情報セキュリティ 関連コラム

情報漏えい時の危機対応(1)

2017.09.21

総合研究部 上席研究員 佐藤栄俊

データをロックするイメージ画像

1.情報漏えい時の危機対応(その1)

情報漏えい対策の重要性についての認識が高まり、企業や団体を中心に、脅威に対する認識の高まりとともにその具体的な取り組みが進んでいます。しかし、情報漏えい対策への意識は高まっているものの、情報漏えいに関する事故は頻繁に報じられており、事故の発生件数そのものは減少していないのが実情です。実際われわれが対応を支援する件数が特に増加傾向にある事案も、情報漏えい事故対応であり、企業規模の大小にかかわらず多数発生しています。企業等が保有する重要情報を標的にした不正アクセスや、内部不正による情報漏えいなどが企業の大きな脅威となっていますが、その対象は大企業や政府機関だけではありません。企業に対する直接的な被害だけでなく、取引先や一般消費者を標的とした攻撃の踏み台にされる場合もあります。

情報漏えい対策に取り組んでいるにもかかわらず、情報の漏えい事故が起こってしまった場合、企業にはどのくらいの影響があるのでしょうか。企業や組織における顧客情報・個人情報・機密情報等の漏えいや流出が当該組織に与える損害は、漏えいした情報の検出や原因究明と被害者への通知、事後対応等の直接的なコストに加え、顧客離れに伴う事業面での損失、株価の下落、信用の失墜、そして長期にわたる営業効率の悪化、システムの再構築費用等、非常に大きな負担となります(その損害の大きさを企業が正しく認識できていないことこそ、情報漏えいリスク対策に本格的に着手できない大きな理由のひとつだと考えられます)。

個人情報の漏えい事故による損害賠償額(慰謝料等)についての事例は、概ね、侘び状等の送付に掛かる経費を含めて、一人あたり数百円から数万円程度まで幅広くかかることがあります。個人の機微な情報の場合や、顧客リストとして価値があり、勧誘電話が掛かってくるなどの二次被害が発生している場合などは、自主的に被害者一人ずつに対して商品券や金券等を配布する場合もあり、約5万人に対して一人あたり1万円の商品券を配布し、5億円が必要になった、という事例もあります。また、影響は金銭面だけにとどまらず、企業としての信用やイメージに悪影響を及ぼすこともあります。

このように、情報漏えい対策が不十分であるために、情報漏えい事故を引き起こしてしまった場合には、経済的損失に加えて、企業としての信用・イメージをも損なう可能性があります。

対応にかかる費用

それでは、情報漏えい事件を起こしてしまった場合、その収束までにどのくらいの費用損失が発生するのでしょうか。情報漏えい事件の場合、「損害賠償」「費用損害」「逸失利益」が発生します。損害賠償は、情報漏えいによって損害を与えてしまった人から請求される損害賠償金や、損害賠償に関する争訴費用、弁護士費用などが該当します。
 費用損害は、漏えい後の対応に発生する費用や通信費用、社外問い合わせ対応費用、人件費、事故原因調査費用などの事後対応費用、謝罪広告などの広告宣伝活動費用、コンサルティング費用、見舞金・見舞品費用などが含まれます。逸失利益は、例えばサイバー攻撃によるシステムの停止や被害範囲が特定できるまでサービスを自粛することなどによって失った、本来得られるべきであった利益のことです。

それでは、実際に情報漏えい事故が発生した場合を、具体的な事例をもとに概算で想定してみましょう。

【想定事例】

個人向けのインターネット通販を提供している会社で、社員のPCが標的型メール攻撃によりマルウェアに感染したことが原因で、その結果、攻撃者により外部から10万件の個人情報が流出しました。さらに二次被害も発生し、被害者300名から損害賠償の訴訟を受け、ひとり当たり3万円の損害賠償の支払いを命じられます。

この事故により通販サイトも停止し、年間売上げの約20%の逸失利益が発生した場合の損害費用を見ていきましょう。まず訴訟への対応として、賠償責任の費用は300名×3万円で900万円になります。費用損害は、被害者全員へのお詫び(お詫び状の郵送・メール・ホームページでのお詫び対応、全国紙の新聞5紙へのお詫び広告掲載)に4,000万円、法律相談費用に100万円、問い合わせ対応体制の整備に2,000万円、被害者へのお詫びの品・金券の送付に6,000万円、原因究明・再発防止策検討のための調査・準備に2,000万円、クレジットカード再発行費用に5,000万円、合計1億8,100万円となります。賠償責任と費用損害の合計は、1億9,000万円にもなります。これに逸失利益として年間利益の約20%が加わります。たとえば年間で1億円の利益があれば、2,000万円の逸失利益となります。さらに費用以外の影響として、ブランドの失墜や銀行からの信用の低下、風評被害などが起きる可能性もあり、これらの影響も少なくありません。

損害と費用

損害 概要
賠償責任 損害賠償金 漏えいにより損害を与えてしまった人から請求される損害賠償金
争訴費用 損害賠償に関する争訴費用、弁護士費用など
費用損害 法律相談費用 漏えい後の対応のために弁護士に対して支払う相談費用
事故対応費用 漏えい後の対応として発生する費用
通信費用:電話、FAX、郵便(文書作成、封筒代、送付費用など)
社外問い合わせ費用:問い合わせに必要なコールセンター会社への委託費用
人件費:応援人員や残業代など
出張や宿泊費:事故対応により生じる旅費など
事故原因調査費用:事故調査に要する費用(フォレンジック費用など)
広告宣伝活用費用 謝罪広告(社告など)や再発防止策などの広報に要する費用
コンサルティング費用 被害拡大防止策や原因調査、メディア対応、再発防止策の立案実施において、外部の専門家を起用した場合の費用
見舞金/見舞品費用 漏えい被害者に対して謝罪のために支払う見舞金や、送付する見舞品の費用
逸失利益 サイバー攻撃による事業中断などにより得られなくなった、本来得られるべき利益

