Written by 夏野ゆきか
目 次
機密情報とは、顧客情報や未発表の製品情報など、企業・組織が保有している情報の中でも、外部への公開が予定されていない情報(公開されることで損害や不利益が生じる情報)のことです。
機密情報が漏洩した場合、企業は顧客や取引先からの信頼の失墜、ブランドイメージの損害による経営不振や、あるいは情報漏洩に伴う損害賠償の支払いといった被害を受ける可能性があります。
機密情報が漏洩する原因には、不正アクセスなど外部攻撃のほか、内部不正や人的ミスなどもあります。よって企業は外部攻撃への対策である「セキュリティソフトウェア」だけでなく、ログ監視やアクセス権限の最小化、従業員へのセキュリティ教育など、多角的な対策に取り組む必要があります。
この記事では、機密情報が漏洩した場合のリスクや漏洩する原因などを解説します。
▼この記事を要約すると
- 機密情報とは、顧客情報や未発表の製品情報など、企業・組織が保有している情報の中でも、外部への公開が予定されていない秘密の情報を指す
- 機密情報が記載された文書を機密文書といい、機密度によって「社外秘文書」「秘文書」「極秘文書」の3種類に分けられる
- 機密情報が漏洩した場合、「経営不振につながる」「事後対応に膨大なコストがかかる」「損害賠償など罰則が科される」といったリスクがある
- 機密情報が漏洩する原因は、主に「外部攻撃」「内部不正」「人的ミス」の3つ
- 機密情報漏洩の防止策としては「セキュリティソフトの導入」「ソフトウェア・OSの定期更新」「データの暗号化」「アクセスログ監視やアクセス権限の最小化」「従業員へのセキュリティ教育の実施」が挙げられる
機密情報とは
機密情報(Confidential Information)とは、企業・組織が保有している情報の中でも、外部への公開が予定されていない情報を指します。
特定の個人、企業、組織が他者に知られないように管理する情報であり、公開や不正に利用されることで不利益やプライバシーの侵害といった被害が生じる可能性があります。
機密情報の具体例として
- ・顧客情報(氏名、住所、電話番号、カード番号、医療記録など)
- ・企業機密(営業秘密、技術ノウハウなど)
- ・未発表の製品情報
- ・戦略情報(事業計画、M&Aなど)
が機密情報に該当します。
機密文書の分類
機密情報が記載された文書を機密文書といいます。
機密文書は機密度によって、社外秘文書、秘文書、極秘文書の3種類に分けられます。
| 概要 | 該当するデータの例 | |
|---|---|---|
| 社外秘文書 | 基本的に従業員であれば閲覧できる情報。 3つの中では一番機密度が低いが、外部に漏洩した場合は不利益が生じる可能性がある。 |
・会議の議事録 ・見積書 ・就業規則 |
| 秘文書 | 役員や役職者、人事部など、一部の人のみが閲覧できる情報。 | ・人事情報 ・経営戦略 |
| 極秘文書 | 経営層など企業内のごく一部の人のみが閲覧できる情報。 3つの中では一番機密度が高く、漏洩した場合は経営に甚大な影響がでる恐れがある。 |
・未発表の製品情報 |
「社外秘」については、以下の記事で詳しく解説しています。ぜひあわせてご覧ください。
機密情報が漏洩した場合のリスク
機密情報が漏洩した場合以下のようなリスクがあります。
- ・経営不振につながる
- ・事後対応に膨大なコストがかかる
- ・罰則が科される可能性がある
経営不振につながる
会社経営に大きな影響を及ぼす機密情報の漏洩が発生すると、企業のセキュリティ対策や従業員教育の質が疑われ、顧客や取引先からの信頼を失う可能性があります。信頼がなければ、新規の取引や仕事の獲得は困難となったり、株価の下落を引き起こすなど、経営に大きな影響を及ぼすリスクがあります。
また新製品の開発計画・営業機密などが競合他社に流出すれば、競争上の優位性を失い、市場ポジションを脅かされるリスクが生じます。
漏洩した機密情報の内容次第では、サービスの停止や事業活動の一時中断を余儀なくされる場合も考えられるでしょう。
事後対応に膨大なコストがかかる
