情報漏洩とは？原因やリスクと企業が取るべき対策をわかりやすく解説

情報漏洩（情報漏えい）とは？

情報漏洩とは、企業が保有している機密情報や個人情報などの重要データが、意図せずに不正な手段やミスにより外部に漏れてしまうことです。

企業が保有する情報資産は、他者にたいして秘密にすることでその価値を発揮します。秘密のすべき情報が漏洩すれば、情報の資産としての価値が失われ、その回復は非常に困難です。また、企業の経営に致命的な悪影響を与える場合があります。

秘密とすべき情報の漏洩リスクに対処する情報漏洩対策は、企業の価値向上に向けた競争力の源泉を維持する上でとても重要です。

情報漏洩（情報漏えい）の主な原因

情報漏洩の主な原因は、退職した役員や正社員による営業秘密の不正な持ち出し、個人情報の誤交付や誤配達、メール誤送信、ウイルスやマルウェア感染によるメール情報漏洩です。

中途退職者による情報の持ち出し

「企業における営業秘密管理に関する実態調査2020」報告書​​（IPA、独立行政法人情報処理推進機構、2021年3月）によると、情報漏洩ルートは、役員や正社員などの中途退職者による漏洩が36.3%と最多でした。

令和4年における 生活経済事犯の検挙状況等について（警察庁生活安全局、2023年5月）によると、不正競争防止法第 21 条第1項及び第3項に該当する事犯​​の推移は次のとおりです。

検挙事件数は増加傾向にあります。

主な営業秘密の侵害事件や顧客情報の不正流出

• 大手通信会社関連会社の元派遣社員による顧客情報の不正流出
• 税理士らによる営業秘密の領得に係る不正競争防止法違反等事件
• 大手回転寿司チェーン店経営会社元役員らによる営業秘密の領得等に係る不正競 争防止法違反等事件

個人情報漏洩の原因は、誤配達、誤交付、誤送信

プライバシーマークの認証機関である、日本情報経済社会推進協議会（JIPDEC）プライバシーマーク推進センターが毎年発表している、プライバシーマーク付与事業者から報告された個人情報の取り扱いに関する事故等の件数は、年々増加傾向にあります。

2022年度 個人情報の取り扱いにおける事故報告集計結果（JIPDEC、2023年8月）によると、発生事象別には「漏洩」が5,333件（76.1%）と最も多く、次いで「紛失」681件（9.7%）でした。

事象分類別には、「誤配達・誤交付」が3,013件（43.0%）、続いて「誤送信」1,730件（24.7%）、紛失・滅失・毀損785件（11.2%）でした。

ウイルス感染や不正アクセスによる情報漏洩（情報漏えい）

信用調査会社の東京商工リサーチが2023年1月19日に発表した、2022年「上場企業の個人情報漏えい・紛失事故」調査によると、上場企業の情報漏洩事件・事故は前年比1.2倍と過去最多でした。

情報漏洩・紛失事故の原因別では、不正アクセスやウイルス感染などのサイバー攻撃が91件（55.1%）と最多となっており、誤表示・誤送信が43件（25.0%）でした。

関連記事

• メールによる情報漏洩の原因は誤送信とマルウェア感染だった！
• ビジネスパーソンの6割が経験するメール誤送信

企業が行うべき情報漏洩の防止策

情報漏洩の防止策として、企業はどのような取り組みを進めればよいのでしょうか。情報漏洩の防止に向けて、具体的な6つの防止策を紹介します。

• 受信するメールの多層防御
• メール経由での誤送信や情報漏洩の防止
• 情報漏洩防止のリテラシー向上
• ファイルの暗号化
• 脆弱性（セキュリティホール）対策
• 送受信されたメール、操作ログなどの監査証跡の収集

メールセキュリティの多層防御（メール受信時）

メールは、ビジネス上で重要な連絡手段ですが、同時にウイルスやマルウェア、迷惑メール（スパム）、なりすましメールやビジネスメール詐欺などの様々な脅威が企業に侵入する経路になっています。受信するメールから脅威を取り除くためには複数のセキュリティ対策を組み合わせた多層防御により対処します。

受信メールの多層防御

• 迷惑メール（スパムメール）対策
• ウイルス・マルウェア対策
• フィッシング対策
• なりすましメール対策
• サンドボックス
• 受信メールのPPAP対策

多層防御により標的型攻撃メールやビジネスメール詐欺などの受信を防ぎます。

メール送信時の誤送信や情報漏洩を防止する複合的な対策

メールでの情報漏洩を防ぐには、属人的な対策では限界があります。送信するメールを複合的にチェックする仕組みを導入することで、メール誤送信やメールによる情報漏洩を防ぎます。

メール送信時の複合的な対策

• セルフチェックによる自己承認
• 送信保留
• 上長などの第３者によるチェックと承認
• 機密情報や個人情報が含まれていないかメール文面のチェック
• 添付ファイルの分離配送
• 多数に送るメールのBCC強制変換