個人情報漏えい時の影響

20170921_01

個人情報漏えい事故対応の原則

情報漏えい対策の不備が原因で、重要な情報が流出してしまった場合、企業は損害賠償金を支払うだけでなく、失った信頼やイメージの回復に努めなければなりません。起こってしまった事故への対応を迅速に行い、同様の事故が二度と起こらないよう、情報漏えい対策の徹底的な見直しと改善策の実施を行っていく必要があります。ここでは、個人情報の漏えいが発生してしまった場合の対応について解説します。

情報漏えい対策の見直しを行う前に、事故発生直後の対処として、まずは情報漏えい事故の内容と被害状況について早急な事実確認が必要です。例えば、「住所、名前が流出しただけなのか」「クレジット番号のような、ただちに悪用されるリスクの高い情報が流出したのか」などを詳細に確認し、情報漏えいした人数が多い場合には素早く事実を公開する必要がありますし、小規模であれば個別連絡を急ぐ必要があります。個人情報が大量に漏えいした場合には、情報漏えいに関する事実を素早く公開し、被害者本人への連絡やお詫びを速やかに行うことで悪用されるリスクや可能性について注意喚起することが求められます。一度流出してしまった情報を完全に回収することはほぼ不可能ですが、問い合わせ窓口の設置などによって、被害者に対して正しい情報を伝えるといった、取り組みを行う必要があります。情報漏えい対策を十分に行えなかったことによる被害に対しては、このような真摯な対応を行うことしか、企業の信頼とイメージへの影響を軽減する方法はありません。

これら一連の緊急的な対応を行うとともに、情報漏えい対策の見直しと改善を行います。情報漏えい対策のどこに不備があったかの検証、すなわち原因の追及と社内体制の整備を行います。これら情報漏えい対策の見直しは、再発防止策として公表することが求められます。

対応のポイント:個人情報漏えい対応の5原則

その1:被害拡大・二次被害を防止する

情報漏えいが発生した場合に最も重要なことは、情報漏えいによって引き起こされる被害を最小限に止めることと、漏えいした情報によって別の被害が起きることを防止することです。個人情報が漏えいした場合は、それを利用した詐欺行為などの二次被害が起きることも考えられますので、対象者への注意喚起をするなどの対応が必要です。被害を受ける可能性のある個人・組織に対し、事実を伝え、自己防衛を促すなど、二次被害の防止に努める必要があります。また、実際に被害に遭った場合の相談対応も受けなくてはなりません。

その2:事実確認と情報の一元管理

情報漏えい対応においては正確な情報の把握が重要です。憶測や類推による判断や不確かな情報は混乱を招き、緊急事態対応 悪影響を及ぼします。組織の情報を一か所に集め、外部に対する情報提供や報告に関しても窓口を一本化し、事故が起きた経緯と現状、原因、今後の対応等について正しい情報の把握と管理を行って下さい。

その3:透明性と開示

情報漏えいによって被害を受けた個人・組織に対し、事実を伝え、直接謝罪するとともに、対処方法や考えられるリスクを教える等、適切な支援を行う必要があります。被害拡大防止や類似事故の防止、組織の説明責任の観点から必要と判断される場合には、積極的に事実を開示する姿勢で臨むことです。一度嘘をついてしまうと、辻褄合わせの為に「嘘の連鎖」が始まり、更に嘘が誇張し、事態をさらに拡大させることになります。ゆえに、情報公開により被害の拡大が見込まれるような特殊なケースを除いては、情報を公開することを前提とした対応が組織の信頼につながります。大事なことは、不確定な情報を発信しないことと、情報の開示と報告をタイムリーに行うことです。

その4:緊急時対応体制の構築

情報漏えい対応においては経営、広報、セキュリティやネットワーク等の技術、法律などに関して様々な判断を迅速に行わなければならないため、平時から対応体制を構築しておき、役割と責任を明確にしておくことが重要です。

その5:日頃の備え

情報漏えいなど事故が発生した時のことを想定し、方針や手順を明確にして緊急時対応フローを作成し、準備をしておけば、いざという時に役立ちます。その体制が緊急時に機能するように日頃から訓練しておくことが重要です。

個人情報漏えい対応の基本的な流れ

事故発覚の端緒としては、従業員や情報管理を委託している業務委託先からの申告や外部の第三者からの通報、顧客・取引先からの情報提供・クレーム、インターネット上での書き込み、監視システムによる検知、マスコミからの取材、警察からの連絡などが考えられます。

情報漏えい事故はその発見が早ければ早いほど被害を小さくすることができますので、早期発見・早期対処が肝要です。そのためには、平時から事故を監視する仕組みやその端緒を把握した際の報告連絡体制を整備しておくことが重要です。

また、仮に事故を早期に発見できたとしても、速やかに情報セキュリティ担当者に情報共有されなければ、迅速な初動対応はできませんので、平時においてあらかじめ通報先、通報すべき事項を定めておき、定期的に従業員に対する教育研修を行い、周知させたうえで、できれば事故発生時のシミュレーションを行なっておくべきです。通報すべき事項については独立行政法人情報処理推進機構(IPA)の「情報漏えい情報共有シート」が参考になります。

▼独立行政法人情報処理推進機構(IPA)「情報漏えい情報共有シート」

対応のポイント:事故対応の手順

  1. 情報漏えい事案の発見・報告
    • まず、自組織の内部関係者が情報漏えいに関する兆候や具体的な事実を確認した場合、また外部から通報があった場合で、それぞれ情報セキュリティ責任者に報告するルートを明確にしておきます。その後、情報漏えい対応のための体制が速やかに整わなければなりません。ただし、不正アクセスや不正プログラムなど情報システムからの情報漏えいの可能性がある場合は、不用意な操作をせず、システム上に残された証拠を消してしまわないようにしなければなりません。構内ネットワークが有線LANによる場合はLANケーブルを抜き、無線LANの場合はネットワークから切断し、シャットダウンはしないようにします。なお、外部の通報者の連絡先等を控えておくことも重要です。
  2. 初動対応
    • 対策本部を設置し当面の対応方針を決定します。また、情報漏えいによる被害の拡大、二次被害の防止のために必要な応急処置を行います。情報が外部からアクセスできる状態にあったり、被害が広がる可能性がある場合には、これらを遮断する措置が最優先です。次に情報の隔離、ネットワークの遮断、サービスの停止などを検討し、実施します。これらをスムーズに進めるためには担当部署の役割と責任を明確にするとともに、情報セキュリティ責任者が司令塔として機能しなければなりません。
  3. 調査
    • 初動対応と
    • 並行して調査を進める必要もあります。適切な対応についての判断を行うために、5W1H(いつ、どこで、誰が、何を、なぜ、 どうしたのか)の観点で調査し情報を整理します。また、事実関係を裏付ける情報や証拠を確保することが必要です。

