お役立ちコラム

待ったなし!中小企業の情報セキュリティ<第4回>

前回は、PDCAに沿った形で、情報セキュリティ体制の構築プロセスの全体像について説明しました。これから、各プロセスの実施内容の詳細について説明していきますが、今回はその前提として、最近の発生事例について説明したいと思います。

 

1.情報セキュリティの脅威

情報処理推進機構IPAが公表している「情報セキュリティ10大脅威2015」によれば、以下の10項目が2015年における情報セキュリティの脅威として挙げられています。

 

05301

 

上記の10項目を見て頂ければ分かる通り、大半がハッカーなど外部のプロ集団による不正であり、特に③「標的型攻撃」によるマルウェアを介した機密情報の不正取得、④「パスワードリスト攻撃」による各種WebサービスにおけるユーザID・パスワード情報の不正取得、⑥サーバーテロなどが、最近非常に注目されるようになっています。このような、企業外部からの攻撃に対しては、情報システム部門が中心となって、例えばウィルス対策ソフトを全社的に導入・更新したり、全従業員向けの情報セキュリティ研修を開催して周知徹底するなどして、企業を守ることになります。

しかし、上記の10項目の中に、1つだけ性格を異にする脅威が含まれています。それは、②「内部不正」による情報漏洩です。情報セキュリティという場合、外部からの攻撃と内部の不正の両方を考える必要がありますが、多くの企業にとって、情報セキュリティ体制を構築する主な目的は、まず内部から外部への「情報漏洩」を防止することにあります。今回のコラムでは、企業内部からの情報漏洩に着目し、情報セキュリティ体制をしっかり構築しなければ、このような情報漏洩が発生して甚大な影響・損失を被ってしまう、という具体的な事例を説明したいと思います。

 

2.B社の事例

これは、2014年に発覚した情報漏洩事例で、今までにない空前の情報漏洩件数だったために、甚大な影響・損失を被った事例です。

(1)どのような不正行為があったのか?

B社のIT子会社の業務委託先の社員が、データベース内に保管されていたB社の顧客情報を抽出してクライアントPCに保存し、USBケーブルを用いて自分のスマートフォンに転送することにより、顧客情報を不正に取得し、名簿業者に売却しました。

これにより、約3,500万件もの顧客情報が外部に漏洩しました。

 

(2)なぜそのような情報漏洩が発生したのか?

今回の情報漏洩の原因として、①システムの不備、②組織・カルチャーの不備、および③委託先管理の不備が挙げられます。

①システムの不備

・アラートシステムの不備

不正行為が行われた当時、クライアントPCとデータベースとの通信をアラートシステムの対象として設定する措置が講じられておらず、不正行為等に対してアラートシステムが機能しませんでした。

 

・書出し制御システムの不備

書出し制御システムのバージョンアップの際に、特定の新機種のスマートフォンへの書出しについて、書出し制御機能が機能しない状態が生じており、今回の不正行為に対して書出し制御システムが機能しませんでした。

 

・アクセス権限の管理不備

クライアントPCからデータベースへアクセスする場合、アクセス権限の付与を受ける必要がありましたが、付与済みのアクセス権限の見直しが定期的に行われていませんでした。

 

②組織・カルチャーの不備

・組織体制の問題点

B社グループにおいて、情報セキュリティに関する統括責任者や統括管理部署が明確になっていない上、情報漏洩の防止・発見を目的とした、専門的かつ厳密な内部監査が行われていませんでした。また、当該子会社にとって、親会社であるB社の事業部門の意向に従わざるを得ない傾向にありました。

 

・コーポレート・カルチャーの問題点

役職員の多くは、自社の情報セキュリティは相当なレベルにあると認識していました。

また、社内の人間が悪意を持って大量の個人情報を持ち出すことはあり得ない、という「性善説」の意識を持っていました。

 

③委託先管理の不備

子会社では、委託先の社員に対して、データベースに保存された顧客情報にアクセスできる権限を広範囲に付与していました。そのため、委託先の担当者の業務やアクセス権限を、適切にコントロールできていませんでした。

特に、個人情報を取扱う等の重要な業務を委託する場合には、個人情報保護の観点から、厳重な管理が行われるべきでしたが、担当者による不正行為を想定した十分な監視体制を整えるには至っていませんでした。

(3)どのような再発防止策を取ったのか?

