- 前回は、個人情報について解説しました。
特定の個人を識別できる情報を個人情報と言い、氏名や住所だけでなく、マイナンバーなど個人に振り分けた管理IDや生体情報をデジタルデータにより表現した「個人識別符号」も個人情報として扱われるという話をしました。
また、個人情報を収集する企業が、収集した個人情報を保護、管理、活用するために制定された法律を個人情報保護法と言い、保護するだけでなく、活用するため、個人情報を除外し加工した「匿名加工情報」や事前に広告を送ることの承諾を得るオプトイン方式なども個人情報保護法に定められている。という説明もしました。
本日は個人情報が流出してしまった過去の事例を紹介し、その被害規模や原因、対策などをお話していきます。
①個人情報流出の恐ろしさ
- まずは、個人情報流出の件数からお伝えしていきます。
東京商工リサーチの調査によると、2021年における上場企業およびその子会社で個人情報の漏えい・紛失事故を公表したのは、120社・137件、漏えいした個人情報は574万9,773人分でした。これは調査を開始した2012年以降で、いずれも最多記録とのことです。 - そんなに、流出しているんだ。。
- ちなみに、このデータは上場企業およびその子会社のみの数字ですから、中小企業の件数を加えるとさらに増えます。 個人情報が流出することにより、流出された人たちは様々な被害を受けることとなりますが、流出させた企業はさらに大きな損害が出ることになります。
以前発生したショッピングサイトでの個人情報等の漏えいでは、Webサイトが改ざんされ、利用者が入力したクレジットカード番号などの各種情報、約1万件が漏えい。2,500万円にも及ぶクレジットカードの不正利用被害が発生しました。
原因究明および再発防止策の導入により、このWebサイトは6カ月にわたり閉鎖されました。
この、ショッピングサイトでは年間10億円の売上があったため、半年間の5億円分の売上がなくなってしまったことになります。 そしてこのケースではさらに、コールセンターの設置やおわびとして送付した500円分のプリペイドカードの購入費用など、費用損害が2,890万円、利益損害が3,000万円、賠償損害が3,600万円と、合計9,490万円もの損害が出たそうです。 - 破壊力がえげつなさすぎる。
- また、この会社にいる従業員も大変です。
お客様からクレームの電話やメールが殺到するので、それに対応しなければなりません。システム管理者もサイバー攻撃の原因究明を急かされ、不眠不休の日々が続きます。
それが続くことで、疲弊し、困難な対応によりストレスも溜まって、士気もどんどん下がっていきます。これに耐えきれず退職者も続出するでしょう。
そして、これらの対応が終わった後も安心できません。一度このような事件を起こしてしまったようなショッピングサイトを使おうと思う人は少ないので、以前のような売上は見込めるはずもなく、経営が悪化し続けます。
結果として莫大な負債を残して倒産することも少なくありません。 - こわすぎ・・・
- つまり、個人情報を預かる企業にとって、その流出は経営の根幹を揺るがすくらいの大ダメージとなるということです。 通常の情報1の授業において、個人情報とは何か?個人情報保護法の内容といったことは学びますが、それを学ぶ根本的な理由までは教えてくれないことがほとんどでしょう。
しかし、ルークススクールでは、皆さんの将来のために個人情報の大切さと、流出したときの怖さ、そして流出しないための対策などをお話ししますので、しっかりと勉強してほしいです。
②個人情報流出の原因
- 個人情報流出の原因として最も多かったのが「紛失や置き忘れ」「誤操作」「マルウェア感染や不正アクセス」の3つで、個人情報流出全体の70%を占めています。これらの情報を踏まえて個人情報流出のインシデントとして最も多かった3つの原因について詳しく見ていきましょう。
1:紛失や置き忘れ(26.2%)
情報漏えいと聞くとサイバー攻撃によるものを連想するかもしれませんが、実際はパソコンやスマートフォン、USBメモリ等の紛失や置き忘れといった、人的ミスによる情報漏えいが多数を占めているのが実情です。
2022年6月にも、兵庫県尼崎市の全市民約46万人分の個人情報が入ったUSBメモリが紛失したインシデントが発生しました。
給付金の支給業務を尼崎市から委託された情報システム会社の社員は、個人情報をUSBメモリに移して外部に持ち出し、居酒屋で飲酒し泥酔して路上で寝込んでしまった後、起きたらUSBメモリや携帯電話を入れたかばんの紛失に気づいたという、非常にお粗末な事件です。
幸い、かばんは自宅マンションの敷地内で見つかり、USBメモリから情報が抜き出された痕跡などはなく、情報流出は確認されなかったそうですが、尼崎市には、16000件を超える苦情や問い合わせが寄せられたそうです。
また、新型コロナウイルスの感染拡大による働き方改革の推進も相まって、テレワークを導入する企業が増加しています。
テレワークは新しい時代に則した働き方として注目を集める一方、セキュリティリスクが懸念される勤務形態です。
たとえば、カフェやコワーキングスペースで業務を行なった際の置き忘れ、移動時の紛失・盗難などのリスクが高まります。このように紛失や置き忘れは、社会情勢に伴って増加傾向にある情報漏えいの原因の1つとも言えるでしょう。
2:誤操作(24.6%)
ITシステムやメールの誤送信も、人的ミスによる情報漏えいの原因の1つです。
