「情報漏洩の対策をしたいが、何から手をつけていいかわからない」という企業も多いでしょう。テレワークの普及やクラウドサービスの活用が進むなか、社内外のさまざまな経路から情報漏洩のリスクが高まっており、対策の必要性が重要になっています。
しかし、ただセキュリティソフトを導入しただけでは不十分で、社員の意識や業務フロー、外部とのやり取りなど、あらゆる角度から見直す必要があります。
そこで本記事では、情報漏洩対策を「内部対策」と「外部対策」に分けて徹底的に解説。また、自社で対策を進めるうえで必要なガイドラインの策定方法まで詳しくご紹介します。
情報漏洩の現状
近年、情報漏洩は深刻化しており、件数は年々増加しています。東京商工リサーチの調査によると、個人情報漏洩・紛失事故件数は2年連続で過去最多を更新し、流出・紛失情報は592万人分に達しています。また、2024年には上場企業と子会社で189件の情報漏洩事件・紛失事故が発生し、4年連続で最高記録を更新。
調査結果が示す通り、大企業だけでなく中小企業でも情報漏洩のリスクが増しており、企業規模を問わず、情報漏洩対策の強化が必須に。特に、従業員による誤操作や内部不正、外部からのサイバー攻撃など、漏洩の原因は様々であるため、技術的な防御策だけでなく、社内教育や運用体制の見直しも必要です。
以下の記事で、個人情報漏洩の事例・対策を紹介していますのであわせてご覧ください。
なぜ情報漏洩は起こるのか?
情報漏洩の対策を実施する前に、まずは原因を知っておく必要があります。情報漏洩が起こるのは主に3つです。
- 外部からのサイバー攻撃
- メールの誤送信や書類の紛失
- 内部不正
①外部からのサイバー攻撃
1つ目は、不正アクセスやマルウェア感染による攻撃です。
最近では、標的型メール攻撃やランサムウェア、ネットワーク脆弱性を突く攻撃が頻発しています。IPAの調査では、サイバー攻撃で被害を受けた企業の約48%が「セキュリティパッチ未適用などの脆弱性を突かれた」と回答しており、不十分な更新管理が原因となっています。
また、36.8%がIDやパスワードのだまし取りによる不正ログインを受けたと回答しており、外部からの侵入が情報漏洩につながっています。中小企業は情報漏洩の保護体制が手薄になりがちで、標的になりやすいのです。
②メールの誤送信や書類の紛失
2つ目は、メールの誤送信や書類の紛失など「ヒューマンエラー」による漏洩です。
株式会社イード刊行の「日本情報漏えい年鑑2020」によれば、2020年の情報漏洩件数514件のうち、メール操作ミスは58件(約11.3%)を占め、不正アクセスに次いで多い原因でした。また、USBメモリや紙資料を紛失する事故も情報漏洩の1つ。
実際、2023年10月に大手企業の子会社で発覚した事例では、派遣社員が約10年にわたり顧客データをUSBメモリにダウンロードして外部に流出させ、約900万件の個人情報が漏洩しました。
誤送信や書類などの紛失は、どれだけ注意をしても起こりうる問題です。悪意のないミスであるだけに、個々の意識によって変えていくしかありません。
③内部不正
3つ目は、社員や委託先など内部関係者の故意による漏洩です。内部者はアクセス権限を持つため、大量のデータを持ち出せます。最近の事例では、ある通信会社の関連会社で派遣社員が顧客情報約596万件を不正に持ち出して流出させたことが判明。
また、退職している元社員が自社システムに不正アクセスしてデータを削除する事件もあり、内部不正は企業の信頼と業務に大きなダメージを与えています。内部不正は、元社員を含めて、情報漏洩をした際のリスクなどを認識させて防ぐ必要があるでしょう。
以下の記事では、情報漏洩が発生した際の実際の事例を紹介しておりますので、参考にしてください。
情報漏洩の対策方法|内部対策
ここからは情報漏洩の対策方法を内部・外部に分けて解説します。内部対策では、社内での情報管理を強化し、人的ミスや内部不正を防ぐことに重点を置きます。具体的な施策の例として、以下のような取り組みが挙げられます。
- アクセス権限の管理と認証強化
- マルウェア対策・脆弱性管理
- 機密データの暗号化とバックアップ
- 持ち出し機器・媒体の管理
- 社員教育と意識向上
方法①アクセス権限の管理と認証強化
機密情報にアクセスできる人を必要最小限に制限し、細かい権限設定を徹底します。たとえば、役割に応じて閲覧・編集権限を分け、全員に管理者権限を与えないようにします。また、多要素認証やパスワード運用によりアカウント乗っ取りを防ぐことも重要です。
アクセス管理を厳格化することで、内部者でも不正に情報へアクセスしにくいようにするのです。
方法②マルウェア対策・脆弱性管理
