最新情報

企業におけるセキュリティリスク
2023.8.22

企業とセキュリティのイメージ

近年、日本の企業の間ではサイバー攻撃などによる情報セキュリティのトラブルが頻発しています。しかもこれらのセキュリティリスクは年々複雑化しているというのが現状です。大規模な情報漏洩事故や大企業が被害を受けた場合はニュースになることも多々あります。このような大規模な情報漏洩などのセキュリティトラブルがニュースなどで報道されると、企業の信用は大きく落ちるだけでなく、顧客や消費者の大切な情報や、企業競争力に関わる機密情報が流出し、その被害は計り知れません。

このことから、現在、企業ではセキュリティ対策を徹底して行うことが、社会的にも必要とされています。顧客の情報や取引先の情報を守ることは、企業活動をする上での義務と言ってもいいでしょう。

また、セキュリティ事故の原因はサイバー攻撃などの外的要因だけとは限らず、内的要因も絡んでいることも多いです。ここでは、企業でのセキュリティ対策について説明します。

セキュリティリスクと企業への影響

企業が想定されるセキュリティリスクに何の対策もしなかった場合、社外秘の機密情報が外部に漏れ、悪用される危険があります。このような事態は防がないと企業の存続も危ぶまれるでしょう。
社内の機密情報が漏洩しただけならば、「情報資産の流出」という、企業だけに発生した損害として処理することができます。
しかし、顧客情報など外部の情報・個人情報が漏洩した場合には、刑事上の罰則と民事上の損害賠償責任が発生します。

個人情報保護法によると、個人情報取扱事業者は、個人情報の取得や管理に際し、以下のような責務を負います。

  • ・個人情報の利用目的をできる限り特定し、目的達成に必要な範囲を超えて取り扱ってはならない
  • ・個人情報を取得する際、利用目的を通知・公表しなければならない
  • ・安全な方法で、個人データを管理しなければならない(安全管理措置)
  • ・あらかじめ本人の同意を得ないまま、第三者に個人データを提供してはならない
  • ・本人から開示請求があれば、応じなければならない
  • ・本人から個人データの内容が事実でないという理由で、訂正や削除を求められた場合、応じなければならない
  • ・個人情報取扱方法について、苦情を受けた場合、適切かつ迅速に処理しなければならない

もし、企業が個人情報を漏洩させてしまったら、どの程度の罰則が適用され、また罰則以外に、どういったリスクが発生するのかについて記載していきます。

刑事上の罰則

個人情報を漏洩すると、国から是正勧告を受けますが、従わない場合、「6ヶ月以下の懲役又は30万円以下の罰金刑」が科されます。不正な利益を得る目的をもって、個人情報を漏洩した場合の罰則はより重くなり、1年以下の懲役又は50万円以下の罰金刑が科されます。また、行為者のみならず、会社に対しても、50万円以下の罰金刑が科されます。

民事上の損害賠償責任

個人情報を漏洩すると、刑事上の罰則のみならず、民事上も法的責任(損害賠償責任)が発生します。賠償金額は、ケースによって異なりますが、1人あたり数千円から数万円、合計すると数千万円以上になる可能性もあります。

その他の間接的損害

法的な罰則以外にも、さまざまな間接的損害が発生します。

情報漏洩対策について

このような個人情報の漏洩を防ぐために、企業でできることを以下にまとめました。

情報取扱い方法をルール化しよう

個人情報を取り扱う場合、情報漏洩が起きないように、マイナンバーや住所等のプライバシー情報を誰がどのように管理するか、事前に社内で決めておくことが必要となってきます。罰則をうけることのないように、しっかりルールを決め、従業員への周知を徹底しましょう。

アクセス権は制限をつけよう

個人情報へのアクセスを社内の誰でもできるようにしてしまうと、情報漏洩のリスクが高まってしまいます。なるべく、個人情報のデータには、担当社員や、その関係者しかアクセスできないようにすることが重要です。その他にも、個人情報のデータにIDやパスワードを設定し、関係者しか開くことが出来なくするのも良い対策です。個人情報を含むデータは印刷できないようにするといった対策も有効でしょう。