  4. 通知・報告・公表等
    • 漏えいした個人情報の本人、取引先などへの通知、監督官庁・警察・IPA(独立行政法人情報処理推進機構)などへの届出、ホームページによる公表、あるいは、マスコミへおリリースや記者会見等の実施による公表を検討します。漏えいした個人情報の本人に被害が及ぶ可能性がありますので、特別な理由がない限り本人に通知を行います。また、紛失・盗難のほか不正アクセス、内部犯行、脅迫等不正な金銭の要求など犯罪性がある場合は警察へ届出ます。すべての関係者への個別通知が困難な場合や、広く一般に漏えい情報による影響が及ぶと考えられる場合などは、ホームページでの情報公開や記者発表による公表を行います。但し、情報の公表が被害の拡大を招く恐れのある時は、公表の時期や対象などを考慮します。
  5. 抑制措置と復旧
    • 情報漏えいによって発生した被害の拡大の防止と復旧のための措置を行います。専用の相談窓口を設置し、被害が発生した場合にはその動向を素早く把握し、適切な措置を行うようにします。また、再発防止に向けた具体的な取り組みを検討・実施し、安全確認をした上で停止したサービスやアカウント、遮断したネットワーク等の復旧をして行きます。
  6. 事後対応
    • 抜本的な再発防止策を検討し実施します。また、調査報告書を経営陣に提示し、被害者に対する損害の補償等について必要な措置を行います。事故を引き起こした要因が内部関係者や委託先による場合は、その責任追求のため規則・契約等に従い罰則規程や処分を科します。また、場合によってはこれらの処置等について情報開示を行うことも必要です。
      調査は、「初動対応~通知・報告・公表等~抑制措置と復旧」と進めて行く中で並行して行うプロセスとなります。重要なのは混乱せずに的確な措置を進めて行くことですが、平時にシミュレーションしておくことが事故への備えとなります。
対策本部の設置

対策本部を設置する際には、そもそもどのような人員構成にするかを決めなければなりません。事故対応に際しては弁護士等の外部の専門家とのやり取りや情報漏えいにより企業が負うべき法的義務や法的責任の検討を担当する法務担当者、外部への公表を担当する広報担当者、専門性の求められる情報セキュリティに関する知識に精通しており、臨機応変に情報収集、原因究明・漏えい状態の解消を行なうことのできる技術・情報セキュリティ担当者、顧客や被害者からのクレーム対応を担当するクレーム処理担当者も必要な人員と言えます。もっとも、これらの必要要員を確保することは必ずしも容易ではありませんので、一部については外部にアウトソースすることも検討する必要があります。

必要な人選を行なった後は、例えば各人を事実調査対応、広報対応、法務対応、顧客・消費者対応と班分けして、同時並行して各分野で生じる問題に対応していくべきです。もっとも、事故対応においては各班が連携して対応しなければならない問題が多々発生しますので、各班が独立して行動するのではなく、常に情報が共有され、連携が取れるように留意すべきです。例えば、不正アクセスによる情報漏えいの場合、警察への報告・相談の際に、サイバー犯罪対策課の担当者と専門的な知識を要するやり取りがなされる場合があり、その場合には事実調査班と法務班との連携が必要になります。また、正確な調査結果を外部に公表するために広報対応班と事実調査班との連携が必要となり、被害者からよくある問い合わせの想定Q&Aを作成して、被害者への補償をどうするかの検討について顧客・被害者対応班と法務班との連携が必要になります。

また、事実調査から外部への公表までの過程は特に迅速さが求められるので、事実調査から外部への公表までの所要時間を区切ってスケジュールを立てて対応すべきです。可能であれば、その後の再発防止策の検討と実行、再発防止策が講じられるまで事業の再開ができないような事案の場合にはその事業の再開に至るまでのスケジュールも立てておくとよいでしょう。

対応のポイント:外部専門家の有効活用

個人情報漏えい事故を含む、企業の緊急事態対応においては、例えば以下のような専門家と提携・連携することで、事案収束に向けた効率的な進行や証拠収集が可能になります。

その他にも、インターネット風評モニタリング(漏えいした情報の拡散や風評のチェック)、産業カウンセラー/臨床心理士(対応にあたるスタッフのメンタルケア)、危機管理コンサルティング会社(事故対応全体のコーディネートや、対外文書のチェック、方針に対する第三者的意見)、警備会社(不審者や社員に紛れた記者や全く関係のない第三者の侵入を防ぐため)など、事態の収束に向けた尽くせる手を可能な限り尽くすことが重要となります。

  • コールセンター
    • 個人情報漏えい事案の含む、多くの緊急事態対応では、特に多くの被害者が発生する場合は、一度に多くの顧客からの問い合わせに対応しなければなりません。社員数よりも被害者数の方が多いということも少なくないため、社員のみで対応することは限界があります。企業として、個人情報漏えい事故など、社員のみの対応でブース数が十分に確保できず、電話が繋がらない状態では、かえって顧客の怒りや不満を増幅させることになります。多くの顧客や社会全体が不安になるからこそ、問い合わせのための窓口は出来る限り確保し、可能な限り、電話を通じた丁寧な説明と謝罪を繰り返すことが重要となります。
  • 弁護士
    • 事案の分析、法的措置の検討及び証拠の収集に際しては、法務部門のみならず情報漏えい事案に関する知識と経験を有する弁護士を関与させることが有効です。訴訟提起や仮処分申立てのような実際の法的措置のみならず、証拠収集に際しての弁護士会照会、証拠保全手続きや刑事告訴に際しての警察との連絡、相談等にも弁護士の関与が実務上は必須となります。特に、重大な情報漏えい事故が発生した際は、事実を把握した段階でなるべく早く弁護士の関与を依頼する必要があります。
  • フォレンジック調査会社
    • 多くの情報漏えい事案は情報通信機器やネットワークを介しておこなわれるため、電子メールやアクセスログの解析、企業から貸与したPCのフォレンジック調査などについては、専門業者に委託することで有益な証拠が得られる場合があります。特にITシステムに関しては、不用意な動作によって、証拠が滅失してしまうおそれもあることから、早期の段階からフォレンジック業者への依頼、あるいは連絡調整等をおこなうことが望まれます。
公表の仕方とタイミング

