『情報セキュリティインシデントに関する調査報告書（2017年6月）』によると、年間の漏えい件数は報告されただけで約500件近くにのぼり、その賠償額の総額は数千億円にも及んでいます。まるで1つの市場が出来上がるようなインパクトがあります。漏えいする原因の約70％が管理不足や誤操作、紛失等の悪意のないもので日々の日常業務に原因が潜んでいます。悪意がないとはいえ、決して他人事では済まない経済的リスクがあることを認識していただくためにも、本稿では情報漏えいに対する原因と対策の説明とともに、想定賠償額の計算方法にも触れることで具体的な経済的リスクを把握して頂ける内容を紹介します。また外部からの不正アクセスや内部不正などによる原因も一定の割合で存在していることも事実です。こうした不正による情報漏えいをどのように防いでいくかという不正防止策についてもご紹介します。

※【参考】「JNSA2016年情報セキュリティインシデントに関する調査報告書（2017年6月）」

 

以下の図をご覧ください。
ワースト1位：管理ミス (34％)、2位：誤操作 (15.6％)、3位：不正アクセス、4位：紛失・鍵忘れ (13％)、5位：不正な持ち出し　の順番となります。ただし「1位：管理ミス」、「2位：誤操作」、「4位：紛失・鍵忘れ」という日常業務については、防止チェックや体制構築で、多くの情報漏えいを未然に防ぐことができます。まずは上記3つの日常業務における具体的な防止策作りを説明します。

【漏洩原因比率】

※特定非営利活動法人日本ネットワークセキュリティ協会「2016年 情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～」p12より引用

 

ここでは、管理者として組織的に見直す対策について触れてみたいと思います。

 

・ 責任者が施錠管理を行なう

・ 専用スペースを設置し分別をして保管とともに無断開閉をなくす

・ 入退室記録の設置

・ 廃棄時は復元不可能な状態にする（シュレッダー等）

・ 個人パソコン等からの社内ネットワーク接続の禁止
 

・ どの情報が「オープン」「社外秘」「極秘」なのかを経営側でしっかりと定義する

・ 情報ごとに従業員にわかりやすく表示する、また周知を行なう

・ 情報ごとに取り扱いに関するルールと罰則を決める

・ 内部通報窓口、または社外通報窓口の設置
 

誤操作のうち特に大きな割合を占める“メールにおける”誤操作防止策をお伝えします。従業員1人1人の心構えも大切ですが、意識に頼らない設定テクニックなどもありますのでご紹介します。

・ メール送信ボタンとともにメールを送らない
メールを送信トレイに一度おく方法です。確実に送るには送受信ボタンを押すか、そのメールの送信ボタンを押さなくては送られません。送る前に1度送信先アドレス等の再確認ができる方法です。

・ 「自動補完（オートコンプリート）機能」を解除する
アドレスを入力する際に、送ったことのあるアドレス等が自動的に表示されてしまうものです。
アドレス入力の手間が省けるメリットがありますが、送りたい相手ではないアドレスが表示されることもあるため設定後に1度確認しない場合は、送信ボタンを押したが最後、対象外の相手に送られてしまい情報が漏えいすることになります。

・ どんな添付ファイルにも暗号をつける
最低限ですが、特に大切な資料や機密情報であればあるほど、添付資料には暗号をつけて送るようにしましょう。

 

・ 持ち出しや複製、複写は原則として禁止にする、または情報責任者の許可制とする

・ 持ち出しの際は鍵付き鞄やGPSなどで紛失場所が特定できるような工夫をする

・ パソコン、スマートフォン、UBSメモリ等の持ち出しを禁止、または許可制とする

 

顧客情報などが漏えいした場合、どのような経営リスクとなる経済的なコストがのしかかってくるかについての算出方法をご紹介します。社員たった1人のミスが命取りになるような多大なるコストを発生することをご覧頂ければと思います。

 