漏洩した内容に取引先の機密情報が含まれていた場合、訴訟費用や罰金、規制当局からの制裁などが発生する可能性もあります。特に、共同開発企業などの協力会社から預かっている情報や技術が漏洩した場合、莫大な賠償金の支払いが必要となるかもしれません。
その他、セキュリティ事故に関する事後調査や再発防止策の検討など、多方面で復旧におけるコストが発生します。
罰則が科される可能性がある
機密情報の漏洩には、法的な処罰などを受けるリスクが発生します。例えば、個人情報の取り扱いに関しては、個人情報保護法により厳しい罰則が定められています。
同法は、個人情報を扱う全ての事業者に適用され、個人情報を漏らした場合、行為者個人や法人に対して、懲役刑や罰金刑が科される可能性があります。
具体的には、個人情報保護委員会の命令に従わなかった場合、個人情報を不正に提供・盗用した場合、同委員会に虚偽報告をした場合が、罰則対象となります。個人の場合は1年以下の懲役か50万円以下の罰金刑、法人であれば最大1億円の罰金刑が言い渡される恐れがあります。
あるいは個人情報以外の機密情報についても、不正競争防止法や民法、刑法により、罰則が課される可能性があります。
機密情報が漏洩する原因
機密情報が漏洩する原因は、主に以下の3つと言われています。
- ・外部攻撃
- ・内部不正
- ・人的ミス
外部攻撃
機密情報が漏洩する原因1つ目は、外部からの悪意あるサイバー攻撃によるものです。攻撃者は企業や個人のネットワーク・PC・クラウド環境などに不正アクセス、あるいはマルウェアを仕掛け、顧客情報など利益に繋がる情報を盗みます。
「機密情報の漏洩」につながる外部攻撃の例として、以下のような内容が挙げられます。
●マルウェア…悪意あるソフトウェアやコードの総称。代表的な感染経路として、メールの添付ファイル、不正なWebサイト、VPN機器の脆弱性などがある。
●標的型攻撃…特定の個人や組織を狙った攻撃。取引先や子会社を装ってマルウェアを添付したメールを送り、開封させることで情報資産を盗み取ろうとする手口などが代表的。
●不正アクセス…悪意ある第三者が個人情報の取得や詐欺を目的に、不正にコンピュータに侵入する、あるいはIDやパスワードを悪用する等の行為。
●ゼロデイ攻撃…アプリケーションやソフトウェアの脆弱性(セキュリティ面の欠陥)をメーカーが発見して対策を打つ前に、その脆弱性をねらう攻撃のこと。
脆弱性を突いて、マルウェアに感染させたり、不正アクセスを行ったりするのがよくある手口。
内部不正
機密情報が漏洩する原因2つ目は、従業員などによる「内部不正」です。サイバー攻撃と異なり、悪意を持った内部犯によって情報の持ち出しや不正アクセスが行われます。
例としては、以下が挙げられます。
- ・情報の不正な持ち出し
- ・情報資産の盗難
- ・データの消去・破壊・改ざん
情報漏洩被害の中でも「内部不正」に起因する事故の数は、近年増加傾向にあります。
東京商工リサーチが発表した調査結果によると、2023年に発生した情報漏洩・紛失事故の原因の内訳は、「ウイルス感染・不正アクセス」が53.1%、「誤表示・誤送信」が24.5%、「不正持ち出し・盗難」は13.7%でした。
出典:東京商工リサーチ| 2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分(2024年1月19日)
一見すると「不正持ち出し・盗難」の割合は高くないようにも思えますが、実は前年の5件から約5倍に増加しています。内部犯は社内のセキュリティに精通しているため、比較的容易に重要情報を入手できてしまう危険性があります。
人的ミス
機密情報が漏洩する原因3つ目は、従業員など身内による人的ミスです。
人的ミスの例としては以下が挙げられます。
・誤設定…情報の公開設定を間違えるなど
・誤送信…メールの宛先を間違えて機密情報を送信するなど
・紛失や置き忘れ…会社支給のPCやスマホ、USBメモリを電車や飲食店に置き忘れる・紛失する
内部不正の場合は故意に情報を流出させたり持ち出したりしますが、人的ミスの場合は「意図せず情報を漏らしてしまう」といった被害です。
より詳しい「情報漏洩の原因」については、以下の記事で詳しく解説しています。