特に多いのがメールの誤操作による情報漏えいで、送信先や送信設定を誤り個人情報や顧客情報を流出させてしまうケースが代表的です。
例えば、A社の顧客リストをA社の高橋さんにメールで送信しなければならないところ、B社の高橋さんに送ってしまったという送信先を間違えるケースや、送信先は正しくても、添付するファイルを間違えてしまうケースなどがよくあります。
こういったトラブルを避けるためにも、メールを送信する前は宛先や本文、添付ファイルをしっかりと確認するようにしましょう。 また、最近ではメールの誤送信を防止する仕組みが整ってきています。
なかのりPGお気に入りのGメールでは、送信ボタンを押した後に数十秒間、送信を取り消すことができる機能があります。ので、そういったツールを利用するのも良いでしょう。
そもそも、個人情報が含まれるリストをメールで送信すること自体、あまりよろしくありません。
個人情報の外部送信の方法については、会社によって情報セキュリティーポリシーによる取り決めがされているはずなので、そのルールを忠実に守るようにしましょう。
3:サイバー攻撃による不正アクセス(20.3%)
以前動画で説明した、サイバー攻撃により情報が流出してしまう不正アクセスは全体では3番目に多い原因となっていますが、大手企業に限って言えばダントツの1位となっています。
不正アクセスの手口として多いのは、ランサムウェア、フィッシング、ブルートフォースアタックによるものです。
いずれも過去の動画で説明していますので、まだ見ていない方は、そちらの動画を見て、内容や対策などをしっかりと学んでおいて下さい。
この不正アクセスを例えると不法侵入のようなものです。他人のID・パスワードを無断で使用し勝手にログインをしたり、他人のID・パスワードを第三者に教えたり、フィッシングサイトを作成して他人のIDやパスワードを不正に取得したりといった行為が不正アクセス禁止法により禁止されています。
また、IDやパスワードを使わずに、ウェブサイトやコンピュータのセキュリティホールを狙って、サーバに侵入する行為も禁止されています。これらの行為をした際に実際に被害が発生しなくても、不正アクセス禁止法の違反となり処罰対象となります。
③情報の価値
- そもそも、なぜ個人情報を盗もうとする人がいるのさ。
- それは盗むだけの価値があるからです。
個人情報の中で住所と氏名が分かれば、その自宅宛にダイレクトメールで広告チラシを送ることができますよね。クレジットカード情報が分かれば、それを悪用して自分が欲しい物を他人のクレジットカードで購入することができてしまいます。
さらにその個人情報に属性が付けば、さらに価値は上がります。 - 属性?
- 例えば、青汁のショッピングサイトで購入する人ってどんな人をイメージしますか?
- うーん。比較的高齢の人かな?
- はい。そうですね。ということは、そのショッピングサイトが持つ個人情報は、年齢層が高い属性の個人情報ということがわかります。
その個人情報の電話番号を手に入れれば、オレオレ詐欺が効率的にやりやすくなると思いませんか? - 確かにそうかもしれない。
- このように、年齢層や、子供がいるいないなどの付加情報のことを属性と呼びます。要するに、今は様々な情報に価値が付けられる時代ということも認識しておくべきです。
その価値ある個人情報を流出させないための対策については、以前の情報セキュリティの動画でお伝えした各種マルウェアの対策を施したり、情報セキュリティーポリシーに則ったルールを徹底していくことが求められます。
しかしながら、もっとも重要なのは、個人情報を管理する人の意識や情報リテラシーの高さだと、私ルークスは思います。
最初に例で挙げたショッピングサイトでは、1万件の情報漏えいに対し、被害額は約1億円となっています。
つまり、先程の尼崎市の場合、46万人分の個人情報が入ったUSBメモリはその46倍の46億円と同等の価値があるということです。
みなさんは、46億円の現金を持って外を歩けますでしょうか?おそらく一歩も外を出たくないと思う人がほとんどでしょう。
しかし、情弱というのは恐ろしいもので、こういった事実や恐ろしさを知らないだけで、これを平然と外部に持ち出し、さらには途中に、居酒屋で酒を飲み、泥酔して路上で寝るということができてしまうのです。
私は常々「知るは戦いを制す」という言葉を使い、情報武装の大切さをお伝えしています。
しかし、ほとんどの高校の情報1の授業では単に用語の意味を教えるだけで、なぜそれを学ぶかという本質的なところまではつっこんで教えてくれません。
私は歴史と同様に、先人たちが過去に犯した様々な過ちを繰り返さないためにも、なぜ学ぶのかということも、これからも説明していきたいと考えています。
だから、この動画を見る皆さんも、単に大学入試のためだけでなく、自分の将来のために必要なことだと思って見てほしいと心の底から願っています。
まとめ
- 個人情報が流出することにより、流出された人たちは様々な被害を受けることとなるが、流出させた企業はさらに大きな損害が出ることになります。
- 個人情報流出の原因として最も多かったのが「紛失や置き忘れ」「誤操作」「マルウェア感染や不正アクセス」の3つで、個人情報流出全体の70%を占めているので、これらの原因や対策を抑えておこう。
- 単に個人情報とは何かを学ぶだけでなく、流出したときの怖さを知り、本質的な知識を身に付け、社会人になったときに情報リテラシーの高い人間になろう。