社内ネットワークや端末へのマルウェア侵入を防ぐため、ウイルス対策ソフトやEDRを導入します。また、OSやアプリケーションを常に最新の状態に保ち、セキュリティパッチを欠かさず適用。IPA調査でも指摘されているように、パッチ未適用の脆弱性は不正侵入の温床となるため、定期的な更新管理は必須です。
定期的にウイルススキャンや異常検知を行い、怪しい動きをすぐに発見できる仕組みを構築します。
方法③機密データの暗号化とバックアップ
社内の重要データは保存時に暗号化し、万一情報が漏洩しても内容を解読されないようにします。具体的には、PCやサーバー内のファイルを暗号化するほか、通信経路でもSSL/TLSなどで暗号化します。
また、定期的なバックアップを実施し、データ消失や破壊から防ぎます。バックアップしたデータも別サーバーやクラウドに安全に保管し、内部不正や事故時の復旧に活用しましょう。
方法④持ち出し機器・媒体の管理
USBメモリや外付けHDDといったリムーバブルメディアの利用を厳しく制限して漏洩を防ぎます。必要に応じてUSBポート自体を無効化したり、社内認証済みの媒体しか使用できないように管理ソフトで制御します。
紙資料も外部持ち出しにはルールを設定し、不要になった文書はシュレッダーなどで破棄しましょう。誤ってでも機密情報が外部に持ち出されるリスクを低減できます。
方法⑤社員教育と意識向上
先述した通り、「メールの誤送信や書類の紛失」「内部不正」は、社員の教育による意識改革が一番の最善策です。定期的に情報セキュリティ教育や研修を実施し、全社員にルール遵守の重要性を理解させます。企業は教育・研修を通じて従業員に情報セキュリティの重要性を認識させる責任があります。
新入社員研修や内部ポータルでの注意喚起などさまざまな手段を用いて、情報漏洩リスクへの警戒を社内文化に根付かせましょう。
情報漏洩の対策方法|外部対策
外部対策では、社外からの攻撃を防ぐ技術的な対策や、取引先などサプライチェーンへの配慮を行います。主な対策方法は主に以下の3つです。
- ネットワークセキュリティの強化
- メール・Webセキュリティ対策
- 委託先・パートナーのセキュリティ確保
方法①ネットワークセキュリティの強化
社内ネットワークはファイアウォールやIDS/IPSで保護し、不正アクセスを防ぎます。外部から社内に直接アクセスできないようDMZネットワークで公開サービスを分離。
VPNやSSL-VPNを活用し、テレワーク時には通信の安全性を確保しましょう。また、重要系システムは物理ネットワーク的にも分離するなど、ネットワークの入口で攻撃を遮断できる設計を導入します。
方法②メール・Webセキュリティ対策
外部からの攻撃手段としてメール経由の被害が多いため、メールセキュリティを強化しましょう。
スパムフィルターやウイルススキャンを導入し、不審な添付ファイルやリンクを含むメールを遮断します。加えて送信ドメイン認証を設定し、なりすましメールを防止。ウェブセキュリティとしては、業務で利用するWebサービスに対してアクセス制御を設定し、不審なサイトへのアクセスを制限します。
必要に応じてプロキシやWebフィルタリングを導入し、マルウェアサイトへの侵入を未然に防ぎます。
方法③委託先・パートナーのセキュリティ確保
近年ではサプライチェーン経由の攻撃も多発しています。そのため、取引先や委託先企業にも情報漏洩対策を求め、契約時にセキュリティ要件を明記しましょう。
たとえば、委託先のセキュリティ対策状況のヒアリングや情報共有を定期的に行い、必要な監査を実施。これにより、委託先での事故が自社にも及ぶリスクを抑えられます。公益機関や業界団体のガイドラインなども参考にし、社外連携全体での情報管理水準を底上げしましょう。
情報漏洩対策のガイドラインを策定する5つの手順
情報漏洩の対策を実施するためには、ガイドラインの対策も必須です。策定には以下5つのステップで進めましょう。
- 目的と適用範囲の明確化
- 情報の洗い出しとリスクの順位付け
- 基本方針の策定
- 具体的な対策の定義
- ルール周知と社員への教育
手順①目的と適用範囲の明確化
まずガイドラインの目的を定め、対象となる情報や範囲を明確化します。
たとえば「顧客個人情報や社内機密情報を安全に管理する」ことを目的とし、対象範囲を「全従業員及び外部委託先、全拠点の情報システム」に設定します。この段階で適用対象としない例外も明示しておきましょう。実際に以下画像は経済産業省が公表している、秘密保持誓約書の例です。
また、目的と適用範囲の明確化ができていないとガイドラインを作成する際、結局何を目的にしてガイドラインを作成しているかわからなくなります。
手順②情報の洗い出しとリスクの順位付け
自社が保有する情報をすべて列挙し、重要度やリスクを評価します。情報ごとに「漏洩すると企業活動に与える影響」を基準に優先度を付け、リスク分析を行います。