原則として事実調査の結果は早急に外部に公表すべきです。この点、上場企業の場合は、情報漏えい事故の規模や漏えいした情報の内容等に照らして、同事故が株価に重大な影響を及ぼすと判断される場合(例えば、企業の杜撰な情報管理により漏えい事故が発生したような、企業自体が損害賠償責任を負うケースで、企業が負担することが想定される損害賠償額が多額になる場合)には、その上場する取引所開示制度により、適時開示する必要があります。特に、クレジットカード情報の漏えいなどにより、二次被害の発生の可能性がある場合には、本人にカード利用停止など早急に必要な措置を講じてもらう必要があるため公表の迅速性が求められます。また、情報漏えいの規模が大きく社会に与える影響が大きい場合や、いわゆる機微情報が漏えいしてしまい本人の人権やプライバシーに大きな影響を与える可能性のある場合にも、早急に公表すべきです。

もっとも、外部への公表を行なう主たる目的は情報漏えいにより本人が受ける被害を極小化することにあり、次のような場合には、必ずしも外部への公表を行なう必要がないと考えられます。例えば、漏えいした個人情報が外部の目に触れる前に回収できた場合、漏えいした情報自体からは本人が特定できず、また、一般的入手可能な他の情報とあわせても本人が特定できない場合には、本人が被害を受ける可能性は極めて低いので、公表を控えてもよいでしょう。また、情報漏えいの規模が小さく当該情報漏えいによって影響を受けうるすべての対象者に連絡ができ、二次被害の防止措置を講じることができた場合にも、公表を控えても差し支えないでしょう。

その他、特に開示すべきか否かの判断に迷うケースもあります。例えば、SNSを利用した従業員による情報漏えい事故においては、それが他のサイトへさらに拡散し、公表した方が被害者への悪影響が大きいと予測される場合には、一旦放置・静観するという方策も選択して考えられます。

外部への公表の方法としては、対象者にとってアクセスが容易な方法を選択すべきです。たとえば、自社のWebサイトのトップページのわかりやすい場所またはその場所に目立つようにリンクを貼るなどの方法が考えられます。

公表すべき情報としては、以下の項目を検討する必要があります。

  1. 事故発生の状況報告
  2. 事故に関する謝罪
  3. 事故の発生とそれが発覚するまでの経緯
  4. 漏えいした期間
  5. 漏えいした情報の内容・件数
  6. 現在発生している被害の状況
  7. 漏えいの原因
  8. 事実調査の方法及び現時点で講じた処置
  9. 今後予想される二次被害の内容と二次被害防止のための措置
  10. 会社が予定している今後の対応
  11. 再発防止策
  12. 問い合わせ窓口

上記5.~11.については、公表の時点で確定していない場合も多いと思われますが、そのような場合には、慎重に留保を付した上で、正確な情報を公表するよう留意すべきです。いまだ未確定の調査結果をあたかも確定したものであるかのように受け取られてしまう形で公表することや、一度確定的に漏えい内容と件数を公表しておきながらその後に実は被害がそれ以上であったことが判明したことを公表するような自体に陥ることは絶対に避けるべきです。例えば、公表時点で、漏えいした内容や件数が確定していない場合には、端的に現在判明している漏えいした情報の内容や件数を掲載するのではなく、

  • 現時点で判明している限りでは、氏名・住所およびメールアドレスの漏えいが確認されています。また、現時点では確認されておりませんが、クレジットカード情報の漏えいの可能性も否定できませんので、調査を継続し、判明次第報告いたします。
  • 漏えい件数については、現時点で少なくとも〇件の漏えいが確認されていますが、最大で〇件に及ぶ可能性があります。

など、あくまで現時点での調査結果であることと今後判明する被害がありうることを対象者にわかりやすく示すべきです。また、今後生じる可能性のある被害の拡大について、漏えい対象者の予見可能性を確保できるような表現を用いるべきです。

なお、公表の頻度についてですが、新たな事実が判明した場合や事態の進捗に応じて、第二報、第三報という形で、被害者の関心や心情などを基準として進めるのが望ましいと言えます。事実調査を十分尽くしたといえる段階に至ったときは、最終報告という形で、確定した上記各事項を公表すべきです。

情報を公表するうえでのその他の留意点としては、公表する情報の内容が、企業の責任を過小評価したり、取引先へ責任転嫁したと思われるような内容だと、それが漏えいの対象者やマスコミにとっては、企業の姿勢に問題ありとしてより反感を買うことになりますので十分注意が必要です。そのため、公表する場合の対応においては、企業の内部者の目のみならず、外部者の客観的視点からのチェックが有用となります。

被害者対応

個人情報漏えい事故が発生した場合は、本人にその事実を通知し謝罪するとともに、漏えいした情報の不正利用による二次被害を防止する措置を講じるよう注意喚起します。
(例:クレジットカードの利用停止、ECサイトのID/パスワードの利用停止・変更、メールアドレスの変更など)

個人情報を漏えいしてしまった被害者への連絡は、必ず必要となります。なぜなら、被害者への連絡をすることによって、被害者が自衛の手段をとることができるからです。被害者への連絡については、二次被害を防止するためにも、情報漏えいを発見したらできる限り早く被害者への連絡を行う必要があります。もちろん、被害者に連絡することにより、お叱りやクレームを受けることが予想されますが、それでも連絡しなければなりません。

