Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
個人情報を守ることの意識が高まるなか、情報漏洩を起こしてしまった組織の信用は失墜し、多額の賠償金を支払うケースも珍しくありません。行政や大企業の情報漏洩事件は全国ニュースでも報道され、事の重大さが強く現れています。また、近年では中小企業などのより小規模な組織もサイバー攻撃のターゲットになるケースがあります。情報漏洩のリスクは組織の規模にかかわらず存在しており、組織の規模が小さければ情報漏洩発生後のダメージが少ないということもありません。
そこで今回は、情報漏洩が発生してしまったらどのようなリスク・ダメージが存在しており、それを防ぐためにはどのような対策が考えられるのかをご紹介します。
情報漏洩が発生すると何が起こるのか?
組織の大小にかかわらず、情報漏洩を起こしてしまった企業は極めて大きなダメージを負ってしまいます。情報漏洩により直接損害を被った方への賠償金が目立ちますが、それ以外にも多額の費用が必要です。
情報漏洩による損害
1.費用損害
終息に向けた対応の費用です。情報漏洩発生直後は、ネットワークの遮断や証拠保全等の初動対応を行い、内部的な意思決定を経て体外的な発表を行う流れが一般的です。専門知識を要する調査や対応が必要となり、外部の事業者に一部対応を委託するケースも多くあります。
インシデント対応を事業者へ委託する場合は、初動対応として数十万円から百五十万円程度、PCやサーバーの状況調査でも百万円を超える費用が必要です。
その他、情報漏洩に関するコールセンターや見舞い品(金)の用意、漏洩した情報の流出状況調査など、莫大な費用が必要となります。
2.賠償損害
情報漏洩の損害を受けた被害者個人への賠償はもちろん、他社の情報管理を請け負っていた場合など、情報の保有者に対する賠償が必要なケースも多くあります。また、裁判費用やそれに伴う弁護士費用も必要です。
損害賠償金額は、漏洩してしまった情報や二次被害の有無により増減します。漏洩した情報が医療情報や思想など差別の原因となり得るセンシティブな情報である、二次被害が発生しているといった状況では、賠償金額の増加は免れません。
JSNAの分析によると、一人あたりの平均損害賠償金額は約3万円、情報漏洩1件での平均損害賠償額は約6億3千万円となっています。
情報漏洩を1度起こしてしまうだけで、組織が莫大な損失を被ることは想像に難しくありません。
参考:JNSA 2018年 情報セキュリティインシデントに関する調査報告書
3.利益損害
事業が麻痺することにより、本来見込まれた利益損失が発生する上、固定費の支出は変わらず発生します。情報漏洩が発生した後は、これまで通りの通常業務を行うことは難しいでしょう。
場合によっては、業務に必要なシステムを停止するケースもあり、想定していた利益は減少する可能性が高いです。その中で、オフィスの賃料やサービス利用料などの固定費の負担は存在し、大きな損失となります。
4.金銭損害(攻撃による直接的な金銭被害)
ランサムウェア等のマルウェアの被害にあった場合、攻撃者から金銭を要求する脅迫を行われるケースが多くあります。このようなマルウェアは、感染したシステムのデータを抜き取り、データを暗号化して閲覧できない状態にしてしまいます。
企業は被害にあったデータを閲覧できず業務が停止し、抜き取られたデータを人質にされ金銭の支払いを要求されます。
5.行政損害
個人情報保護法において命令違反などに課せられる罰金です。個人情報を扱う際には個人情報保護法の遵守は必須であり、情報漏洩が発生した場合は定められた罰金や制裁金の支払いが求められます。
また、海外にもプライバシー関連の法令が存在しており、海外向けにサービスを提供している、海外に拠点がある等の場合は現地の法律が適用されるケースがあります。これらの対応には専門性が要求され、専門事業者へ委託するのであればその費用も必要です。
6.無形損害
信用の失墜や風評被害など、直接金銭に換算することが難しい損害です。
- 信用の失墜
情報漏洩の直接的な原因が外部からの攻撃であり、できる限りのセキュリティ対策を実施していたとしても、他者からは情報漏洩を起こした組織であると見られてしまいます。
顧客や取引先はその組織に情報を預けることを不安に感じてしまい、事業への影響は甚大です。 - 従業員のモチベーション低下
情報流出への対応で本来の業務が行えなくなる他、従業員自身も周囲からの目を負担に感じるケースもあります。
