2016/09/26

「平成27年度個人情報の取扱いにおける事故報告にみる傾向と注意点」より / 竹内 肇

 本年8月22日に、一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターから「平成27年度 個人情報の取扱いにおける事故報告にみる傾向と注意点」が発表されました。

  https://privacymark.jp/news/2016/0822/index.html

 内容は、プライバシーマーク付与事業者から平成27年度中に18の審査機関に報告があった“個人情報の取扱いにおける事故”について分析したものです。

 

 平成27年度の報告件数は、796付与事業者より1,947件の事故が報告されており、一時期減少したこともありますが、基本的に増加傾向を辿っています。付与事業者数(14,755)に対する事故報告事業者の割合は5.4%であり、つまり、18.5社に一社の割合で“個人情報の取扱いにおける事故”が発生しているという事になります。

 これには、配送物の配送委託先のミスなどの不可抗力によるものは事故報告件数は含まれていないということ、全ての付与事業者が、発生した事故をきちんと奉告しているとは限らないこと(付与事業者は、個人情報の取扱いにおける事故は報告しなければなりませんが、対外的に知られるのが怖いとの理由から報告されていない事例が無くはありません。)、更には、プライバシーマーク付与認定審査をクリアし、一定レベルのセキュリティ対策が実施できている事業のみの報告件数であること踏まえると、世間では、更に多くの事故が発生しているだろうことは容易に想像できます。

 ニュースガイア(株)の情報セキュリティニュースサイト「Security NEXT」の「個人情報漏洩事件・事故一覧」をご覧になれれると実感していただけるものと思います。

 http://www.security-next.com/category/cat191/cat25

 

 事故の内容としては、「紛失」が最も多く、次いで「メール誤送信」「封入ミス」「宛名間違い等」などとなっており、人的要因によるものが全体の8割以上を占めています。従来より情報セキュリティ事故・事件の原因は人的要因が8割以上を占めると言われていますが、その通りの結果となっています。

 この中でも、近年、「メールの誤送信」に関しては、増加傾向にあり、昨年比34%増となっています。この背景には、『メールの誤送信ぐらい・・・』との意識が、個人情報保護の意識が高まる中で、“個人情報漏えい事故”として認識されるようになってきた背景があるように思います。私が行っているISMS認証審査においても、事業者がメール誤送信に対するリスクを高く評価し、その対

策を講じる例が増えています。現在、メール誤送信対策のためのソリューションも充実してきておりますので、まだ、無対策というのであれば、検討されると良いでしょう。

 

 人的要因以外で注目するものとして、24件の「不正アクセス・不正ログイン」があります。たかだか1.5%程度の件数ですが、流出する個人情報の件数や個人情報の内容から社会問題として取りあげられる例が多く、事業の存続にも関わることになりかねないことを認識する必要があります。

 今年7月に京都の印刷会社で発生した顧客情報データベースへの不正アクセスによる個人情報流出事件は、身近な会社の事件として皆様の関心の対象となったものと思います。

 

 最後に、本報告書では、「3.事故に対する主な注意事項等」として、“標的型攻撃メール”に関する記載があり、各所で注意喚起が行われているものの、その攻撃及び被害は続いているとして注意を促しております。

 「不正アクセス・不正ログイン」の足掛かりとして、“標的型攻撃メール”が使われることも多く、昨年の日本年金機構からの125万件の個人情報流出事件は、その代表例と言えます。

 IPAが毎年発表する「情報セキュリティ10大脅威2016」においても「標的型攻撃による情報流出」を最上位の脅威として忠告しております。

  https://www.ipa.go.jp/security/vuln/10threats2016.html

 

 ちなみに、日本年金機構の事件に関しては、外部有識者らによって構成された“日本年金機構における不正アクセスによる情報流出事案検証委員会”がまとめた「検証報告書」、及び、政府機関のサイバーセキュリティ戦略本部がまとめた「日本年金機構における個人情報流出事案に関する原因究明調査結果」も一緒にご覧いただくこと良いでしょう。

  https://www.ipa.go.jp/security/publications/hakusyo/2016.html

  http://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf

 

 ここでは、個人情報に関する事故・事件に関連して述べていますが、BtoBのビジネスにおいては、事業上の技術情報や未公開商品情報なども、重要な情報セキュリティの対象となることを忘れてはいけません。事実、そうした情報の不適切な取り扱いが事業業績に大きく影響を与えたという事例も多くあります。

 情報セキュリティ事故・事件に関する報道は見聞きするものの、どこか他人事という会社も多いようですが、事業継続の観点で我が身のこととして認識していただければと思います。

 

------------------------------------------------------------------------

■執筆者プロフィール

 

 竹内 肇(たけうち はじめ)

 ISMS(ISO/IEC 27001)、QMS(ISO9001)の審査員活動の傍ら、中小企業におけるISMS構築支援、情報セキュリティに関する助言活動を行っています。

カテゴリ: 2016年

コメントをお書きください

コメント: 1
  • #1

    坂口幸雄 (水曜日, 28 9月 2016 09:43)

    情報セキュリティについてコンパクトに大変分かりやすく説明してあり、参考になりました。