仮に事故が発生したと断定できない場合であっても、二次被害等が発生する可能性があるという旨の通知を本人に行い、上記と同様の対応を行なうべきです。なお、本人への通知は行なうべきですが、いたずらに不安をあおるべきではなく、迷惑メールの受信や営業の電話がかかってくる可能性など、起こり得る具体例を挙げるとともに、その対処法やの防止措置を講じるのに必要な情報を提供することが求められます。

被害者への通知の方法としては、情報漏えい事故の場合には一般に多数の被害者が生じること、そして通知には迅速さが求められることから、早期に一括して多数の者に通知できる方法を用いるべきであり、事故により被害を受けることが予想される本人へのメールの一斉配信やWebサイト上での通知(告知)を行なうのが適当です。クレジットカード情報やいわゆる機微情報などの本人のプライバシーや人権に大きな影響を与える情報が漏えいし、かつ、その規模も大きいような特に重大な情報漏えい事故の場合には、記者会見等、マスコミを通じた公表も検討する必要があります。

【被害者へ依頼する内容例】

  • ECサイトのIDやパスワードが漏洩した場合
    →IDやパスワードの変更を依頼し、同じパスワードを他社のウェブサービスでも使用している場合の変更依頼。
  • クレジットカード情報が漏洩した場合
    →情報漏えいしたクレジットカードの不正利用を防ぐために、クレジットカード番号の変更手続きの変更依頼。
被害者からのクレーム対応

被害者からの問い合わせ・クレームについては、事故に関する問い合わせ窓口を設置し、この窓口に集約して対応すべきです。そして、あらかじめ想定Q&Aを作成しておき、これに基づいて企業として統一的な対応をすべきであり、同じような質問について個々の被害者ごとに異なる内容の回答をしてしまうような事態が生じないようにしておきます。なお、あらかじめ想定されていなかった質問とそれに対する回答については、適宜、その他の問い合わせ・クレーム担当者と情報共有し、その都度想定Q&Aに反映していきます。また、よくある質問や実際に多い問い合わせに対する回答については、Webサイト上にも「よくあるご質問」として掲載しておくと、無用な入電や問い合わせを軽減することができます。

なお、クレーム対応でミスしないための基本エッセンス、中でも、不当要求に屈しないための危機管理的な顧客対応指針については、『クレーム対応の「超」基本エッセンス-エキスパートが実践する鉄壁の5ヶ条』(2013年、レクシスネクシス・ジャパン刊)に詳述しています。クレーム対応要領に関心のある方は、そちらを参照ください。

※ 被害者への金券の配布について

一般的に個人情報漏えい事故が発生した際、商品券などを被害者へ提供するケースがよくあります。では、被害者への商品券の提供は必ず必要でしょうか。結論から言えば、必要不可欠なものではありません。大企業の情報漏えいの事故のケースでは、商品券やクオカードが配布されることが多いですが、このような商品券の配布はあくまで謝罪の意思を示すための社会的な礼儀としてされているにすぎず、法的な義務等強制されているものではありません。企業の経済的な負担を考慮して、現実的に商品券の配布までできない場合は、被害者への説明をきちんと行うことで謝罪の意思を伝えることや、二次被害を防いで被害者への迷惑を最小限にとどめることを優先するべきです(社会的な礼儀とは、本来は、このように誠心誠意の対応を行うことだといえます)。少額の商品券を配布することで、被害者が自分の個人情報の問題がわずかなものとして扱われたと感じ、逆にクレームを招くこともあります。商品券の配布は、必ずしもベストな方法とはいえませんので慎重に検討することが必要です。

行政、業界団体への報告

個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、原則、個人情報保護委員会に対し、速やかに報告することとされています。(2017年5月、改正個人情報保護法が全面施行)ただ、認定個人情報保護団体の対象事業者又は個人情報保護委員会の権限が事業所管大臣に委任されている分野における個人情報取扱事業者については、報告先が個人情報保護委員会ではない場合もあります。なお、個人情報保護法では、監督官庁は、個人情報を漏えいした事業者に対して、是正措置をとることを勧告する処分を行うことができることが定められています。

個人情報漏えい事故が発生した際、処分などを心配し事業者が行政への報告をためらうケースが散見されますが、報告はできるかぎり早く行うことによって、被害者にも監督官庁に報告したことを伝えることができ、会社として適切な対応をしている姿勢を示すことになります。そのため、個人情報漏えいがあったときは、監督官庁への報告を迅速に行うことが対応のポイントになります。

また、外部からの不正アクセス等の事案では、攻撃者や情報漏えい先、漏えいした情報の不正利用者の特定には警察の協力が不可欠ですので、速やかに警察に被害を申告して捜査を開始してもらうべきです。(各都道府県警察本部にサイバー犯罪相談窓口が設けられています)その他にも、会社関係者による故意の情報持ち出しが疑われる事案のように、事故の発生につき従業員の関与が疑われ刑事事件に発展する可能性がある場合、当該従業員による証拠隠滅のおそれもあるので、早期に警察に相談した方が良いでしょう。

▼個人情報保護委員会「漏えい等の対応」

▼個人情報保護委員会「認定個人情報保護団体一覧」

▼個人情報保護委員会「改正個人情報保護法に基づく権限の委任を行う業種等及び府省庁並びに当該業種等における漏えい等事案発生時の報告先【詳細版】」

報告先の概要

20170921_02

ページ先頭へ

最近のトピックス

◆日本情報経済社会推進協会(JIPDEC)「(平成28年度)個人情報の取扱いにおける事故報告にみる傾向と注意点」について

日本情報経済社会推進協会(JIPDEC)は、H28年度のプライバシーマーク(Pマーク)付与事業者における個人情報関連の事故報告状況を「個人情報の取扱いにおける事故報告にみる傾向と注意点」として取りまとめ報告しました。

【平成28年度の報告件数】

  • 843付与事業者から2,044件の事故報告で前年度より事業者数、事故報告件数共に増加。
  • H28年度末時点のPマーク付与事業者数に占める事故報告事業者の割合は5.5%。