2017年版のJNSA情報セキュリティインシデントに関する調査によれば、2016年の年間賠償額は約3,000億円 (2,788億7,979万円) という結果がありました。2004年に大手通信企業で起きた情報漏えいでは、451万件分の顧客情報が流出しましたが、お詫びは500円の金券とメール・アドレスの無料変更でした。また、2014年には大手教育企業で起きた情報漏えいが問題になりましたが、その際の被害者1人あたりに配られた “お詫び”（500円の電子マネーやQUOカード）などが記憶に新しいかと思います。万が一御社で事態が起きた場合、そのような対応で済むとお考えでしたら改めて頂きたいと思います。

【2016年 個人情報漏えいインシデント概要データ】

※特定非営利活動法人日本ネットワークセキュリティ協会「2016年 情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～」p6より引用

 

以下の図は被害者個人が受け取った損害賠償額の件数比率になります。被害者1人あたりの平均損害賠償額は3万円ほどです。年間事故件数約500件の全体から見ると先にご紹介した大手企業の賠償額500円がどれほど現実離れしているかがわかります。図をご覧頂くと、賠償額5,000円 (0が1つ増えます) 未満の件数はわずか24.4％に過ぎません。つまり1人あたり5,000円以上が実に75％以上近くを占めているのです。 

【一人当たりの想定損害賠償額比率(件数)】

※特定非営利活動法人日本ネットワークセキュリティ協会「2016年 情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～」p28より引用

 

それでは、その年度という定点観測ではなく、約10年にわたり平均一人当たりの想定損害賠償額が調査結果にありました。以下の図になりますが、あくまでも平均値ではありますが、2万円後半から5万円の間を行ったりきたりしているのが現状なのです。

【一人当たりの平均想定損害賠償額】

※特定非営利活動法人日本ネットワークセキュリティ協会「2016年 情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～」p28より引用

 

それでは、先述しました1人あたりの500円の賠償額含め、どのような算出をしているのでしょうか。

その方法として一般的に業界で用いられる「JOによる計算モデル」と「損害保険サービスでの補償額」の2つから考察してみたいと思います。また後者の保険サービスでは賠償額だけではなく、その各種マスコミ対応、詫び状送付等の実務にかかる2次費用などもご参考にしていただけるのではないかと思います。
 

計算図が出てくると難しいと考え避けてしまうところですが、内容は至ってシンプルですので、どうぞお付き合いください。

日本ネットワークセキュリティ協会 (JNSA) では、個人情報漏えいにおける損害賠償について、過去の事件・事故の分析・プライバシー権や名誉棄損の判例分析等に基づき、独自の想定損害額算出モデルである「(JINSA　Damage Operation Model For Individual Information Leak)」 を発表していますので参考例をもとにご紹介します。

（参考例）一般企業において、氏名、住所、購入履歴のあるデータが漏えいした場合1人あたりの賠償額は以下の式で求められます。

賠償額＝①基礎情報額×②機微情報度×③本人特定容易度×④社会的責任度×⑤事後対応評価

①基礎情報額･･･基本的な情報の値段です。500円と設定されています。

②機微情報度･･･以下の図にある経済的損失、精神的苦痛レベルの内容でXとYのいずれか大きい方の数字を選択します。

※□印は今回漏えいした項目を示しています

   

③本人特定容易度･･･どの程度特定されうるかという指標を当てはめます。

   

④社会的責任度･･･中小企業は以下の「一般的」に属する場合がほとんどです。

   

⑤事後対応評価･･･発生後の対応姿勢についての評価を当てはめます。

   

上記①～⑤を計算式に当てはめますと下記のような積算となります。

※【引用】「銀泉リスクソリューションズ㈱ RISK SOLUTIONS REPORT 2015」

 

日本商工会議所が運営する保険制度サイト（ https://hoken.jcci.or.jp/compromise）には、会員向けですが情報漏えいに関する一般的な保険サービス内容（情報漏えい賠償責任保険）が、大手6社の損害保険会社の紹介とともに確認できます。一般的な例として以下の内容を保険でカバーすることが記載されていました。賠償額だけでなく、その後の訴訟費用や実務費用などにも補償が設けられております。ご参考までに取り上げてみます。一部省略しております。

