個人情報漏洩の防止策について

個人情報漏洩をしてしまうと、高額な損害賠償と信用の低下で、業績が大きく傾いてしまう恐れがあります。一度起きてしまうと挽回が難しい問題なので、あらかじめ適切な防止策を講じておきたいところです。

この記事では、個人情報漏洩のリスクと原因、防止策について解説していきます。

個人情報漏洩3つのリスク

個人情報漏洩があった場合、企業の信用と業績に与える打撃は計り知れません。ここでは、情報漏洩があった際に企業が被る3つのリスクをご紹介します。

巨額の損害賠償責任が生じる

流出した個人情報の量と損害の程度に応じて、企業は損害賠償責任を負うことになります。

例えば、2014年のベネッセコーポレーションによる顧客流出事件では、派遣社員の不法行為によって個人情報が漏洩したのですが、裁判により1人当たり3,300円の損害賠償が認められました。3,000円という単価だけをみればあまり深刻さをイメージできないかもしれませんが、この時の流出件数は約3504万件にものぼっており、ベネッセは最大200億円を特別損失として計上しています。

このように個人情報漏洩で企業が恐れるべきなのは損害賠償責任なのですが、体力の少ない企業であれば、1度の情報漏洩で倒産に追い込まれる恐れすらあるでしょう。

調査・対応に高額のコストがかかる

怖いのは損害賠償責任だけではありません。

個人情報漏洩に対応するための人件費
被害者に謝罪をするための見舞金
裁判にかかる弁護士費用
謝罪広告費
原因調査やメディア対応・再犯防止策を構築するためのコンサルティング費用
事業中断による機会損失

企業の信用が著しく低下する

自社の抱える個人情報が漏洩してニュースになると、顧客や取引先からの信頼低下は不可避でしょう。大規模な会員の流出や取引先との関係悪化で売り上げが赤字に転ずることもあります。株価の低下や従業員の離職にもつながるでしょう。

個人情報漏洩の原因と防止策

個人情報漏洩には上記のようなリスクがあるので、企業としてはなんとしても有効な防止策を実施したいところです。対策をするにあたって、何から着手するべきか、といった点が問題になってくることかと思います。目の前に具体的なリスクが存在する場合はそのリスクを解消することから着手をするといいですが、具体的なリスクが漠然としているのであれば、個人情報漏洩の原因のうち、発生頻度の多い問題から対策していくのが合理的です。

個人情報漏洩の原因の過半数はヒューマンエラー

個人情報漏洩を防止するためには、原因を把握した上での対策が効果的です。では、個人情報漏洩の原因として多いのはどのようなものなのでしょうか。

2018年 情報セキュリティインシデントに関する調査報告書｜J I S Aによると、情報漏洩の原因のうち多いものは紛失・置忘れ26.2%、誤操作24.6%、不正アクセス20.3%、管理ミス12.2%の4点となっているようです。いずれの問題も、事前に予防策を講じることで一定の効果が期待できます。

また、よくニュースにもなっている従業員による不正な情報流出が実際はどのくらいあるのかと気になる方もいるかもしれませんが、内部犯罪・内部不正行為2.9%、不正な情報持ち出し2.3%と、割合ベースで見れば従業員の悪意による情報流出は決して多くはありません。

上記事実を踏まえ、情報漏洩の防止策を構築する際は、ヒューマンエラーや不正アクセスが起きないような対策から講じていくのが合理的な対策となります。

個人情報漏洩の防止策

パソコンの持ち出し禁止をする

パソコンの持ち出しを禁止したり、承認制にしたりしましょう。パソコンを社外で使用すると、セキュリティー対策が十分でない状態で社外のネットワーク環境に置かれることになり、企業の管理が及ばないところでウイルスやスパイウェアの脅威にさらされることになります。

持ち出しの承認フローを現場に浸透させたり、パソコンをチェーンなどで繋いだりするなどして、持ち出しが難しい状況を作るといいかと思います。

私物のパソコンやスマホを業務上で使用させない

従業員の持ち込んだパソコンやスマホがウイルスやスパイウェアの脅威にさらされていた場合、その端末を通して会社の情報が漏洩することも考えられます。業務上使用するソフトウェアへのアクセスは、特定の端末からしかできないように設定するのも有効です。

ファイル共有ソフトの使用を制限する

業務上必須でないファイル共有ソフトの使用は制限しましょう。労働者が個人の裁量で事由にファイル共有ソフトを使ってしまうと、管理の行き届かないところで情報が漏れかねません。

重要な情報を放置しない

顧客の情報が記されている紙やパソコンなどを他の人が見られないよう、無防備な状態で放置されないような対策をしましょう。

具体的な対策は例えば…
ログインI Dやパスワードのメモをパソコンなどに貼らない
持ち運び可能なパソコンを机上に放置して帰らない
席を離れる際はパソコンの画面をロックして他の人が見られないようにする
重要な書類はそのままゴミに出すのではなく、必ずシュレッダーにかける

誤操作には細心の注意を

誤送信による情報漏洩も多くなっていますで、限界はありますが個人の努力で防げるポイントに対しては対策をしたいところです。メールを送信する際は、宛先や添付ファイルの内容に誤りがないか確実にチェックしましょう。

企業の側で対策をする場合は、メールを暗号する、添付ファイルの容量を制限する、誤送信対策ソフトを導入するといった方法が考えられます。

アクセス権限をつける

重要な情報にはアクセス権限をつけ、権限のある人しか閲覧できないような状態にしましょう。

ウェブサイトやOSの脆弱性対策をする

ウェブサイトやOS、ソフトウェアの脆弱性対策は徹底しましょう。セキュリティソフトやファイヤーウォールを活用しつつ、定期的に最新のバージョンにアップデートするようにしましょう。

管理ミスを防ぐ

情報管理のルールに不備はないか確認しましょう。実際にルールがあっても、ルールが不十分だったり煩雑すぎたりすると、正しい運用は期待できません。

情報管理ルールを見直すとともに、情報の保管期限を設定したり、廃棄方法を決定し周知したりしましょう。

重要情報については社外で話さないことを周知する

仕組みで解決できることではないのですが、顧客の情報などを公共の場所で話さないように従業員に周知しましょう。

まとめ

一度個人情報漏洩をしてしまうと、企業の信用と業績に多大な悪影響があります。紛失・置き忘れ、誤操作といったヒューマンエラー、悪意のある不正アクセスなどが情報漏洩の主な原因となっているので、個人情報の取り扱いルールやセキュリティー対策には万全の対策を施しておきたいところです。

このコラムの監修者

弁護士法人 法律事務所ロイヤーズ・ハイ

田中　今日太弁護士（大阪弁護士会所属） 弁護士ドットコム登録

大阪府大阪狭山市出身。弁護士事務所ロイヤーズ・ハイの代表弁護士を務める。これまで３５００人以上の法律相談に対応した豊富な経験をもとに迅速かつ適切な弁護活動を行う。