【報告内容の概要】

  • 事故原因は「メール誤送信」(20.7%)が最も多く、次いで「紛失」「宛名間違い等」の順で前年度に比べ、「メール誤送信」「紛失」「宛名間違い等」の割合は減少。
  • 事故原因の「その他漏えい」は、前年度に比べ割合が大幅に増加(6.9%⇒13.8%)。『プログラム/システム設計・作業ミス』による漏えい、『不正アクセス・不正ログイン』による漏えいの報告件数が2倍強に増加。
  • 盗難・紛失の媒体については、書類、スマホを含む携帯電話、ノートPC・モバイル端末の順に件数・割合共に多く、この傾向はH25年度から変化なし。

日本情報経済社会推進協会(JIPDEC)の報告によると、不正アクセスによる漏えいの報告件数が大幅に増加しています。サイバー攻撃の対象は大企業や政府機関だけではありません。企業にとっては直接的な被害だけでなく、取引先や一般消費者を標的とした攻撃の踏み台にされる場合もあります。中小企業の情報など犯罪者や攻撃者が欲しがるはずはないとの考えは間違いです。例えば標的企業の守りが堅い場合、攻撃者は、標的にたどり着くため、周辺企業から攻撃を仕掛けることは珍しくありません。標的企業の取引先サイトに侵入したり、知人のアカウントを乗っ取ったりすることで攻撃のための情報を窃取することもあれば、知人になりすましてバックドアなどのマルウェアを送り込むこともあります。あるいは標的がアクセスしそうなサイトなどに侵入して待ち伏せることもあります。このような高度な攻撃以外でも、単純に侵入しやすいという理由で、DDoS攻撃やマルウェア配布に利用する「踏み台」として狙われることもあるでしょう。踏み台として狙われるのは、個人利用のスマホやタブレット端末やPCなど一般にセキュリティの甘いシステムになります。

同様の問題は、いわゆる大企業も懸念すべき点です。業務委託先や再委託先企業のセキュリティレベルはどうでしょうか。委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求めることや委託先を通じて定期的に監査を実施する等、委託先が再委託先に対し監督を適切に果たすこと、安全管理措置を講ずることを十分に確認することが望ましいと言えます。また、BPO(Business Process Outsourcing)における個人事業主の利用やBCP(Business Continuity Plan)における有事の在宅勤務、フリーランスの増加等の様々な場面でセキュリティに対するモラルや問題も問われることになります。

つまり、中小企業だから狙われないだろうと、セキュリティ対策をおろそかにすることは、攻撃者のまさに思う壺、恰好の餌食ということなのです。その結果、自社は侵入された被害者であるはずなのに、取引先や一般ユーザーに対して加害者になってしまうといった事態も起こりかねません。

◆総務省「IoT機器に関する脆弱性調査等の実施」

総務省は9月5日、一般社団法人ICT-ISAC、横浜国立大学等と連携して、サイバー攻撃観測網や脆弱性探索手法を活用して、重要IoT機器(国民生活・社会生活に直接影響を及ぼす可能性の高いIoT機器)を中心に、インターネットに接続されたIoT機器について調査を行なうことを発表しました。サイバー攻撃の対象になりやすい脆弱なIoT機器を特定した場合には、所有者等に対し注意喚起と、必要に応じて製造事業者等に対して脆弱性に関する技術的な情報提供を行なうとしています。

今年5月、6月に世界を襲った大規模なサイバー攻撃は、あらゆるモノがネットに繋がるIoTの危うさを浮かび上がらせました。目立つのが監視カメラや映像を一時記録するレコーダー、ネット接続用ルーターへの攻撃と感染です。情報通信機構(NICT)によると、サイバー攻撃に関わる通信はIoT機器を狙うものが全体(1,281億件)の64%を占めており、昨年から26%増加しています。IoTは工場のほかエネルギー・交通などの社会インフラにも普及しており、ひとたび攻撃を受けると産業や社会の混乱につながり、実社会や人命にまで多大な影響が及ぶ可能性が少なくない状況です。IoTは生産性と利便性向上など大きな可能性を秘めていますが、そのリスクにも注意を払う必要があり、IoTの所有者・提供者ともに、その脅威をあらためて認識し、最優先でセキュリティ対策に取り組まなければなりません。

◆警察庁「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」

警察庁は9月7日、「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」という広報資料を公開しました。

本資料によると、サイバー攻撃が世界的な規模で継続的に発生しており、国内で稼働するC&Cサーバー(※)を43台、機能停止に向けた措置を取ったとしています。

『(※)C&Cサーバ「command and control server」。不正プログラムが動いているコンピューターに対して、攻撃者からの具体的な命令を伝えるサーバのこと。』

また、インターネットバンキングの不正送金は214件、被害額は約5億6,400万円で、前年同期比マイナス645件、被害額はマイナス3億3,300万円と、主に個人口座の被害が大きく減少しています。ただしこれは、電子決済サービスを使用して仮想通貨取引所に対して送金を行う新たな手口にシフトしたことを要因として挙げています。この手口によって送金されたのは約1億400万円で、うち約6,900万円相当の仮想通貨などに対して、取引所で凍結措置が取られました。また、サイバー犯罪の検挙件数は4,209件で、平成28年上半期の4,280件から微減しており、内訳で多いのは児童ポルノに関するもの、詐欺、不正アクセス禁止法違反などが占めています。

今年上半期のサイバー攻撃では、鉄道、医療、通信など重要インフラが集中的に狙われました。IoTの脆弱な対策に狙いを定め、身代金としてビットコインを指定するなど、犯罪者は常に新しい情報技術の盲点を突いてきます。また、今や、ほとんどの産業がITと密接に結びついており、新しい技術やサービスが広まれば、同時にサイバー攻撃を受けるリスクも高まるというジレンマに企業も個人も陥っています。こうした環境の変化に備え、高度な専門知識を持つ人材の育成や、官庁、研究機関、企業といった組織の枠を超えた情報共有など、あらゆる安全対策を速やかに講じていく必要があります。市民生活や経済活動に深刻なダメージを与えうるサイバー攻撃を完全に防ぐ手立てはありませんが、だからこそ、官民が連携して、できる取り組みを今から確実に行うことが求められています。

