情報漏洩とは?定義と原因、関係法令の解説
「情報漏洩」とは、組織や個人が管理する機密情報や個人情報が、意図せずに外部に流出または第三者に不正に取得されることを指します。この「情報漏洩」という言葉は、ビジネスや日常生活で頻繁に耳にしますが、その定義や本質的な意味について考えたことはありますか。デジタル化が進む現代社会において、情報漏洩の問題はますます複雑化し、深刻化しています。企業の信頼性低下、個人のプライバシー侵害、金銭的損失、法的責任など、その影響は多岐にわたります。本コラムでは、情報漏洩の基本的な用語解説や関係法令を説明します。
目次
情報漏洩の定義
個人情報と異なり、「情報漏洩」については公的資料の中にれぞれの文脈や目的に応じて定義されており、共通した明確な定義はありませんが、一般的には以下のように広く知れ渡っています。
情報漏洩とは、組織や個人が保有する機密情報や個人情報が、意図せずに外部に流出したり、権限のない第三者によって不正に取得されたりすることを指します。デジタルデータの電子的な流出だけでなく、紙媒体の書類の紛失や口頭での機密情報の漏洩なども含みます。
情報漏洩の種類と原因
情報漏洩には様々な種類がありますが、大別すると以下の通りです。
技術的漏洩
デジタル時代における最も一般的な情報漏洩形態の一つです。サイバー攻撃者がハッキングやマルウェアを使用してシステムに侵入し、機密データを盗み出すケースが典型的です。また、セキュリティ設定の不備により、本来保護されるべき情報がインターネット上に露出してしまうこともあります。組織のITインフラストラクチャーの脆弱性を突いた不正アクセスも、この種類に含まれます。技術的漏洩を防ぐには、最新のセキュリティ対策ソフトの導入、定期的なセキュリティ監査、従業員向けのサイバーセキュリティ教育が不可欠です。
人為的漏洩
組織内部の人間が関与する情報漏洩を指します。内部関係者が金銭的利益や個人的な動機から意図的に情報を持ち出す「内部不正」のケースもありますが、多くは従業員の不注意や過失によるものです。例えば、機密情報を含むメールの誤送信、重要書類の置き忘れ、近年では少なくなったFAXの誤送信などが挙げられます。また、ソーシャルエンジニアリングの手法を用いて、攻撃者が従業員から巧妙に情報を引き出すこともあります。人為的漏洩を防ぐには、定期的な従業員教育、厳格な情報取り扱い規則の策定と徹底、内部監査の実施が効果的です。
物理的漏洩
USBメモリ等の記憶媒体や、デジタルデータだけでなく、紙媒体の文書に関連する情報漏洩を指します。具体的には、機密文書の紛失や盗難、USBメモリやハードディスクドライブなどの記録媒体の紛失が該当します。また、機密文書の不適切な廃棄、例えばシュレッダー処理を怠ったために情報が第三者の手に渡るケースも含まれます。物理的漏洩を防ぐには、文書や記録媒体の厳重な管理、セキュリティロッカーの使用、適切な廃棄手順の確立が重要です。また、クリアデスクも効果的な対策の一つです。
システム的漏洩
アプリケーションの脆弱性等の情報システムの設計や運用上の問題から生じる情報流出、近年ではクラウドサービスの設定ミスによるデータの公開などの情報流出が該当します。この種の漏洩は、システム管理者や開発者の不注意や知識不足が原因となることが多く、その影響は甚大になりかねません。システム的漏洩を防ぐには、定期的なセキュリティ監査、脆弱性診断の実施、システム設定の二重チェック体制の構築が重要です。また、開発段階からセキュリティを考慮したシステム設計(セキュリティ・バイ・デザイン)の採用も効果的です。
第三者経由の漏洩
組織が直接管理していない外部の関係者を通じて情報が漏洩するケースを指します。委託先や取引先の従業員による情報の不正持ち出しや、APIを介した不正なデータアクセスなどが該当します。この種の漏洩は、組織の管理が及びにくい領域で発生するため、対策が難しい面があります。第三者経由の漏洩を防ぐには、委託先や取引先の選定時における厳格な審査、契約書への情報セキュリティ条項の明記、定期的な監査の実施が重要です。また、APIセキュリティの強化や、アクセス権限の厳密な管理も効果的な対策となります。
