情報セキュリティ白書 ダントツ人気コンテンツの「国内のセキュリティインシデント」 その5　情報漏えい（２）

　今回は引き続き、情報漏えいを取り上げ「操作ミス等の過失」「内部者の故意による不正」「不適切な情報の取り扱い」の要因について紹介します。

　「操作ミス等の過失」について白書のP46では、認定個人情報保護団体である一般財団法人日本情報経済社会推進協会（JIPDEC）が2019 年9 月に公表した「（2018 年度）『個人情報の取り扱いにおける事故報告集計結果』を引用しています。それによれば、事故の発生原因は「誤送付」が57.9%と最も多く、次いで「紛失」が20.6%とのことです。過失の具体例として白書には業務に使用していた端末の紛失事例2件、ウェブサイトの更新作業の誤りによる事例を1件記載しています。

　「内部者の故意による不正」では2019年12月にハードディスクの廃棄処理を受託していた企業の元従業員がハードディスクを盗み売却していたという事例などを挙げています。なお、この「内部者の故意による不正」をIPAでは“内部不正”と呼んでおり、このリスクを低減させるため、「組織における内部不正防止ガイドライン」を策定しています。2013年に第1版を公開。その後改訂を重ね、現在第4版が公開されています。

図１：組織における内部不正防止ガイドライン第4版

　また「不適切な情報の取り扱い」については、就活サイトに登録された個人データが本人の同意なしに企業に提供されていた事例を記載しています。

■それぞれの対策について

・「操作ミス等の過失」
　情報の取り扱いに人が介在する状況では、人為的な過失である情報漏えい被害を完全に防ぐことは困難です。しかし、有効な手段はあります。

　１）過去の事例に基づく教育機会を設け、当事者意識の向上を図る
　２）重要な情報の取り扱いルールを設け、運用を徹底すると共にルール
　　　を適宜見直し、過失の発生を抑止する体制を作る。

・「内部者の故意による不正」
　上記同様に、完全に被害を防ぐことが難しいものですが、正しい知識や規則の理解、遵守を情報取扱者に対して促すことが不可欠です。そのうえで、不正を働き難くする環境整備として以下のような対策も求められます。

　１） 監視カメラの設置
　２） 退職者のアカウント管理の徹底
　３） 通信や操作ログの監視および保全
　４） 部署や役職に応じたアクセス権限の設定（最小権限化）

　また、昨今のコロナ禍において普及が進んでいる私物端末によるテレワークは、組織内の情報が持ち出しやすくなる、他の人の目が気にならないなど、内部不正が起きやすい環境といえます。そのため、内部不正を起こさせないための注意喚起やルールの策定・周知も重要です。
　前述の「組織における内部不正防止ガイドライン」のほか、経済産業省の「秘密情報の保護ハンドブック」等が参考になります。

図２：組織における内部不正防止ガイドラインの構成

・「不適切な情報の取り扱い」
　個人情報の取扱事業者は、取り扱い内容について本人の同意を得ることが大前提ですが、第三者に提供する場合、本人の同意がとれていない個人情報が含まれていないか、提供の目的、範囲等を十分に説明し、適切な形式で同意を得ているかを慎重に確認する必要があります。また、第三者への提供においては、提供先が保有する情報と提報情報を組み合わせ、個人特定が可能になることを想定し、慎重な確認が求められます。

　次回はEmotetのばらまきメールをとりあげます。
「情報セキュリティ白書2020」は以下のURLからご覧になれます。
https://www.ipa.go.jp/publish/wp-security/sec-2020.html