過去に企業で発生した情報セキュリティにおける事故の事例を、様々なパターンに分けて紹介します。
企業の情報漏洩におけるパターンは、1つや2つではないということを理解しておきましょう。
データの悪用による情報セキュリティの事故事例
2014年7月、教育関連企業において個人情報の漏洩が発覚しました。
2070万件もの個人情報が漏洩する大規模な事故となってしまい、氏名や生年月日、電話番号や住所までもが漏洩の対象となってしまったのです。
この事故は、教育関連企業が個人情報の管理・運用を委託していた企業によって引き起こされました。
個人情報を委託されていた企業のエンジニアが、管理業務を実行するためのアクセス権限を不正に利用し、自分のスマートフォンに個人情報をコピーしたことが漏洩の原因です。
不正アクセスによる情報セキュリティの事故事例
2011年4月、電機メーカーにおいてユーザーの個人情報が漏洩しました。
被害に遭った個人情報は7000万件を超えています。
氏名や住所だけでなく、ユーザーのIDやパスワードまで漏洩してしまい、クレジットカードの番号も漏洩した可能性があると発表されました。
原因は外部からの不正アクセスで、企業のサーバに脆弱性があったことが明らかになっています。
問題となったのは、企業がサーバの脆弱性に関して無関心であったことと、通常の企業であれば実施しているはずの対策を怠っていたことです。
データの持ち出しによる情報セキュリティの事故事例
2014年8月、ある電気通信企業で、運営しているウェブサイトの顧客データが入っているコンピュータを紛失するという事故が起きました。
ウェブサイトを運営している委託先企業の社員は、業務を行うために個人情報が入ったコンピュータを持ち出しており、移動先でコンピュータを紛失しました。
幸いコンピュータにはパスワードが設定されていたため、個人情報の悪用被害はありませんでした。
ただ個人情報が入っているコンピュータを紛失するという行為は、情報セキュリティの強化を図るにあたり、あってはならない事故の1つです。
誤破棄による情報セキュリティの事故事例
2013年、ある生命保険会社において、ユーザーの個人情報が記された帳票を紛失し、一部を誤って破棄していたことが判明しました。
社内で破棄されたため、外部に情報が漏洩した可能性は低いとされているものの、個人情報には証券番号等の重要な項目も記されており、大きな問題になりました。
操作ミスによる情報セキュリティの事故事例
2014年3月、とある財団法人において、ユーザーの個人情報がインターネットで閲覧可能な状態になっていたことが明らかになりました。
単純な担当者の操作ミスが原因で、約2ヶ月もの間、個人情報が公の場にさらされることになってしまいました。
まとめ
今回紹介した情報セキュリティの事故事例はほんの一部です。
紹介したもの以外にも、システム障害やメールの誤送信など、様々なことが事故に繋がります。
数多くのパターンがあることを理解すると同時に、企業の情報セキュリティ体制を整えるためにJAPHIC(ジャフィック)マークなどの第三者認証制度を検討しましょう。
マーク取得は、自社の個人情報の安全性をアピール出来るだけでなく、実際に事故が発生しないような社内環境を作り上げることが出来ます。