盗聴・盗み見による漏洩
第三者が不正に情報を入手する行為により発生する情報漏洩を指します。通信の傍受や、物理的な覗き見によって情報が流出するケースが該当します。例えば、公共のフリーWi-Fiでの通信傍受や、電車内でのパソコン画面の覗き見などが挙げられます。この種の漏洩は、情報の送受信や閲覧時の周囲への配慮不足が原因となることが多いです。盗聴・盗み見を防ぐには、通信の暗号化、VPNの利用、のぞき見防止フィルターの使用などの技術的対策と、従業員への啓発活動が重要です。
日本における情報漏洩に関する主な法令
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、サイバーセキュリティに関する施策を総合的かつ効果的に推進することを目的とした基本法です。サイバーセキュリティの定義を明確にし、国や地方公共団体、重要インフラ事業者等の責務を規定しています。また、サイバーセキュリティ戦略の策定や、サイバーセキュリティ戦略本部の設置など、国家レベルでの対策推進体制を整備しています。さらに、人材育成や研究開発の推進、国際協力の推進などの基本的施策を定めています。この法律により、国全体でサイバーセキュリティ対策を強化し、安全なサイバー空間の実現を目指しています。
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)
不正アクセス禁止法は、コンピュータやネットワークへの不正アクセス行為を禁止し、電気通信回線を通じて行われる電子計算機に係る犯罪の防止を図ることを目的としています。主な規制内容には、他人のID・パスワードを無断で使用してネットワークに接続する行為、セキュリティホールを悪用してネットワークに侵入する行為、他人のID・パスワードを第三者に提供する行為などの禁止が含まれます。違反者には刑事罰が科されます。この法律により、サイバー空間における違法行為を明確に定義し、取り締まることで、情報通信技術の健全な発展と国民の権利利益の保護を図っています。
不正競争防止法
不正競争防止法は、公正な競争を阻害する不正行為を規制し、事業者間の公正な競争を確保することを目的とします。主な規制対象には、他社の商品等表示の不正使用、営業秘密の不正取得・使用・開示、技術的制限手段の回避などがあります。特に営業秘密の保護に関しては、企業の重要な情報資産を守るための規定が設けられており、不正な手段による取得や使用、開示を禁止しています。また、損害賠償請求や差止請求などの民事的救済、さらに一部の行為に対しては刑事罰も定められています。国際的な取引の公正性確保にも寄与する重要な法律です。
マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
マイナンバー法は、行政手続における特定の個人を識別するための番号(マイナンバー)の利用等に関する法律です。社会保障、税、災害対策の分野で、複数の機関に存在する個人の情報を同一人の情報であることを確認するために、マイナンバーを活用することを目的としています。具体的には、マイナンバーの付番・通知、マイナンバーカードの交付、情報提供ネットワークシステムの構築・運用などを規定しています。また、マイナンバーの不正利用や漏えいを防ぐため、厳格な保護措置や罰則も定めています。この法律により、行政手続の効率化と国民の利便性向上、公平・公正な社会の実現を目指しています。
個人情報保護法(個人情報の保護に関する法律)
個人情報保護法は、個人情報の適切な取り扱いを定めた法律です。個人の権利利益を保護しつつ、個人情報の有用性に配慮することを目的としています。事業者に対して、個人情報の取得、利用、保管、第三者提供などに関する規制を設け、個人情報の取り扱いの透明性を確保します。また、個人の権利として、開示請求、訂正、利用停止などを定めています。2015年の改正では、要配慮個人情報の概念導入や、個人情報保護委員会の設置など、保護を強化しました。デジタル社会における個人情報の適切な利用と保護のバランスを図る重要な法律です。
個人情報保護法とGDPR