◆トレンドマイクロ「子どものSNSコミュニケーションに関する実態調査 2017」

トレンドマイクロは、「子どものSNSコミュニケーションに関する実態調査」に関する調査結果を公開しました。これは、FacebookやTwitter、LINEなどを利用する小学4年生から中学3年生までの児童、生徒を持つ保護者618人を対象としたアンケート調査の結果をまとめたものです。本調査によると、SNS利用中に子どもがトラブルを経験したと回答した保護者は26.2%と、約3割いることが分かりました。具体的には「SNSに熱中して、勉強など生活習慣に悪影響が出てしまった(13.9%)」、次いで「他人に勝手にログインされた(5.3%)」「暴力、薬物、性的描写などを含む有害なサイトを閲覧した(5.2%)」などが挙げられます。

SNS利用時にセキュリティ対策を実施しているかとの質問には、「特になし」と回答した保護者は24.6%にのぼっています。同社では「インターネットを利用する子どもの安全を守るには、対処療法的な対策ではなく、万が一被害に遭わないために事前に対策を検討し、子どもと保護者で話し合うことが重要だ」と言及しています。

社会環境の変化にともない、教育事業者や保護者は、青少年の保護・育成の観点から必要な対策と教育を実施する必要があります。SNSや出会い系サイトのみならず、スマートフォンやインターネットを安全に利用できるようになるためには、うかつに自身の画像をSNSに晒すことの危険性を警告し、トラブルに巻き込まれないための相応の知識と判断力を身につけることが求められています。いま自分がおかれている状況が安全なのか危険なのか、その判断はインターネットの世界では大人でも困難ではあります。それでも、人生経験がまだ少ない子どもには、なおのこと丁寧で十分な教育とフォローが必要です。

◆一般社団法人インターネット協会「東京こどもネット・ケータイヘルプデスク(こたエール)」平成28年度相談実績について

一般財団法人インターネット協会は、18歳未満の青少年のためのインターネット・携帯電話等のトラブルに関する相談窓口の相談実績を公開しました。本実績によると、トラブルの相談受理件数は1,405件、このうち、青少年が当事者だった件数は1,126件で全体の約80%を占めています。また、青少年の相談の16%(179件)を中学1年生が占めています。相談内容は、架空請求などのトラブル、SNS上での交際(自撮画像の送付強要や拡散など)、投稿した内容の削除方法などが多数を占めています。特に、児童買春や児童ポルノなどの犯罪被害は増加傾向にあり、監視やフィルタリングなど事業者側が自主的に児童被害防止対策を強化するよう働き掛けるだけでなく、関係省庁と連携した対策の推進も急務だと言えます。また、ネットの安全教育を児童に自分事として捉えてもらうために、先生や保護者自身が見本となるような姿勢と意識を持つことはもちろん、十分なリスク認識、誤った操作方法や危険な使い方などまで熟知しておくことも重要だと言えます。

ページ先頭へ

最近の個人情報漏えい事故(2017年7月、8月)

下記の表は、今年7月と8月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
 ※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。