営業職などの顧客と直接対話する立場であれば、自身にはどうすることもできない指摘やクレームを受けることになるでしょう。
従業員のモチベーションに悪影響を与え、生産性の低下や離職率の情報が懸念されます。 - 株価への影響
組織の信用失墜は、その後の経営や成長への疑念を生み出し株価の下落を招きます。
上述の損害で経済的な苦境に立たされる中での追い打ちとなり、その後の事業に大きな影響を及ぼします。
出典:NPO日本ネットワークセキュリティ協会 インシデント損害額調査レポート 2021年版
このように、情報漏洩は組織に致命的なダメージを与える可能性が高く、1回の事故で事業継続が困難になる場合も考えられます。
情報漏洩を起こさないために今できること
情報漏洩を防止するには、事前に組織内で適切な対策を取ることが重要です。ここからは、どのような対策が考えられるのかご紹介します。
組織の状況把握
情報漏洩には何らかの原因が存在しており、結果論ではありますが事前に適切な対処を行っていれば防ぐことができた事故も多くあります。組織の業務や資産を可視化し、正しく認識することで潜んでいるリスクを発見し、対処を行うことが重要です。
1.業務内容
頻繁に外部とのやり取りが発生する業務や、機密情報へアクセスする業務は注意が必要です。適切なアクセス権限を施してアクセスできる情報を最小限にするほか、業務に従事する担当者へ情報の機密性を説明し、セキュリティ意識の向上を促しましょう。
また、属人化している業務はマニュアルを作成し、組織として業務におけるリスクを把握できる形を目指しましょう。
2.資産
組織で保有している機器や、利用しているサービスを適切に管理しましょう。資産管理ソフトウェアを利用しているのであれば、その機能を活用するのも有効です。そのようなソフトウェアを利用していない場合でも、一元管理台帳を作成し、利用サービスを可視化できます。自組織が使用している資産を明確にし、どのように利用しているかを整理することで、潜んでいるリスクの発見に繋がるでしょう。
また、機器やサービスの脆弱性が発見された場合の対応が迅速になり、意図せずセキュリティリスクを放置してしまうといったトラブルも防ぐことにも繋がります。
セキュリティ対策製品の活用
ウイルス対策ソフトやファイアウォール等のセキュリティ製品は、簡単な設定を行えば基本的な動作を行えるものがほとんどです。しかし、自組織に合わせた設定を行うことで、セキュリティ品質の向上を見込むことができます。導入している製品の機能を確認し、有用な機能があれば積極的に活用しましょう。
多くの機能を知ることは、自組織にとって必要な機能を明確にするメリットもあります。利用サービスを選定する際、求める機能が明確になっていることは必須です。自組織にマッチした製品を適切に扱えば、セキュリティ品質は向上します。
従業員の教育
堅牢なシステムでセキュリティ対策を行っていても、使い方が不適切だと本来の効果を発揮できません。全従業員が専門知識を学ぶことは困難です。しかし、システムを正しく扱い、リスクを理解するレベルのリテラシーは教育を行い全員が身につける必要があります。
組織の現状を調査することで、多くの場合は改善点を発見することができるでしょう。自組織でできていないこと見つけ出し、セキュリティ対策を着実に進めることが重要です。
リスク回避のために適切なセキュリティ対策を
情報漏洩が起こることで経済的な損失はもちろん、金額に換算できない無形の損害も受けてしまいます。また、事態の終息後も情報を漏洩した組織として見られてしまう可能性が高いです。組織の存続が危ぶまれるだけではなく、従業員にも大きな負担やストレスがかかり、事業に多大なる影響を及ぼすでしょう。セキュリティ対策が疎かであれば、情報漏洩の発生リスクは増加します。可能な対策は実施し、できる限りの万全な状態を目指しましょう。
セキュリティ対策は目に見える利益を生み出しませんが、社会で経済活動を行う上で必須です。
例えば、エムオーテックスでは外部脅威対策・内部情報漏洩対策・脆弱性対策を行えるツール「LANSCOPE」を提供しています。情報漏洩対策を整えたいと考えている方は「LANSCOPE」を活用し、セキュリティ対策を疎かにしないようにしましょう。また、対策を行っていない方は、情報漏洩発生リスクを最小限に抑えられるよう検討を始めていきましょう。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事