(イメージ:写真AC)

今回は、内部不正について取り上げる。内部不正といえば、印刷物での持ち出しやUSBメモリによる持ち出しを想像されるかもしれないが、実際にはさまざまな媒体を利用して情報が持ち出され、その結果情報漏えいに発展してしまう場合がある。自社の被害だけでなく、場合によっては他社や顧客の被害にもつながるため、テレワークにおいても注意が必要だ。

内部不正にはどのような媒体が利用されているのだろうか? 特定非営利活動法人 日本ネットワークセキュリティ協会(以下、JNSA)が発行している「情報セキュリティインシデントに関する調査報告書」(2018年版)から、過去3年間で発生した個人情報漏えいインシデント件数を媒体・経路別に確認できる(表1)。内部不正で利用される媒体・経路も、おおよそこの通りとなる。

ちなみに、表1に記載の件数は、インターネット上に公開されていた個人情報漏えいインシデント情報を収集したもので、内部不正によるもの以外にも、紛失・置き忘れ、誤操作、不正アクセス、管理ミス、盗難、設定ミスなどを原因としたインシデントも含まれている。媒体別にみると、傾向として、紙媒体での漏えいが減少しており、インターネット、電子メール、USBなど可搬記録媒体からの漏えいが増加していると言える。

写真を拡大 表1. 媒体・経路別の個人情報漏えいインシデント件数

内部不正によるものを含め、情報漏えいが発生した場合、事業経営にどのような影響があるのか、ここで触れておきたい。漏えいする情報が個人情報だった場合と、個人情報以外の機密情報だった場合に分けて解説する。

個人情報を漏えいさせた場合、日本では個人情報保護法で罰せられ、比較的低額ではあるが罰則金も発生する。では、日本以外ではどうだろうか。世界的に見ると、代表的なものとして2018年に施行されたEU一般データ保護規則(以下、GDPR)がある。規則に違反した場合、違反の内容や故意なのか過失なのか、どのような対策を行っていたかなど、複数の項目に基づいて制裁金が決定されるが、全額の場合は全世界連結売上高の4%または2,000万ユーロ(約25憶円※1)の高い方を制裁金として課すことになっており、とても高額である。また、GDPRで保護される対象はEU市民だけでなく、EUへの出張者や旅行者も含まれる上、日本国内で取り扱うEU市民も該当する。つまり、業務でEU市民の個人情報を取得する場合は要注意だ。

GDPRによる制裁は、すでに欧米を中心に複数社に対して行われている。事例としては、不正アクセスへのウェブセキュリティー対策不足に対して航空会社に約250憶円※1、情報漏えい対策不足に対しホテルチェーンに約135憶円※1、個人情報収集と利用に関する説明不足に対し大手IT企業に約61憶円※1といった高額なものから、患者データアクセス保護不備に対し病院に約4,900万円※1、ウェブサービス企業の情報漏えい対策不足に対し約250万円※1といった比較的少額なものまで明らかになってきている。このように、個人情報を漏えいさせてしまうと、企業としての信用を失うだけでなく、場合によっては事業の存続が危ぶまれるほどの高額な制裁金が課せられる。日本だから大丈夫ということはなく、日本の企業も、きちんと対策をしなければいつ制裁金を課せられてもおかしくない状況にあるのだ。

(※1)2020年7月時点の為替レートを参考に計算

一方、機密情報を漏えいさせた場合、法律で罰せられるというよりは、自社および取引先の知的財産の流出につながり、賠償責任だけでなく業績悪化、事業撤退、国家間の技術競争敗退など、一企業では収まらない計り知れない影響が出てくる。

個人情報漏えいにも機密情報漏えいにも共通して言えることは、どちらも信用失墜によって企業経営の危機を招きかねないということである。

さて、話を内部不正に戻そう。内部不正の媒体・経路としては、前述した通り、おおよそ紙媒体、インターネット、電子メール、USBなどの可搬記録媒体、PC本体、スマートフォンやタブレットに分類できる。内部不正を防止するため、媒体ごとに気をつけるべき点と対策について見ていきたい。