・ おすすめ1：外部起因・内部起因の事故を幅広くカバー

・ おすすめ2：サイバー攻撃等の際の対応費用を手厚く補償

・ おすすめ3：見舞金・見舞品購入費用も補償

・ おすすめ4：海外で訴訟提起された損害賠償請求も補償

・ おすすめ5：充実した補償のほか、事故対応等のサービスをご提供

（補償例）10万件の個人情報が漏えいした場合 → 総額1億7,370万円の損害に！

　　　　〈事故発生時の保険金支払例〉

※上記被害想定金額は、仮定のもとに算出した簡易試算の結果です。（上記サイト注記より）

 

ここでは、特に社外からの不正なアクセスや持ち出しなどによる情報漏えいについての防止策をご紹介します。1.情報漏えいの原因ワースト5の図を再度ご覧ください。

情報漏えい原因比率の第3位が不正アクセス (14.5％)、また5位が不正な情報の持ち出し (6.8％) となり、社外からの原因で起こる情報漏えいは約2割です。決して侮れません。この2つの原因に対する防止策を“不特定外部”と“取引先”の2つに分けてご紹介します。
 

【漏洩原因比率】

※特定非営利活動法人日本ネットワークセキュリティ協会「2016年 情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～」p12より引用
   

特にネットからの不正アクセスに対する防止策をご説明します。
 

不正アクセス等に備え、ネットワークに接続された機器で利用・保管する必要性のない秘密情報については、その利用態様を踏まえ、外部ネットワークにつながない機器に保存することが有効です。
 

ネットワークにつながったPC等の機器に保管されている秘密情報を不正アクセス等から守るためには、ファイアーウォールの導入や、ウィルスに感染させないためのアンチウィルスソフトなどのセキュリティソフトの導入、各種ソフトウェアの適時のアップデートが重要です。
さらに、不正侵入防御システムの導入等により防御することも有効と考えられます。
 

情報窃取活動への対抗手段として、まずは社内における秘密情報へのアクセス権者を最小限にする対策が有効となります。
 

ネットワークを分離することで、1つのネットワークに不正アクセス等があった場合でも、その他のネットワークに保管される秘密情報へは直接アクセスできないため、接近の制御の強化とともにウィルス等に感染した場合でも被害の拡散防止にもなります。
また、VPN (バーチャルプライベートネットワーク) を適切に活用することで、安全性を担保しつつネットワーク構築に柔軟性を持たせることができるようになります。
 

自社の秘密情報を共有する相手方を指します。例えば、委託先や委託元、外注先や外注元、共同研究先または日常的にオフィスに出入りする業者等が考えられます。取引先を通じた情報漏えいの中には、大別して、以下の2つのパターンが考えられます。

・ 取引先自体が主体となり悪意で情報の不正使用や不正開示を行う場合

・ 配達業者ほか人的にオフィスへ出入りする業者による不正流出する場合

以下それぞれの対策をご紹介します。
 

委託先の情報管理能力を確認する際に参考となる基準としては、ISMSが代表ですが、その他には、例えば、内閣サイバーセキュリティセンター（NISC）が政府機関向けに策定している『政府機関の情報セキュリティ対策のための統一基準（平成26年度版）』のP.23以降に、政府機関が外部委託する場合のセキュリティ基準が掲載されているので参考になるでしょう。
また、今後は委託先の業務従事者の中に「情報セキュリティマネジメント試験」の有資格者 (平成28年度春期から開始) がいるかどうかといった観点などは双方にとって信任されやすいものと思われます。
なお、秘密情報の開示に当たっては、事前に秘密保持契約を締結することが前提です。
 