情報の持ち出しを禁止しよう

私物のUSBメモリの持ち込みや、社内のパソコンやUSBを外に持ち出すことを禁止すると、物理的に外部に情報が漏れることを防ぐことができます。外部に情報を送る場合にデータを暗号化する方法も大変有効です。

漏洩が発覚しやすいシステムを導入

従業員が、個人情報を漏洩したら、すぐに見つけることができる環境を作りましょう。例えば、従業員が個人情報をコピーしようとしていたら、すぐに目にとまるような机のレイアウトをとったり、社内に防犯カメラを設置し、パソコン内部がよく見えるように設置したり、工夫をしましょう。

個人情報を含む情報にはマーキングしよう

個人情報が含まれるデータにはマル秘マークや社外秘マークを付けて管理するようにし、データを従業員が見た時に、すぐに個人情報だと分かるようにしましょう。また、その際に社内研修などで個人情報を外部に漏らした際の罰則等を周知させることも重要です。

情報漏洩が起きた際の罰則等を周知させよう

個人情報を漏洩させた時の具体的な罰則等を従業員に周知させることは、企業の情報管理を厳しくする上で重要です。懲戒や損害賠償、従業員本人に罰則が適用される可能性、罰則が適用された場合に前科がつく可能性もあるなど、あらゆる可能性について知ってもらいましょう。

コミュニケーションを密に取る

従業員のモチベーション維持や会社への帰属意識、貢献意欲を強めるため、社員同士が密にコミュニケーションをとる機会を設けましょう。
ワークライフバランスを実現するための施策をとることも、会社への貢献意欲を高めることにつながり、間接的な不正予防対策となることでしょう。

企業が対応すべきセキュリティリスク

次に、企業が対応すべきセキュリティリスクについて説明します。現在、企業はどのようなセキュリティ被害にあっているのでしょうか?
まずはどのような脅威が存在するのか知りましょう。

マルウェア感染

最も懸念される脅威として、マルウェア感染が挙げられます。マルウェアとは、プログラム可能なデバイス、サービス、ネットワークに害を与えたり、悪用したりすることを目的とした悪意のあるソフトウェアの総称です。デバイスから情報を読み取ったり、ハッカーによる遠隔操作が行われたり、様々な攻撃があるのが特徴です。

フィッシングによる被害

フィッシングとは、悪意を持った人が個人情報やアカウント情報を盗み取るために、実存する企業等になりすまして送る詐欺メッセージのことを指します。

近年このフィッシング詐欺はより本物と区別することが難しくなっており、注意深く確認しなければならなくなっています。そのため、フィッシング詐欺による被害は現在進行形で拡大しています。詐欺メッセージの中に書かれているURLをクリックすると、個人情報を入力する詐欺サイトへ誘導されたり、マルウェアに感染したり、被害を被る可能性があります。

DDoS攻撃

DDos攻撃とは、ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃のことを指します。この攻撃を受けることで、サーバーやネットワーク機器に大きな負荷がかかりますので、ネットワークの遅延や、Webサイトを見れなくなることにもつながります。そのため、不利益を被ったり、会社の信用を落とすことにつながります。

不正アクセス

働き改革の推進により、テレワークが普及しています。そのため、企業では、社内のネットワークに外部から安全に接続するために、VPN製品の導入も拡大しています。ただしVPN製品のソフトウェアは、アップデートをしないと、脆弱性を悪用されることになり、社内ネットワークに不正アクセスされ、情報を盗み取られるリスクが高まります。

Webサイトの改ざん

企業のWebサイトが改ざんされ、詐欺サイトに転送される事例が確認されています。また、Webサイト上のアプリケーションの脆弱性が悪用されることにより、個人情報が窃盗されてしまう可能性もあります。
このようなWebサイトに被害が及んでしまうと、会社の信用を損ねる可能性も出てきます。

以上が企業における対策すべきセキュリティリスクになります。しかしながら、これだけではなく、前述した通り、人的要因によるリスクも無視できません。
企業では、これから複雑化するセキュリティリスクに対して、徹底的に対策することが求められています。

記事一覧へ