例えば、顧客リストや技術設計図など機密レベルの高い情報は最優先で保護するなど、リスクレベルごとに管理策を策定します。
手順③基本方針の策定
情報セキュリティの基本方針を策定し、企業としての責務を定めます。多くの企業が採用しているように、「情報資産の機密性・完全性・可用性を確実に保護する」といった文言を盛り込みましょう。
また、法令遵守を明記し、全従業員・経営陣が責任を共有する体制を定義します。具体的には「個人情報は法令に従って取り扱う」「セキュリティルール違反は懲戒処分に値する」など、基本的なルールを網羅してください。
手順④具体的な対策の定義
前述の内部対策・外部対策で挙げた各種施策をガイドラインに落とし込みます。主に落とし込み施策としては、
- アクセス制御
- ソフト更新
- 暗号化
- 監視体制
- BCPの策定
など、現実的に実施する具体的な手順を明文化します。
必要に応じて運用マニュアルやチェックリストも併せて作成し、実務レベルで誰が何を行うかを明確にしましょう。ガイドラインが理想にならず実際の対策として定着します。
手順⑤ルール周知と社員への教育
作成したガイドラインは全社員に周知徹底し、理解を促す教育・訓練を行います。実はガイドラインを策定して、社員全体がしっかりと認識しているかが情報漏洩対策では重要です。
研修資料やイントラネットでの啓発、周知会議の開催などで浸透を図り、社員が日常業務の中でガイドラインを守るようにします。定期的に内容の見直しを行い、継続的な改善を心がけることも重要です。
情報漏洩対策が不安な場合はコンサルティングへの依頼も
「情報漏洩対策の自社でするのは不安」という方は、専門家の支援を活用するのもおすすめです。政府や業界団体は中小企業向け相談窓口や専門サービスを提供しています。例えば、IPAの「サイバーセキュリティお助け隊」では、中小企業向けに必要最小限の対策を低コストかつ確実に支援するサービスが提供。
外部コンサルティング会社に依頼すれば、自社の課題や業務フローに合わせて最適な対策をアドバイスしてもらえます。 また、業務効率化の観点から属人化リスクを低減することも情報管理に役立ちます。
情報漏洩は管理ミスからも起こる|対策と方法
情報漏洩の原因は、サイバー攻撃だけではありません。実は、日常業務で使用しているExcelの管理ミスや属人化された運用も、リスク要因の一つです。
特定の担当者しか内容を理解できない複雑な関数やVBAが放置されたままだと、異動・退職時の引き継ぎがうまくいかず、「誰にもメンテナンスできないファイル」が社内に溜まってしまいます。これが結果的に、誤操作・情報の消失・漏洩へとつながるのです。
こうした問題を防ぐには、Excel業務の可視化と、誰でも扱える「保守性の高い設計」が必須です。そこでおすすめなのが、以下の資料「エクセル業務を効率化するための実践ガイド」です。
この資料では、Excelの属人化をどう防ぐか、情報漏洩を回避するためにどんなルールや仕組みを整えるべきかを、図解つきでわかりやすく解説しています。VBAやマクロを活用する際の注意点や、業務引き継ぎ時のベストプラクティスまで幅広く網羅されています。
以下のリンクからダウンロードできるため、チェックしてみてください。
Excelスキルの標準化におすすめのセミナー
Excelで情報漏洩対策を管理するには、 Excelのスキルがないと難しいでしょう。そこで、おすすめするのが「Excel基礎セミナー講習」です。Excelの画面操作と初期設定などの基礎から、顧客情報の管理など応用まで学習が可能。
また、受講者限定で「マイクロソフトExcel完全攻略セミナーガイド」をPDFにて配布されます。受講期間の復習はもちろん、エクセルの参考書として活用いただけます。
| セミナー名 | Excel基礎セミナー講習 |
|---|---|
| 運営元 | GETT Proskill(ゲット プロスキル) |
| 価格(税込) | 27,500円〜 |
| 開催期間 | 2日間 |
| 受講形式 | 対面(東京・名古屋・大阪)・ライブウェビナー・eラーニング |
情報漏洩の対策まとめ
情報漏洩はサイバー攻撃だけでなく、社員のミスや内部不正などさまざまな要因によって引き起こされます。そのため、技術的な防御策だけに頼らず、社内の業務フローや教育体制、委託先との連携まで含めた対策が必要です。
「何から始めていいかわからない」と悩む企業も、まずはできるところから手をつけていくことが重要です。特に、日常業務で使われるExcelの見直しは、保守性と情報セキュリティを両立できるため、はじめに実施するのも良いでしょう。属人化のリスクを防ぎたい方は、「エクセル業務を効率化するための実践ガイド」もぜひ参考にしてください。