大手飲食チェーン店にて機密情報が漏洩した事例
2022年9月、以前所属していた大手飲食チェーン店運営企業から機密情報を不正に持ち出した容疑で、元社長や幹部・従業員などが逮捕される事件が発生しました。
| 企業 | 大手飲食チェーン店運営企業 |
|---|---|
| 被害時期 | 2022年9月 |
| 原因 | 社長が閲覧権限を持つ元部下に依頼し、前職の機密情報を複数回持ち出した |
| 被害内容 | 被害を受けた企業は原価情報や約500店舗の売り上げデータが漏洩した |
逮捕された元社長は、機密情報の閲覧権限を持つ元部下に指示し、原価情報や仕入れ値の情報を外部サーバーに送信させていました。加えて約500店舗の売り上げデータを、メールで個人的に受け取っていたことも明らかになっています。
不正に持ち出した機密情報は営業秘密に該当すると判断され、元社長らに有罪判決が下される事件となりました。
機密情報を漏洩させないための対策
企業が安全にビジネスを継続する上で、機密情報の漏洩対策は必須事項です。
▼企業に有効な5つの情報漏洩対策
- 1.セキュリティソフトウェアや侵入検知システムの導入
- 2.ソフトウェアの定期的な更新
- 3.データの暗号化
- 4.アクセスログの管理やアクセス権限の最小化
- 5.従業員へのセキュリティ教育の実施
1.セキュリティソフトウェアや侵入検知システムの導入
企業の情報漏洩対策として欠かせないのが、セキュリティソフトウェアや侵入検知システムの導入といった、サイバー攻撃に対する施策です。
組織の端末がマルウェアに感染すると、PCやサーバー、クラウド上に保管した機密情報が攻撃者に盗まれてしまう危険性があります。外部攻撃による機密情報の漏洩を防ぐためには、強力なアンチウイルスやマルウェアの事後検知に強いEDRといったセキュリティツールを導入し、早期に脅威を検知・駆除することが重要です。
また、ネットワークの異常な通信を検知・遮断する「IDS / IPS」や、ネットワーク全体を監視して脅威侵入をリアルタイムで検知する「NDR」の導入などもおすすめです。
弊社では、ネットワーク全体の通信状況を可視化し、異常な挙動を速やかに検知する、NDR「Darktrace(ダークトレース)」を提供しています。
2.OS、ソフトウェアの定期的な更新
OS、ソフトウェアの定期的なアップデートにより、こまめに脆弱性を無くす取り組みも効果的です。脆弱性を放置することで、そこから組織のネットワークやシステムに不正アクセスされ、機密情報が窃取される可能性があるためです。
ソフトウェアを定期的に更新し修正プログラムを適用することで、脆弱性を迅速に解消することが非常に重要です。
3.データの暗号化
機密情報を暗号化することで、漏洩による被害を最小限に抑えられます。
例えば、IDやパスワードが不正に利用されて機密データにアクセスされたとしても、暗号化すれば(パスワードを知らない限り)機密情報の閲覧はできません。
さらに、PCやUSBメモリを紛失した際、機密情報をメール等で誤送信した場合も、データ自体が暗号化されていれば、第三者による機密情報の閲覧・改ざんのリスクを低減できます。
4.アクセスログの管理やアクセス権限の最小化
「アクセスログ」とは、機器やソフトウェアに対し「いつ」「だれが」「どんな操作をしたのか」を記録したデータを指します。ログを閲覧することで、機密情報の漏洩が発生した際、すばやく原因の特定と対処を行うことができます。
またログ取得の旨を社内に周知することで、従業員が情報を許可なく持ち出したり、機密情報に不正アクセスしたりといった、不正行為を抑止することにもつながります。
加えて、システム管理アカウントへのログイン権限は情シス部門に限定する、極秘文書へのアクセスは幹部陣のみに許可するなど、管理者は組織のアクセス権限最小化・最適化を心がけましょう。アクセス権限を持つ従業員が多いほど、不正アクセスや機密情報持ち出しのリスクは高まります。
5.従業員へのセキュリティ教育の実施
