
社内の情報漏洩とは?定義や法律、リスク、主な原因と対策を解説
近年、メディアでは情報漏洩に関するニュースが多く取り上げられています。
情報漏洩が起きると、企業の信頼を失うと同時に企業活動の停滞にもつながりうるため、企業の抱える大きなリスク課題の一つと言えるでしょう。
本記事では、社内に潜む情報漏洩リスクについて、そして情報漏洩の主な原因と対策を解説します。
目次[非表示]
- 1.情報漏洩とは
- 2.社内で情報漏洩が発生する主な原因とは
- 3.情報漏洩を行った人への責任・刑罰に関する法律
- 3.1.民法
- 3.2.刑法(窃盗罪・横領罪・背任罪など)
- 3.3.個人情報の保護に関する法律(個人情報保護法)
- 3.4.不正競争防止法
- 4.社内で情報漏洩が発生してしまった際の影響
- 4.1.社会的信用の低下
- 4.2. Webサイトや管理システムの改ざん
- 4.3.顧客に対する損害賠償
- 5.国内で発生した内部情報漏洩の事例
- 5.1.事例①:教育機関でのヒューマンエラーによる個人情報の誤送信
- 5.2.事例②:社員の誤送信による個人情報漏洩
- 5.3.事例③:下請け業者経由で情報流出
- 5.4.事例④:業務委託先のUSBメモリ紛失による情報漏洩
- 6.情報漏洩を防ぐ社内の取り組み
- 7.テレワーク環境ではより注意が必要
- 7.1.テレワークにより高まる情報管理の重要性
- 7.2.従業員のログを記録
- 7.3.二段階認証機能などセキュリティ面の強化
- 8.まとめ
情報漏洩とは
情報漏洩は意図せず起こる場合(例えばメール送信のミスや紛失)もあれば、悪意を持った第三者や内部関係者によって不正に取得・公開される場合も含まれます。
情報漏洩が発生すると、企業にとっては信用失墜や損害賠償など大きな被害につながり、個人にとってもプライバシー侵害や二次被害のリスクとなります。
情報漏洩の定義
「情報漏洩」の定義は、組織や個人が内部で管理しているはずの機密情報や個人情報が何らかの原因で外部に漏れてしまうことを指します。
具体的には、企業が保有する技術情報や営業情報などの営業秘密や、顧客・社員などの個人情報が、許可なく社外に伝わってしまう事態をいいます。
要因としては以下のようなものがあります:
- サイバー攻撃など外部からの不正アクセス
- メールの誤送信やデバイスの紛失といったヒューマンエラー
- 関係者による不正な情報の持ち出し
企業の外部に持ち出すことが想定されていない情報が漏れた時点で「情報漏洩」となります。
情報漏洩の対象
情報漏洩の対象となる情報にはさまざまな種類がありますが、特に重要とされるのが営業秘密と個人情報です。いずれも法令上の定義があり、厳重な保護が求められます。
▪営業秘密とは
2024年4月1日に施行された不正競争防止法第2条6項 によると、「営業秘密」は以下のように定義されています。
この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
これらの情報が社外に漏れれば、競合他社による模倣や市場での優位性の喪失といったリスクが生じます。そのため、企業では契約や社内規程で秘密保持義務を課すなど、厳重な管理体制が整えられています。
▪個人情報とは
2017年5月30日に設置された個人情報保護委員会によると、個人情報は以下のように定義されています。
「個人情報」とは、生存する「個人に関する情報」であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、又は個人識別符号が含まれるものをいいます。
個人情報が漏洩すると、プライバシーが侵害されるだけでなく、犯罪行為に悪用されるリスクがあります。したがって、その保護と漏洩防止は極めて重要です。
社内で情報漏洩が発生する主な原因とは
独立行政法人情報処理推進機構(IPA)の調査によると企業における情報漏洩は、従業員・役員を通じたものが8割を超えています。対策を講じるために、まずは原因を知ることから始めましょう。
置き忘れや紛失、誤操作などのヒューマンエラー
社内でどんな対策を行っていても完全にリスクをなくすことができないものの一つとして、ヒューマンエラーが挙げられます。