POP3でのメール受信を禁止する

POP3（Post Office Protocol version 3）は、メールメッセージをメール受信者が利用しているPCやタブレット、スマートフォンなどの端末に保存されることから、端末に保存されたメールの情報や添付ファイルの情報漏洩のリスクがあります。

メール受信にPOP3を利用している場合は、POP3受信を禁止します。具体的な手順は、Exchange Onlineで POP3を禁止する、 GmailでPOPを禁止する、などご利用されているメールサービスの管理画面やヘルプをご確認ください。

情報漏洩防止のリテラシー向上

情報漏洩は日々の業務の中で発生するため、ミスを防ぐための注意啓発を行います。具体的には、情報漏洩の事例、秘密情報の管理の実践例、情報漏洩事案に対する社内処分などを周知します。

また、ゼロトラストの認知啓蒙も欠かせません。最近の詐欺メールは非常に精巧に作られています。本物かニセモノかを見分けることが難しくなる傾向にあります。そこで、「最初から信頼せずにきちんと確認を行う」というセキュリティ分野での考え方「ゼロトラスト」の啓発が重要です。

ファイルの利用制御と暗号化

暗号化ファイルシステム（Encrypting File System：EFS）

Windowsに標準で搭載されている、無料で使える暗号化機能です。フォルダやファイル単位の暗号化である（EFS：Encrypting File System）やMicrosoft Office ファイルへのアクセス管理（利用制御）とファイル暗号化により、万が一ファイルが流出しても、その利用を制限します。

参考情報

• ファイルの暗号化 – Win32 apps | Microsoft Learn
• Information Rights Management を使用してブックへのアクセスを制限Excel – Microsoft サポート
• Word で情報Rights Managementを使用してドキュメントへのアクセスを制限する – Microsoft サポート
• Information Rights Management を使用してプレゼンテーションへのアクセスを制限PowerPoint – Microsoft サポート

エンドポイントのセキュリティ対策

エンドポイントのセキュリティ対策は、PCやサーバーのほか、スマートフォンやタブレットなどの機器のセキュリティ対策です。PCやタブレットの紛失や盗難時に不正に利用されないようにする、紛失HDD暗号化。ウイルスやマルウェアの検知、振る舞い検知、ID管理、私物端末からのアクセス時の検疫機能などを行います。

脆弱性（セキュリティホール）対策

脆弱性（セキュリティホール）とは、ハードウェア、ソフトウェアなどの設計上のミスや不具合などによる欠陥のことです。脆弱性はサイバー攻撃において狙われやすいため、セキュリティホールとも呼ばれます。脆弱性を狙ったサイバー攻撃により情報漏洩が発生するリスクがあります。脆弱性を修正したプログラムを速やかに適用することで脆弱性を対策します。

送受信されたメール、操作ログなどの監査証跡の収集

送受信される全てのメールを保管するメールアーカイブを導入することで、メールのトラブルの発生時に事実関係を確認できる状態にします。また、エンドポイント端末の操作内容を記録する操作ログの管理も有効です。操作ログを用いて不正操作を検知し、アクセスブロックなどの対策を行えます。

情報漏洩発生時には、不審なメールや不正なPC操作、情報アクセスの特定により被害拡大の防止が可能になります。

メール経由での情報漏洩対策ソリューション

クラウドでのメールセキュリティ対策を実現

Cloud Mail SECURITYSUITE（CMSS）は、Microsoft 365、Google Workspace に対応したオールインワンのメールセキュリティサービスです。脅威防御・標的型攻撃対策、誤送信・個人情報漏洩対策、メールアーカイブをワンストップで提供します。月額200円から、メールセキュリティの目的や必要な対策に応じて必要な機能を選んで導入できます。

Cloud Mail SECURITYSUITEの詳細を確認する

 

メールセキュリティの多層防御を実現するクラウドサービス

MAILGATES Σ（メールゲーツ・シグマ）は、オンプレミス製品とMicrosoft 365やGoogle Workspaceなどのクラウドサービスにも対応できるクラウドメールセキュリティサービスです。

アンチスパムやアンチウィルスなどの受信対策や、添付ファイルの暗号化、PPAP対策や誤送信防止などの送信対策などを選択して導入できます。メール誤送信対策は、月額200円、添付ファイル暗号化&分離送信は月額100円で導入できます。

MAILGATES Σの詳細を確認する

 

eDiscovery (eディスカバリー)に対応したメールアーカイブ

eDiscovery（eディスカバリー）とは、米国民事訴訟における米国の電子証拠開示制度のことです。開示対象の証拠は、メールを含むビジネス上の連絡や、その他のデータが含まれ、日本の企業も対象になります。対象になった日本企業が国内に保存しているデータも開示対象になります。

サイバーソリューションズが提供する、Enterprise Audit（エンタープライズ オーディット）は、電子情報開示（eDiscovery）の手順であるEDRM（電子情報開示参考モデル）のフローに従って監査業務を行う機能を有しているメールアーカイブ製品です。

アーカイブ対象は、Exchange ServerやGmailなど各種システムのメール、Microsoft Teamsのチャットのアーカイブにも対応しています。詳しくは、Enterpise Auditの詳細をご覧ください。