中小企業における情報漏えい防止対策（InterRiskReportより）

インターリスクレポートより　情報セキュリティニュース＜2014 No.1＞

執筆　インターリスク総研　事業リスクマネジメント部
事業継続マネジメントグループ　アソシエイト　沖　歩

近年発生している情報漏えい事件では、1件あたりの情報流出件数が非常に多くなっている。2013年度において国内では一度に数万件から数十万件の情報が流出する事件がたびたび発生している。一方、海外に目を向けると、例えばアメリカでは約4000万人分のクレジットカード情報が流出する史上最大級ともいわれる情報漏えい事件が発生している。

この背景にはサイバー攻撃が増加しているという事情がある。情報セキュリティ対策に多額の投資を行い、人材を投入し、社内体制を強化することができる企業は大企業など一部にとどまる。中小企業の多くは、対策への必要性を感じながらも投入できる資源が限られていたり、システム担当者がいても、十分な対応をとるための知識が不足しているなど、企業間でも大きな格差が存在する。

詳細は後述するが、今年は「Windows XP」などのサポート終了に伴う、いわゆる2014年問題があり、中小企業がサイバー攻撃のターゲットとなる可能性が高まると考えられる。セキュリティ対策が万全である大企業よりも、その業務委託先や取引先、関連会社などのセキュリティが脆弱な部分から入り込み、最終目的を達成する方が容易であるからである。中小企業にとって、行うべきシステム対策はあまりに広範囲に及び、どこから手をつけてよいのか、非常に悩ましい問題であるが、情報漏えい事件は単純なミスによるものも多く、基本的な対策を確実に行うだけでも防止効果は高い。

ここでは、発生件数の多い「内部の人間のミス（ヒューマンエラー）」による漏えいと、漏えいする情報量が多い「不正アクセスなどの外部からの攻撃」による漏えいについて、原因と主な対策について記載するとともに、2014年問題について説明する。

1.個人情報漏えいの現状
1.1個人情報漏えいの傾向
NPO日本ネットワークセキュリティ協会の調べによると、漏えい事件は2011年（通年）に1551件発生したが、2012年は上半期だけで954件発生しており、年々増加する傾向にある（図1を参照）。漏えい原因は、「管理ミス」「誤操作」「紛失・置忘れ」といった内部の人間のミス（ヒューマンエラー）が約85%を占めている（図2を参照）。