個人情報保護法に対し、EU圏内の個人データ保護を強化する法律GDPR(General Data Protection Regulation)というものがあります。データ主体の権利強化、企業の責任明確化、違反時の厳格な罰則などが特徴です。
GDPRは直接的には日本国内の法律ではありませんが、以下の場合に日本の企業や組織にも適用される可能性があります
・EU圏内に拠点がある場合:日本企業がEU域内に支社や営業所を持っている場合。
・EU市民のデータを扱う場合:EU在住の個人のデータを収集、処理、保管する場合。例えば、EU市民向けにサービスを提供するウェブサイトを運営している場合など。
・EU市民向けに商品やサービスを提供している場合:EU市民を対象とした事業を展開している場合。
・EU圏内の個人の行動をモニタリングしている場合:例えば、EU市民のウェブサイト閲覧履歴を追跡するなど。
個人情報保護法とGDPRの違い
個人情報保護法とGDPRの違いは以下のようなものです。
範囲 | ・日本国内で個人情報を取り扱う事業者に適用 ・2017年の改正で、外国にある第三者への個人データの提供に関する規定を追加 | ・EU域内の個人データを取り扱う全ての組織に適用(EU域外の組織も対象) ・EU市民の個人データを扱う日本企業にも適用される可能性がある |
個人データの定義 | 個人を識別できる情報 | より広範で、オンライン識別子やGPS位置情報なども含む |
同意の取得 | 原則としてオプトアウト方式(一部の場合にオプトイン) | 明示的な同意(オプトイン)が必要 |
対応範囲 | 組織全体のセキュリティインシデント | ネットワークとシステムの監視 |
権利 | 開示、訂正、利用停止の請求権 | より広範な権利(忘れられる権利、データポータビリティの権利など) |
データ保護の責任者 | 明確な規定なし | 一定の場合にデータ保護責任者(DPO)の任命が必要 |
罰則 | 比較的軽微(最大1年以下の懲役または50万円以下の罰金) | 非常に厳しい(最大2000万ユーロまたは全世界年間売上高の4%のいずれか高い方) |
情報漏洩に関するトレンド
IPA(独立行政法人 情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」で、2024年ではランサムウェアによる被害が1位となり、4年連続の1位となりました。
ランサムウェアというと、データを暗号化してシステムを一時的に破壊して身代金を要求するイメージが強いと思いますが、近年では、暗号化と同時に情報を窃取して、窃取した情報を公開されたくなければ身代金を払うよう要求する2重の脅迫が基本となっています。
さらには、暗号化をせず、情報窃取だけで身代金を要求する「ノーウェアランサム」の被害も広がっていることから、情報漏洩による会社の損害はますます大きくなっています。
順位 前年
順位1位 1位 ランサムウェアによる被害 2位 2位 サプライチェーンの弱点を悪用した攻撃 3位 4位 内部不正による情報漏えい等の被害
まとめ
情報漏洩に関しては、個人情報保護法や不正競争防止法、マイナンバー法など、様々な関連法令が存在します。これらの法令は、情報の種類や取り扱い方によって適用される範囲が異なるため、企業は自社の事業内容に応じて適切な対策を講じる必要があります。
特に注目すべきは、EU圏を対象としたビジネスを展開している場合のGDPRで、違反した場合に巨額の制裁金が課される可能性があり、その厳しさは他の法令と比較しても際立っています。
しかし、情報漏洩の影響は金銭的な損失だけにとどまりません。最も深刻な問題は、社会的信頼の失墜です。一度失った信頼を取り戻すのは容易ではなく、長期にわたって企業活動に影響を及ぼす可能性があります。顧客や取引先からの信頼は企業の根幹を成すものであり、その喪失は事業継続の危機にもつながりかねません。
法令遵守はもちろんのこと、情報セキュリティ対策を徹底し、従業員教育を含めた包括的な取り組みを行うことが不可欠です。情報漏洩リスクを最小限に抑え、社会的責任を果たすことが、持続可能な企業経営の要となります。