今回の再発防止策として、①グループ情報管理体制・組織の改革、②外部監視機関の設置、 ③外部委託の見直し、④お客様の被害防止の4点が挙げられます。

 

①グループ情報管理体制・組織の改革

グループ全体の情報システムのセキュリティレベルの大幅な向上を図るため、ITガバナンスを強化しました。デーベース管理、データベース保守・運用、データベース利用の3機能を切り離し、権限・責任を明確化しました。

・データベース管理 ⇒ B社HDが、データのセキュリティの管理監督、運用状況の監視・監査、データベースの使用承認等を行う。

・データベース保守・運用 ⇒ 新たに合弁会社を設立し、同社にて担当する。

・データベース利用 ⇒ B社グループ各社が、データベースの活用する際にガイドラインを遵守する。

 

 

②外部監視機関の設置

B社HDに情報セキュリティ監視委員会を設置し、グループ全体のデータ、システムについて、第三者の視点から定期的かつ客観的に、監視・監査を行うこととしました。

当委員会は、情報セキュリティ全般について助言・提言すること、再発防止策の実施・運用状況を監視すること、及びB社グループにおいて個人情報の漏洩がなく、情報セキュリティシステムが安全に機能していることを確認すること等を目的としています。

 

③外部委託の見直し

情報システムの保守・運用は、新会社で担当し、グループ外への外部委託は行わないようにしました。

 

④お客様の被害防止

 

お客様への支援を行う専門組織として「お客様本部」を設置しました。お客様本部のホームページも開設し、情報セキュリティ強化の取組内容を、具体的に分かりやすく開示しています。

 

(4)どれくらいの影響・損失を被ったのか?

今回の情報漏洩により、多額の特別損失の計上による赤字計上となった他、記者会見や顧客への謝罪対応の拙さにより社会的信用は大きく失墜し、集団損害賠償請求訴訟を受けるに至りました。

①決算への影響

B社の20153月期決算では、当期純利益は▲107億円の赤字となり、前期比▲306億円の大幅減益となりました。

また、特別損失▲306億円の内訳は、お客様へのお詫び▲200億円、情報セキュリティ対応▲60億円、構造改革費用▲34億円などとなっています。

 

05302

 

②社会的信用の失墜

今般のB社の顧客対応の拙さから、「被害者の会」が組成され、集団損害賠償請求訴訟が提起されました。

「被害者の会」のホームページには、以下記載があります。

「私たち家族の個人情報、しかも生年月日や性別、住所、電話番号といった最も重要な情報が不特定の第三者に対して漏洩してしまったことについては、皆様と同じように大きな不安を感じますし、これを500円の金券という僅少な謝罪で済まそうとするB社の態度に対して非常に憤りを感じざるを得ません」
情報漏洩件数が約3,500万件という空前の件数だったことから、全ての顧客に十分な謝罪対応が出来なかったことが、今回の背景にあります。

 

 

3.B社事例の教訓

B社の事例から、情報漏洩に影響・損失の「甚大さ」がご理解頂けたと思います。横領・汚職・粉飾など他の不正と異なり、情報漏洩の場合には、完全な現状回復が不可能であり、それ故に、情報漏洩の件数次第では企業の被る影響・損失が大きく膨れ上がるリスクがあります。

05303

 

中小企業にとっても、情報漏洩リスクの大きさは同じであり、情報漏洩を未然に防ぐために、情報セキュリティ体制の構築は「待ったなし」と言えます。

特に、消費者を対象にしたBtoC企業で、多くの個人情報や顧客情報を有している場合は、情報セキュリティ体制の構築とともに、不要な情報を「持たない・破棄する」等の平時からの備えも重要となります。

 

次回からは、以上のような情報漏洩事例を踏まえて、情報セキュリティ体制構築の各プロセスについて、具体的な実施内容を説明していきたいと思います。