用するユーザーに対して送信するメールマガジンに、誤って個人情報を添付して送信。1309名分のメールアドレスが流出する事件が発生しました。

添付されたファイルにはメールアドレスのみで、クレジットカードなどの個人情報は含まれていませんでした。

事例3:ホームページ上に個人情報を誤掲載

2019年、関西の病院がホームページの診療指標欄に治療実績を公開する際、7,167人分の患者の個人情報を誤掲載していることがわかりました。

治療実績公表に必要なエクセルファイルを作成した際、個人名、年齢、入院費、治療方針などを伏せずに、PDFでそのまま掲載をしてしまいました。

病院では、「上司が掲載前にホームページのチェックを行う」というフローが設定されていましたが、実際にはチェックが行われていなかったことがわかりました。

「誤操作」による情報漏えいの考察

誤操作がなぜ、日常的に発生をしてしまうのでしょうか。誤操作を防ぐために、どのようなことに企業が気をつけるべきか考えていきましょう。

誤操作が起きる背景と課題を分析する

誤操作が起きてしまう原因として、次のようなものが考えられます。

（1）社員の意識

誤操作は、社員1人1人が「情報の大切さ」「情報を正しく扱うにはどのようなことに気をつけるべきか」ということをしっかりと社内で共有していればトラブルを極力減らすことが可能です。

とはいえ、会社には正社員、派遣社員、アルバイトスタッフなどさまざまなスタッフが携わり、立場によって意識の違いが生まれることは容易に想像できます。

（2）不適切な研修制度

社員全員にセキュリティ研修を実施している企業でも、ある一定期間を過ぎると情報管理への意識が薄れてしまう可能性も考えられます。

誤操作を防ぐために重要なことは、「誤操作によるリスク」や「会社での情報の取り扱いルール」を全従業員に浸透させることが重要になります。

（3）セキュリティ対策

人間は絶対にミスをしないという保証はありません。企業はヒューマンエラーを想定する必要があります。

ヒューマンエラーが絶対に起きないという前提でセキュリテイ対策をしていると、誤操作による情報漏えいが発生した際に対処できない可能性があります。万が一に備えたセーフティーネットを検討しておく必要があります。

誤操作による情報漏えいを防ぐために必要なこと

誤操作を防ぐためには、次のような対策をおこない、誤操作によるヒューマンエラーが発生しない環境づくりを行いましょう。

（1）セキュリティ研修の実施

最も重要なことは、「情報を取り扱う際に気をつけること」を全従業員に周知することです。情報に対するセキュリティ意識を高めるためには、セキュリティ研修をする実施する必要があります。

このような研修を正社員のみに実施する企業もありますが、作業内容によっては派遣社員、委託社員、アルバイトスタッフが担当することもあり、正社員の意識が改善されても、他の社員の意識が低ければ、誤操作が発生してしまう恐れがあります。

このような事態を回避するため、セキュリティ研修は全従業員が受ける必要があります。

（2）セキュリティ研修の運営方法

セキュリティ研修を一度だけ実施しても、全従業員にセキュリティに対する意識が高まるとは言えません。大切なことは、セキュリティ研修を定期的に実施して、全従業員のセキュリティに対する意識を高め、常日頃から関心を持ってもらうことです。

（3）誤操作防止システムの活用

メールアドレスの間違い、ファイル添付ミス、ホームページへの誤掲載などを防ぐために、誤操作を防止するシステムを活用することで、ヒューマンエラーを最小限に抑えることが期待できます。

特にメールの誤送信を防ぐためのセキュリティ対策サービスは、さまざまな企業が提供しているので、最適なサービスがあれば積極的に活用しましょう。

まとめ

「誤操作」による情報漏えいを防ぐためには、どのような誤操作によって情報漏えいが発生するのかをきちんと分析・把握して、会社として最適な対策を行っていく必要があります。ぜひ本記事で紹介した内容を参考にし、セキュリティ対策のヒントとして役立ててください。