業種 発生原因 対象 備考
1 誤送付 12人分のマイナンバーや所得税額などを含む「特別徴収税額決定通知書」 誤って別の事業所に送付
2 地方銀行 書類紛失 伝票5,805枚で、顧客の氏名、住所、生年月日、電話番号、口座番号、取引金額など 誤廃棄の可能性
3 東京都 USBメモリ紛失 IOC調整委員会の名簿や、都議員5人の携帯番号など
4 医療法人 USBメモリ紛失 患者別診療行為データ1,281名など
5 電力 書類紛失 顧客423名分の氏名、入金状況等が記載されていた帳票
6 県立高校 USBメモリ紛失 生徒614名分の氏名、健康診断結果など 教諭の私物のUSBメモリを紛失
7 労働局 書類紛失 監督指導に関する復命書、指導票の控えなど全8社分の是正報告書 誤廃棄の可能性
8 市立小学校 書類紛失 1クラス28人分の成績を記録した「成績一覧表」 誤廃棄の可能性
9 県立高校 FAX誤送信 生徒1名の氏名、住所が記載された検定試験申込書 番号の誤入力
10 市立小学校 書類紛失 生徒40名分の氏名、成績が記載されたノートと成績一覧表
11 情報・IT メール誤送信 顧客のメールアドレス296件 「Bcc」で送信すべきところを誤って「To」で送信
12 書類紛失 区民34人の氏名や住所、電話番号などを含むリスト リストをどこかに置き忘れ、紛失
13 協同組合 誤配布 顧客1名の氏名と住所 同組合が主催する優待企画の案内状を配布する際、誤って他の顧客の書類を封入したまま配布
14 消防局 書類紛失 傷病者と医師3,209名分の名前、住所、生年月日、病歴など 保管期間を誤り、処分した可能性
15 県立高校 書類紛失 生徒31名分の氏名やクラス、成績などが記載された個人票
16 労働局 書類紛失 請求人の氏名、住所、金融機関の口座番号など 誤廃棄の可能性
17 生活共同組合 書類紛失 組合員620名の氏名や住所、電話番号等が記載された紙ファイル
18 県立医大付属病院 書類紛失 4人分の氏名や病名を記載されているカルテ 医師がカルテをカバンに入れて持ち帰り、飲食店で飲酒後、自宅玄関前で寝てしまい、翌朝カバンがなくなっていた
19 メール誤送信 メールマガジン131件 「Bcc」で送信すべきところを誤って「To」で送信
20 書類紛失 21名分の氏名、住所、電話番号等が記載された名簿
21 証券会社 名刺紛失 顧客のものを含む約800枚の名刺が収納されている名刺フォルダ
22 地方銀行 書類紛失 顧客の氏名、口座番号、取引金額等が記載された取引件数41,700件分の帳票 誤廃棄の可能性
23 書類紛失 特定医療費支給認定申請書や住民票、健康保険証の写しなど7種類
24 私立大学 USBメモリ紛失 学生510名分の氏名、学籍番号、成績等
25 府立高校 書類紛失 生徒31名の氏名、出席番号等が記載された資料
26 県警 書類紛失 家宅捜索で押収した証拠品や容疑者の名前、住所などが記載されている捜査書類の写し
27 保育園 カメラ紛失 ビデオカメラ、デジタルカメラ、外付けのハードディスク
28 自動車 記憶媒体紛失 イベントに参加した90組の参加者を撮影した写真データなど 同社では問い合わせ窓口を設置し、紛失した写真データがインターネット上に掲載されていないか監視するなどの対応をするとしている
29 市立小学校 書類紛失 生徒27人の氏名が記載されたノートや集合写真など 資料を入れたカバンを駅のコインロッカーに預けた際、誤操作により無施錠でその場をはなれ、盗難にあった
30 不動産 メール誤送信 メールアドレス2,955件 誤って宛先に設定したため
31 電力 メール誤送信 顧客のメールアドレス232件 「Bcc」で送信すべきところを誤って「Cc」で送信したため
32 書類紛失 就業実態の調査で使用する予定だった「調査員証」と「指導員証」49枚で、当該証明証には、調査員の氏名や公印など 誤廃棄の可能性
33 誤送付 氏名、住所、勤務先、個人番号等が記載された税額変更通知書1名分 当該通知書を送付する際、宛て名シールの住所を誤って印刷し、関係のない者に送付
34 建築 メール誤送信 顧客のメールアドレス398件 「Bcc」で送信すべきところを誤って「To」で送信
35 市立小学校 USBメモリ紛失 勤務校の全児童344分人分の名簿のほか、前任校の児童117人に関する健康上の記録や26人分の緊急連絡先、職員13人分の健康診断記録、および前々任校の児童135人分の発育測定結果など 個人で所有するUSBメモリを紛失
36 化学工業 不正アクセス 問い合わせフォームに入力された個人情報約4500件で、氏名や住所、電話番号、メールアドレス、会社名、所属など
37 地方銀行 書類紛失 顧客の氏名や住所、電話番号、生年月日、口座番号、取引金額などが記載された帳票5805件 誤廃棄の可能性
38 製造技術 誤表示 41名分の氏名や企業名、配送先住所、電話番号、メールアドレスなど プログラムのミス
39 書類紛失 予防接種対象者の氏名や住所、電話番号、生年月日、保護者の氏名のほか、健康状態に関する質問と回答など14人分 突風にあおられて紙袋を地面に落とし、数十枚が飛ばされた
40 通販サイト 不正アクセス クレジットカード情報最大6860件で、クレジットカードの名義、番号、有効期限、セキュリティコード、住所など 同サイトで利用するウェブアプリケーションの脆弱性を突かれたのが原因
41 誤開示 同サイトで利用するウェブアプリケーションの脆弱性を突かれたのが原因
請求者とは関係ない個人情報の記載部分について墨塗りを忘れたため
42 医療法人 USBメモリ紛失 患者別の診療データ1281件で、氏名や住所、ID、入退院日、診療行為名、診療回数、病棟名など
43 通販サイト 不正アクセス クレジットカードの番号や有効期限、セキュリティコードのほか、氏名や住所など顧客の個人情報最大189件 ウェブアプリケーションの脆弱性が原因
44 通信 書類紛失 客5978件の氏名、住所、電話番号など
45 投資情報サイト 不正アクセス 顧客のクレジットカード情報9822件で、クレジットカードの名義、番号、有効期限、セキュリティコードなど
46 外国為替取引サービス 不正アクセス 約2500件の顧客情報 関東財務局は、顧客情報を保護するためのセキュリティ管理体制が不十分だったとして行政処分
47 外国為替取引サービス 不正アクセス 2016年にも11万件の情報流出があったことが判明 流出した顧客情報の内容は、氏名とメールアドレスのみのケースが2180件と大半を占めるが、一部では住所、メールアドレス、電話番号、生年月日、IDのほか、当時の現金残高、銀行口座情報、職業や保有金融資産の概要、投資経験、投資目的など含むアンケート情報なども含まれる
48 検定協会 メール誤送信 メールアドレス394件 誤って宛先に設定
49 不動産 誤開示 事業者の名称や住所のほか、電話番号、ファックス番号、希望エリアなどの仲介者情報で、このうち最大2130件については担当者名、メールアドレスなど
50 サイト運営 メール誤送信 不明 メールアドレスを宛先に設定したため
51 私立大学 ノートPC紛失 授業を受講している在学生、およびかつて受講した卒業生の個人情報
52 旅行代理店 誤開示 最大1万1975人分の個人情報で、代表者や同行者、緊急連絡先によって含まれる個人情報は異なるが、氏名や年齢、性別、住所、電話番号、メールアドレス、ツアー名、出発日など ウェブサイトのリニューアルにおいて、旧サイトよりデータを移行する際に利用したデータが、誤って公開領域に保存されたままの状態だった
53 ECサイト 不正アクセス 最大9458件のクレジットカード情報で、カード番号や有効期限、セキュリティコードなど
54 菓子メーカー 金庫盗難 顧客の氏名や住所、電話番号、生年月日、メールアドレス、家族に関する情報などが記載されたポイントカード入会申込書11件
55 人材派遣 誤開示 氏名、電話番号をはじめ、同システムを利用する事業者が設定した項目 アクセス制御の設定に問題

毎月の傾向と同様、紙媒体の紛失や盗難、誤廃棄による事故が多く公表されています。記録媒体や不正アクセス等による情報漏えいばかりが注目されがちですが、国内で報告される個人情報漏えいの原因のまだ多くが「紙媒体」です。企業はデジタルデータに対するセキュリティだけでなく、紙媒体の情報を守るために、印刷時の認証や制限、ファクスの誤送信などの対策にも注力する必要があります。紙媒体は業種や会社規模にかかわらず頻繁に利用されるため、情報が流出する可能性も高くなります。ただ、実際に紙で持ち出せる情報量には限りがあるため、被害の規模としては小さいものが多いようですが、情報漏えい対策を行う際には、紙媒体の取り扱いへの対策も考慮しておくことが必要です。

ページ先頭へ

セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】

株式会社エス・ピー・ネットワーク 総合研究室

Mail:souken@sp-network.co.jp

TEL:03-6891-5556

Back to Top