その他

顧客情報漏えいのリスクとは?企業への影響と事例

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_2090

テレビや新聞などで、不正アクセスによる顧客情報の漏えい・流出事件などが報道されていますが、実際のリスクや企業への影響、被害の実態はいかほどなのでしょうか。

また、実際の事例や漏えいしないための対策など、まとめて解説します。経営者の方はもちろん、セキュリティ担当者も含め、企業全体で漏えいをしないように実践してみてください。

1. 顧客情報を漏えいしてしまう原因

企業が顧客情報を紛失してしまうのは、おもに以下の3つが原因となります。

1-1. 書類やデータを紛失

たとえば、顧客情報の入った封筒やパソコン、USBメモリなどを出先で落とした、忘れたなど、アナログなデータ紛失をいいます。この種の情報漏えいが非常に多いです。

1-2. ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、悪意ある人物がセキュリティ関連の会話を盗み聞きするなど、人的ミスやスキを狙って情報を盗む手法です。ほかにも、つぎのような手口が使われることがあります。

  • ショルダーハッキング:肩越しにパスワードなどの入力を盗み見る
  • トラッシング:ゴミ箱を漁ってパスワードのメモなどを入手する
  • なりすまし:管理者になりすまし、IDやパスワードを聞き出す

1-3. サイバー攻撃

ECサイト(ネット通販)など顧客情報が保管されたサイト、サーバーがサイバー攻撃を受けることで、情報を抜き取られるタイプの漏えいです。サイトやサーバーのセキュリティ対策が甘いと被害を受けます。

ホームページのハッキング手口とは?こんな攻撃に注意!
近年、数多のホームページがハッキングを受け、情報漏えいや改ざんなどの被害に見舞われています。しかし、それらはどのような手口で攻撃されたのでしょうか?その方法...

2. 顧客情報漏えいのリスク・影響とは?

顧客情報を漏えいしたとき、つぎのような被害や影響が考えられます。

2-1. 膨大な損失を被る

顧客情報を漏えいした場合、まず「問題の解決に係る費用」と「謝罪に係る費用」が必要です。書類やデータ紛失を原因とする漏えいの場合は被害者に対し、必要に応じて慰謝料を支払うことになります。

サイバー攻撃が原因で発生した漏えいになると、被害者への慰謝料支払いのほか、さらに事故対応(セキュリティ会社によるフォレンジック対応)やサイト・サーバー復旧に数百万円以上の費用もかかります。

1件あたりの損害賠償額は?

JNSA(日本ネットワークセキュリティ協会)による2016年度のセキュリティインシデント報告書によれば、つぎのような数字が出ています。

漏えい人数

1,510万6,784人
インシデント件数

468件
想定損害賠償総額

2,541億3,663万円
一件あたりの漏えい人数

3万4,024人
一件あたり平均想定損害賠償額

6億7,439万円
一人あたり平均想定損害賠償額

3万1,646

出典:2016年 情報セキュリティインシデントに関する調査報告書【速報版】

このように、1件あたりの平均損害賠償額は6億7,439円。事故の規模や漏えい人数によって差は出ますが、1件の漏えい事故が企業に与える影響の大きさが、よく分かりますよね。

2-2. 機会損失する

前述のとおり、サイバー攻撃によって情報漏えいした場合、業務をストップして事故対応をおこなう必要があります。事態が深刻な場合、何日もかけて原因の究明や復旧をおこなわなくてはなりません。

その間は社内パソコンやサーバーを利用できませんし、ECサイトなどであれば、サイトの一時閉鎖により機会損失が考えられます。また、最悪の場合はデータ復旧が不可能で、消失する可能性もあるでしょう。

2-3. 信用が失墜する

一度でも情報漏えいを起こしてしまうと「あの会社は情報を漏えいするから取引しないようにしよう」と、利用者や取引先から敬遠されてしまいます。

ただでさえ、問題解決や謝罪に膨大な金銭的損害を被ったにも関わらず、取引してもらえない→収入が得られず、大幅減収に至ってしまいます。度合いによっては、経営をも揺るがす危機になりかねません。

3. 顧客情報漏えいを防ぐ対策

顧客情報の漏えいを防ぐには、アナログとデジタルの両面でセキュリティ対策を実施することが効果的です。たとえば以下のようなことを実施してください。

3-1. 厳重なデータ管理を徹底する

紛失やソーシャルエンジニアリングでの情報漏えいを防ぐためには、社内でのデータ管理や社員教育を徹底する必要があります。

アナログ面での対策

  • 情報を破棄する際、かならずシュレッダーにかける
  • 紙ベースの書類はカギのかかったロッカーで保管する
  • カギは限られた社員にのみ権限を付与する
  • 基本的に社用PCは家に持ち帰らせないようにする

デジタル面での対策

  • セキュリティソフトやファイアウォールなどを導入する
  • 中古USBなどウイルス混入のおそれがある機器を社用PCに接続させない
  • 顧客情報や機密情報を外で喋ったり、ネットに書き込んだりしないよう教育する
  • 退職する社員にカギや情報へのアクセス権限を付与していた場合、無効化する

3-2. ロックを利用する

社用パソコンは原則持ち出せないようにすべきですが、どうしても持ち帰って作業する必要があるときもあるでしょう。そんなときのために、パソコンやUSBはロックをかけておくことをオススメします。

パソコンであればWindows BitLocer、USBならパスワードをかけられる機能がついた製品を利用するとよいでしょう。そうすれば、万が一紛失してもデータを抜き取られにくくなります。

3-3. セキュリティ診断を実施する

サイトやサーバーがサイバー攻撃を受けて情報漏えいする、という被害を防ぐのに効果的なのがセキュリティ会社の実施する診断サービスの利用です。

診断によって、どの部分にセキュリティの弱点があるのか分かり、対策しやすくなります。また、現状の対策に不備がないか確認するのにも、定期的な診断は必須です。

セキュリティ診断サービスについて
セキュリティ診断サービスとは、専門ツールや技術者自らが攻撃者の視点になり様々なペネトレーションテスト(疑似攻撃)を行い、Webアプリケーションやネットワークなど...

