情報漏えいはどのようにして起こるのか?

みなさんは「情報漏えい」と聞いてどう思いますか?もともとは企業や政府など団体の機密情報が盗まれる、持ち出されるといったアナログな事件の言葉でした。しかし、最近はマルウェア・ウィルス感染と同じくらい、サイバー攻撃を原因として起こる情報漏えい事件のニュースが多いため、主原因はITを介したものが主流とお感じではないでしょうか。
確かに、サイバー攻撃から起こる漏えい事件は後を絶ちません。
しかしながら現在も人的原因(ミス・故意を問わず)による漏えい事件も非常に多いのが現状です。
実は、持ち運びが可能なノートパソコン、最近はタブレット、スマートフォンなど簡単に情報を外部に持ち運べるようになった現代では、それらデジタルデバイスの盗難・紛失によっておこる情報漏えいはサイバー攻撃と同じジャンルのセキュリティにくくられ、対応が求められています。
それはどんなに、ウィルス対策ソフトやファイヤウォールといったデジタルなシステムで対策を講じても結局はシステムを運用する従業員がそれを正しく運用しないと漏えい事件は防ぐことができないからです。

これは情報セキュリティ対策を構築する際、以下の3つの観点が重要といわれる所以です。
(1)システムによる対策
(2)社員教育
(3)社内体制構築

どれか一つ抜けても、情報漏えいは防げません。
それでは最近、どんな漏えい事件が起こっているか例を挙げてみます。

■横浜市教育委員会、市立高校と特別支援学校から提出された個人情報含む経理関係書類が所在不明に(2016/11/11)
■大阪府は、個人情報が記載された調査関係書類を一時紛失(2016/11/11 )
■杏林大学、患者の個人情報を米国のオンライン学術誌に誤って送付(2016/11/09)

等どれをとっても、情報を運用する担当者のケアレスミスで引き起こされています。
以下は関係機関でしらべた情報漏えい事故に関するデータです。
プリント
※ 出典:NPO 日本ネットワークセキュリティ協会
「2012年 情報セキュリティインシデントに関する調査報告書」

02
※ 出典:JNSA 2012年情報セキュリティ
インシデントに関する調査報告書

これらからも分かるように社員による「うっかりミス」にとどまらず故意な犯行も多いことが分ります。原因は冒頭でも記載した持ち運びできる小型のデジタルデバイスが広く普及したことにもありそうです。
繰り返しになりますが、情報漏えい対策はセキュリティ製品だけではなく、ルールの明確化や従業員への徹底が欠かせません。また、IT環境の変化、ワークスタイルの変化等に合わせて、定期的にルールや製品の見直し、また従業員への継続的な教育も不可欠です。
<