機密情報の漏洩を防ぐためには、従業員一人ひとりのセキュリティ意識を高める教育が欠かせません。定期的な研修などを実施し、情報の適切な取り扱い方、社外業務時のルール、漏洩に対する処分などを周知するようにしましょう。
また、情報資産の取り扱いについて、情報セキュリティポリシーを策定・周知することも重要です。「同意書にサインしてもらう」「違反時の罰則を設ける」など情報セキュリティポリシーに則って行動してもらえるような取り組みを行うようにしましょう。
ここまで機密情報を漏洩させないための対策を5つピックアップして解説しましたが、以下の記事では原因別により詳しく情報漏洩対策について解説しております。ぜひあわせてご覧ください。
機密情報の漏洩対策ならLANSCOPEエンドポイントマネージャークラウド版にお任せ
機密情報漏洩の対策なら、MOTEXが提供する「LANSCOPE エンドポイントマネージャー クラウド版」にお任せください。業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末を一元管理し、セキュリティを向上することが可能です。
LANSCOPE エンドポイントマネージャー クラウド版には、機密情報の漏洩対策に有効な以下の機能が備わっています。
▼機能の一例
- ・PC・スマホの「操作ログ」を自動で取得
- ・PC・スマホ・タブレットの利用状況を「レポート」で見える化
- ・あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
- ・万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
- ・Windowsアップデートの管理
など
内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。
情報漏洩に繋がりそうな従業員の不正操作を、早期に発見し、インシデントを防止することが可能です。
また万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックや端末の初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。
LANSCOPE エンドポイントマネージャー クラウド版の詳しい機能については、以下の製品ページよりご覧ください。
また近年、Microsoft 365 サービスの導入が普及し、機密情報を SharePoint や OneDrive といったオンラインストレージ上に保管する組織も増えています。
SharePoint や OneDrive 上で管理される機密情報の漏洩対策なら、「LANSCOPE セキュリティオーディター」がおすすめです。
管理者は Microsoft 365 サービス上のファイル操作やアクセスのログを取得し、「誰が・いつ・何の操作をしたのか」を、一目で把握することが可能です。
まとめ
本記事では「機密情報の漏洩」をテーマにリスクや原因対策などを解説しました。
▼本記事のまとめ
- 機密情報とは、顧客情報や未発表の製品情報など、企業・組織が保有している情報の中でも、外部への公開が予定されていない秘密の情報を指す
- 機密情報が記載された文書を機密文書といい、機密度によって「社外秘文書」「秘文書」「極秘文書」の3種類に分けられる
- 機密情報が漏洩した場合、「経営不振につながる」「事後対応に膨大なコストがかかる」「損害賠償など罰則が科される」といったリスクがある
- 機密情報が漏洩する原因は、主に「外部攻撃」「内部不正」「人的ミス」の3つ
- 機密情報漏洩の防止策としては「セキュリティソフトの導入」「ソフトウェア・OSの定期更新」「データの暗号化」「アクセスログ監視やアクセス権限の最小化」「従業員へのセキュリティ教育の実施」が挙げられる
機密情報漏洩のリスクは、企業の信頼性や財務に大きな影響を与えます。不正アクセスやマルウェア攻撃といった外部脅威への対策はもちろん、内部不正・人的ミスといった社内への対策も情報漏洩対策に欠かせません。
ぜひ技術的な対策と人的要因への対策の両面から、強固な情報漏洩対策を行っていただければと思います。
おすすめ記事