4. 実際どのような被害事例5つ

では、実際どのような被害が出ているのでしょうか。ニュースなどで報道された事例について紹介していきます。

ベネッセコーポレーション

経緯

2014年6月ごろから、ベネッセの顧客から「ベネッセにしか登録していない個人情報を使った、他社からのダイレクトメールが届くようになった、漏えいしていないか」という旨の問い合わせが急増。

7月9日、原田泳幸会長兼社長は記者会見をおこない、「社内調査の結果、データベースの顧客情報が外部に持ち出された可能性がある」と発表しました。

データを持ち出していたのは、派遣会社の社員であったシステムエンジニアの男。2013年12月から情報の持ち出しをはじめ。名簿業者に販売していたということです。

被害規模

2895万件の漏えいが発覚し、ベネッセ側は被害者にお詫びとして500円分の図書カード・電子マネーを配布。しかし、2015年1月29日に約1780人の被害者が集団訴訟し、1人あたり5万5000円を請求。

当初、ベネッセが用意していた補償金は200億円。とても賄いきれない請求額になったほか、今回の一件で大規模な顧客離れが起き、赤字に転落しました。

日本年金機構

経緯

2015年5月8日、コンピューターウイルスによる年金管理システムへの不正アクセスが確認されました。感染経路としては、5月8日~18日にかけて大量に送られてきたウイルスメールとしています。

メールのタイトルは「『厚生年金基金制度の見直しについて(試案)』に関する意見」。開封するよう巧妙に仕組まれた、標的型攻撃と呼ばれるサイバー攻撃でした。

本文に記載されたURLにアクセスし、ファイルをインストールすることで、ウイルス感染する仕組みになっていました。ちなみに職員が最低でも2回開封した痕跡あり。

被害規模

結果的に流出した個人情報は125万件(氏名、基礎年金番号、生年月日など)。

標的型攻撃メールの対策は?被害に遭わないために
近年、標的型攻撃メールの被害が相次いで発生しています。情報処理推進機構(IPA)が発表した、「情報セキュリティ10大脅威 2016」ランキングでは、企業が脅威と感じて...

グリコ

経緯

2016年1月29日、クレジットカード会社からカード情報流出を懸念する連絡があり、調査の結果グリコの通販サイト「グリコネットショップ」利用者のカード情報を含む個人情報の漏えいが確認されました。

原因としては、グリコネットショップが使う外部サービスの脆弱性が悪用されたことでの不正アクセスとされ、それ以上の詳細はセキュリティ上答えられないとのことでした。

被害規模

流出した可能性のある個人情報は83,194件に及び、うち43,744件はクレジットカード情報を含みました。前述のようにカード会社から連絡があったということで、何件か不正利用も発生しています。

グリコ通販サイトが不正アクセス被害!個人情報漏洩か?
江崎グリコが運営している通販サイト「グリコネットショップ」に、不正アクセスの被害があったことが発表されました。クレジットカード情報や商品届け先住所などの個人...

都税クレジットカードお支払サイト

経緯

GMOペイメントゲートウェイが運営していた、カードで都民税を支払える「都税クレジットカードお支払サイト」が不正アクセスを受け、カード情報が外部漏えいした可能性があると発表しました。

不正アクセスの原因は、サイトに使用されたアプリケーションフレームワーク「Apache Struts 2」の脆弱性を突いたサイバー攻撃。サイトは一時閉鎖後に対策を実施したうえで、サービスを再開しました。

被害規模

流出した個人情報は67万6290件、うち61万4629件はメールアドレスを含んでいました。

JINS

経緯

2017年3月、大手メガネチェーンJINSのECサイトで不正アクセスが確認されました。これも上記の都税お支払サイトと同様、「Apache Struts 2」の脆弱性を突いたサイバー攻撃が原因。

JINSは2013年にも同脆弱性を狙ったサイバー攻撃により、不正アクセスを受けて個人情報を漏えいした過去があります。

被害規模

74万9745件の個人情報(氏名、住所、電話番号など)のほか、43万8610件のメールアドレスが、外部からアクセス可能になっていました。なお、2013年の漏えいではカードの不正利用も発生しています。

まとめ

このように顧客情報の漏えいは、経営を揺るがす大きな損害や信用失墜を招く、おそろしい事故であることがお分かりいただけたのではないでしょうか。

紹介した事例は大手の有名なもののみでしたが、明らかにされていないだけで、実際は中小企業も「セキュリティが甘いから」という理由で狙われやすいです。

うちの会社は大丈夫だろう、などと思うのではなく、アナログとデジタルの両面でしっかりセキュリティ対策を実施することが重要といえるでしょう。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る