備えはありますか？　情報漏えいという名のリスク

第1回　情報漏えいが企業の経営を揺るがす

増加の一途をたどる情報漏えい事故

　企業が持つ機密情報が外部へ流出してしまう事故が、依然として後を絶ちません。このような事故はさまざまなメディアで連日のように報じられており、皆さんが目にする機会も多くなっているのではないでしょうか。実際、日本の企業その他における個人情報の漏えい件数を見てみますと、2003年は57件であったものが、2004年には366件、2005年は1,032件と年を追うごとに大幅な増加傾向にあります。2006年は993件と前年比で微減ですが、流出した個人情報の量は881万人から2223万人と急増しており、事態はより深刻化しているともいえます。（※1）

新会社法や個人情報保護法、まもなく施行されるJ-SOX法など法規制の強化や、企業のコンプライアンス意識の高まりによって、事故を隠さず公表する傾向が強くなっていますが、個人情報の電子データ化が進んだこともあり、故意あるいは事故による情報漏えいの件数自体も確実に増えています。また、企業や官庁、団体が持つ重要な情報は個人情報に限りません。ひとことで機密情報といっても、新製品の資料やセキュリティデータなど多岐にわたり、ひとつの情報漏えいが企業の経営を揺るがすような大事に至る可能性も高くなっています。原子力発電所のメンテナンスに関する内部情報の漏えい事故や、自衛官によるイージス艦の図面持ち出しといった事件も記憶に新しいところです。

情報漏えいがひとたび起こると…

　もし重要な情報が外部へ誤って流出した場合、企業はさまざまな損害を被ることになります。事故そのものへの対処の他にも、関係機関への報告、お客さまからの問い合わせ窓口の設置などにスタッフを割くことが必要になりますし、原因の特定や修正のためにサービスを停止しなければならないかもしれません。警察の捜査を受ける場合には「現状保存」のためにPCや書類を持って行かれてしまうことも考えられます。当然営業面で支障が出ますし、業務内容によっては企業の死活問題となるでしょう。

また発生した事故の処置、捜査協力や訴訟への対応、損害賠償など事後対策には、巨額の費用が見込まれます。損害賠償に限った金額でも、推定総計で2005年の時点で約7,000億円、1件あたりにすると7億円を超えています（※2）。加えて社会的な信用の低下も避けられません。売上の減少、株価や格付けの低下、風評被害など、企業は計り知れない打撃を受けることになります。海外では、情報漏えい事故が原因での倒産や、他社に吸収合併されてしまった例もあるのです。

このように、情報漏えいは企業の将来を揺るがしかねない大きなリスクです。それだけに万全の対策が求められますが、重要な情報は個人情報だけに限りませんし、流出するルートもP2Pファイル共有ソフトだけではありません。企業は情報漏えいが起こるあらゆる可能性に対し、適切な対策を行う必要があるのです。

情報漏えいには2種類のルートが存在する

　情報漏えいといっても全てが同じものではありません。以前は社内に独自のネットワークを用意していた企業もありましたが、現在ではほとんどの企業のネットワークがインターネットをベースに業務を行っています。つまり、公共のネットワークであるインターネットと、重要なデータが保管されている社内のネットワークは、その境界線上にあるゲートウェイだけで隔てられているという状況なのです。

　この視点から、情報漏えいが起こる可能性は、1)社内からインターネットへ向かう「事故によるもの」と、2)インターネットから社内を狙う「攻撃」に分けて考えられます。最近世間を騒がせているWinnyウイルスによる情報漏えいは、原因が悪意をもって作成されたウイルスにありますので、後者の「攻撃」といえます。同じく「攻撃」の例を挙げると、悪意ある攻撃者がインターネット経由で社内ネットワークに侵入する「不正アクセス」や、PCに潜り込んで勝手に外部へ情報を送信する「ボット」や「トロイの木馬」、その際に突破口となる「OSやアプリケーションの脆弱性」などがあります。一方、重要な情報を記載したメールや添付ファイル、FAXなどを間違った相手に送ってしまう「誤送信」や、社内の人間が意図的に重要な情報を持ち出すケースは、一部悪意が介在するケースがあるとはいえ、ここでの考え方では「事故によるもの」といってよいでしょう。

　このように情報流出のルートは「事故によるもの」と「攻撃」の大きく2種類に分けることができます。ともに大きな被害をもたらす危険性があり、企業はあらゆる可能性について対策を行う必要があります。次回は「事故によるもの」と「攻撃」、それぞれの漏えいするメカニズムについてお話ししましょう。