Home > セキュリティコラム(2) 情報漏洩の実態

セキュリティコラム(2) 情報漏洩の実態

2011/9/9

個人情報漏洩の実情

 情報漏洩は一体どれくらい起こっているのでしょうか。
 まずは近年大きく取り上げられることが多い個人情報の漏洩をみてみましょう。

 日本ネットワークセキュリティ協会(JNSA)の調査では2010 年に個人情報漏洩インシデントの件数は1679件で、2009年比140件増。漏洩人数は557万9316人分で、2009年比14万2182人減となっています。人数については大規模事案の発生の有無に数字が大きく上下するものの、2007年以降、連続して減少しています。しかし2011年には史上最大規模の情報漏洩が発生したこともあり、2011年の数字は格段に高くなることが予想されます。

 このほか、損害賠償にかかわる額は表1の通りとなっています。

2010年個人情報漏洩インシデント
表1、2010年 個人情報漏えいインシデント 概要データ 出典:JNSA 「2010年情報セキュリティイ
ンシデントに関する調査報告書【本編 改訂版】Ver.1.4」

圧倒的に多い「過失」 被害大きい「故意」の漏洩

個人情報漏洩の原因
図1、個人情報漏えいの原因 出典:JNSA「2010年情報セキュリティインシデントに関する調査報告書【本編 改訂版】Ver.1.4」(クリックすると拡大します)

 情報漏洩の原因は、どのようなものが多いのでしょうか。

 圧倒的に多いのは「過失」です。図1 を見ると書類の誤廃棄などの「管理ミス」が36.3%、メール送信ミスなどPC等に関する「誤操作」が32.3%、書類やノートPC等の「紛失・置忘れ」が12.6%となっており、「過失」と言ってよい原因が実に80% 強を占めています。

 流出の経路ですが、「紙媒体」が69.4% と圧倒的になっています。業務全般あらゆる場面で紙の書類が用いられることが要因でしょう。次いでUSBメモリ等の過般媒体が12.4%、電子メールが6.8% と続きます。

 このように情報漏洩の原因の大半は過失によるものですが、一方で企業に与える被害が大きくなりがちなのが内部犯行など故意による情報漏洩です。事件報道に伴う風評被害、被害者への損害賠償や訴訟費用など、多大な損失が考えられます。2009年に148万人の個人情報が流出し、5万人分が名簿業者に売られるという事件が起きた某企業では、5万人への賠償や風評被害等で約70億円の損失を被ったとされています。

 社会安全研究財団が2010年3月にまとめた「情報セキュリティにおける人的脅威対策に関する調査研究報告書」では、情報漏洩以外も含めた内部犯行の目的として、大きく分けて生活の困窮等から「金銭などの獲得」を目的とするケースと、上司や同僚、会社そのものへの恨みを晴らす等の「心理的満足」を目的とするケースの2つが挙げられるとしています。

営業機密も危ない

技術情報漏洩の流出実態
図2、技術情報漏洩の流出実態 出典:特許庁2007年10月産業構造審議会 第11回知的財産政策部会資料より

 社内に蓄積された情報は個人情報に限りません。販売戦略や新商品の開発データ等の営業機密も、個人情報と同様に企業にとっては大事な資産です。ですがこういった情報も同様に漏洩の危機にさらされています。図2の調査では、およそ4割近い企業で明らかな技術流出、もしくはそれとみられる事象があったと回答しています。

 また、1回目でも挙げましたが、米国での調査によれば、IT管理者のうち退職時に社内から何らかの情報を持ち出すという回答は約90%にもなるというデータもあります。日本ではこれよりやや割合は低いものの、6割近くが情報を持ち出そうと考えているとも言われます。

 これらの情報が同業他社に漏洩すれば、ビジネス上大きな痛手を受けるのは避けられません。業界全体、さらに国レベルに話を広げても、他国に技術情報が漏れてしまうと、日本の国際競争力の低下、強いては日本市場の縮小にもつながりかねないことになります。

 実際に他社へ情報が漏れた疑いのある事例が報告されています。特許庁産業構造審議会の知的財産政策部会資料には「外国企業とのJVで開発していた触媒の作り方について、ノウハウを身につけた従業員が退職し、秘密保持契約に反して転職先でノウハウを漏らした疑いがある」「コンピュータの周辺機器の販売担当部長が退職時に部下を引き抜くとともに、退職直前にメインフレームの稼働リストをプリントアウトして持ち出した」などの具体例が列挙されています。

社内同士のファイルのやり取りから情報漏洩?

 このように情報漏洩の実態を見てきましたが、原因の多くは「過失」です。個人情報については実に8割以上、営業機密についても退職時の持ち出しだけではなく、「過失」による流出は十分考えられます。

ファイル利用先
図3、ファイル利用先(ハミングヘッズ社2010年度調査)

 ここで、一つ興味深いデータがあります。PC等で作成したさまざまなファイルですが、その利用先の8割は社内です。つまり社内同士でのメール送信や、USBメモリ等での移動だったり、内容も社内向けの資料だったりするのです。つまり、情報漏洩で一番考えられるケースは「社内同士でやりとりする情報が、メール誤送信や書類の管理ミス等の『過失』が原因で、外部へ漏洩してしまう」というケースが多いと考えられます。

 情報漏洩の実態と影響についての認識は深まったでしょうか。当然これらは防がなくてはなりませんが、対策は必ずしも進んでいないのが実情です。次回はこのことについて触れたいと思います。