秘密情報を保管する建物や部屋の入場制限や入退場チェック、書棚や媒体、システム等のアクセス制限を実施します。具体的には、

・ 敷地入口での警備員による身分確認

・ 入構ゲートを設置し、ID認証での入構制限

・ 書類・ファイル、記録機器・媒体を保管する区域を施錠管理し、入退室を制限
（例）書庫、サーバールームなど

各種メンテナンス業者等、一定の許可の下に、秘密情報に接する可能性のある事業者に対しては、「業務中に接する一切の情報を漏えいしてはならない」旨を業務委託契約等に盛り込むこと等が大変重要です。
 

ルートを適正に限定し、従業員が同行の上、秘密情報が保管されたエリアや部屋には近づけないようにすることが有効です。受付窓口より先に入室させず、外で受け取るなどの対応が必要です。
 

入口にて来訪者カード等を準備し、氏名や訪問先を記入してもらい、アポイントの有無を確認することなどにより、来訪者に対し情報管理に係る関心が高く、管理が行き届いた職場であると認識させ不正行為を心理的に抑制します。また、来訪者の入構時には、当該来訪者と実際に面識のある従業員が直接入口に出迎えることによって来訪者のなりすましを防ぎます。入構の際に、来訪者用のバッジ等を渡して着用してもらうことで、その者が来訪者であるということが外見上明らかとなり、従業員等の意識的又は無意識的な関心を集め不正行為に対して心理的な抑止効果が期待できます。
 

→営業秘密情報漏洩の記事を参照ください。

　　【営業秘密の情報漏洩は会社崩壊を招く／事例・予防策・事後対応を解説】

 

内部関係者による情報漏えいは、退職というタイミングに限らず、普段から対策を実施していくことが重要です。以下の表は現場社員と経営者や管理者との認識のズレがわかる調査結果です。防止に向けた調査内容ですが、社員の回答結果では内部不正への気持ちが低下するものとして、PC操作ログ含め、1位：システム操作の証拠が残る (54.2％) に対して、管理者 (経営者) では19位 (0％) となり、両者に認識のギャップがあることがわかります。
 

 

以下の図は動機や職場環境、スキル（知識・経験）等が原因で内部不正が起こることが考えられるアンケート調査結果です。社員の生の声です。ご参考にしてください。

（出所）独立行政法人情報処理推進機構　組織内部者の不正行為によるインシデント調査（2012年7月）
 

【悪意のない】日常業務の中で起こる単なるミスによる情報漏えいと言えども

・ 多額な経済的コストがかかること（⇒ 2. 個人情報漏えい時の想定賠償額）

被害者一人あたり5千円以上が全体の事故件数の75％を占めており、世間一般で目にしている賠償額（被害者：500円／人）では収まらないケースがほとんどです。

さらに、

・ 悪意ある不正アクセス（社外）や不正な持ち出し（社内外）による攻撃にも備えをすること

を念頭において頂ければ幸甚です。

起きてから大問題に発展するこうした経営リスクこそ、転ばぬ先の杖として特に経営者や管理者の皆様には日々備えて頂きたいと思います。

不正・不祥事の調査はトクチョーへご相談を

社員不正の実態解明には、外部の調査を使わなければならないケースが多くあります。

１９６５年創業の総合調査会社 株式会社トクチョーは

　　　※取材による素行調査
　　　※尾行調査（行動監視調査）
　　　※パソコンのログ収集、フォレンジック調査

など充実の調査メニューにてお客様の問題解決に貢献しております。
ご相談・お見積は一切費用を頂戴しておりません。
調査をご検討の際は、お気軽にご相談ください。

社員不正の実態解明には、外部の調査を使わなければならないケースが多くあります。

１９６５年創業の総合調査会社 株式会社トクチョーは

※取材による素行調査
※尾行調査（行動監視調査）
※パソコンのログ収集、フォレンジック調査

など充実の調査メニューにてお客様の問題解決に貢献しております。
ご相談・お見積は一切費用を頂戴しておりません。
調査をご検討の際は、お気軽にご相談ください。

【この記事のダウンロード（ＰＤＦ）はこちらから】