例えば、パソコンなどのデバイスや重要情報を記載したデータの置き忘れや紛失が該当し、情報を外部に持ち出す際に起きる可能性が高くなります。
また、パソコンなどのデバイスの誤操作により、取引先や関係のない企業に重要データを送信してしまうことも情報漏洩の原因となります。誤操作による情報漏洩は、特にメールやFAXでの誤送信で多発しています。
不十分な管理体制や内部不正
社内で情報の管理体制が行き届いておらず、簡単に情報を持ち出せてしまう状況も、情報漏洩リスクが高まる原因です。近年では、企業の元従業員や派遣社員による不正な情報持ち出しの事件も相次いでおり、情報漏洩の中でも意図的な情報持ち出しが注目が高まっています。
重要情報の取り扱いについて不安を抱えている企業は、ガイドラインの制定や、管理体制に対する見直しを行う必要があるでしょう。
情報漏洩を行った人への責任・刑罰に関する法律
2024年4月1日施行の改正法に基づくと、情報漏洩に関与した者には、内容や立場に応じて様々な法律による責任追及や刑事罰が科される可能性があります。
主な関連法として、個人情報保護法、不正競争防止法、刑法、マイナンバー法(番号法)、国家公務員法(守秘義務)などが挙げられます。それぞれ保護の対象とする情報や適用範囲が異なり、科される刑罰の重さも異なります。
以下に代表的な法律と、その法律に違反した場合の罰則について解説します。
民法
民法とは、個人や法人(私人)相互の権利義務関係をまとめた基本的な法律です。「民のための法律」の略称から分かる通り、公的機関と市民の間ではなく、市民と市民の間における関係性をまとめているのが特徴です。
2024年4月1日施行の法改正によると、情報漏洩が発生した場合、漏洩によって被害を受けた個人や企業は民法709条に基づき加害者に損害賠償を請求できます。また、情報漏洩が従業員や委託先によって引き起こされた場合、民法715条の「使用者責任」により、雇用主や情報を委託した企業も被害者に対して損害賠償責任を負う可能性があります。さらに、機密保持契約に違反して情報を漏洩した場合には民法415条の「債務不履行責任」を問われ、契約に基づく損害賠償請求の対象ともなり得ます。
刑法(窃盗罪・横領罪・背任罪など)
2025年8月現行の刑法には「情報漏洩」という行為自体を直接罰する規定はありません。しかし、情報が記録された紙の書類やUSBメモリなど有体物そのものを持ち出した場合には、窃盗罪や横領罪等が適用される可能性があります。
また、有体物そのものを持ち出すのではなく、書類を撮影したり、データを社外にメール送信するといった方法で情報を持ち出した場合についても、情報管理を任されている立場の者が自己の利益目的でそれを行えば背任罪が成立し、5年以下の懲役または50万円以下の罰金が科される可能性があります。
個人情報の保護に関する法律(個人情報保護法)
2022年4月1日施行の法改正に基づくと、個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした法律です。
個人情報保護委員会の改善命令に違反すると、個人に対しては1年以下の拘禁刑または100万円以下の罰金が、法人に対しては1億円以下の罰金が科される規定があります。
この刑事罰は、近年の個人情報の重要性の高まりから、2020年の法改正で厳罰化されました。
不正競争防止法
2024年4月1日施行の不正競争防止法は、事業主間の健全で公正な競争を促すための法律です。
窃取、詐欺、強迫その他の不正の手段により、営業秘密を取得する行為を「不正競争」に該当し、民事上の差止めや損害賠償に加えて刑事罰も規定しています。
その刑罰は非常に重く、法人に対しては多くの行為類型で3億円以下の罰金が法定されており、営業秘密を侵害する行為の一部については5億円以下の罰金(海外使用等に関しては10億円以下)が科される可能性があります。
社内で情報漏洩が発生してしまった際の影響
社内の情報漏洩が生じてしまった場合、どのような影響があるのか具体例をご紹介します。
社会的信用の低下
社内で情報漏洩が発生すると、第三者がその情報を不正に利用するリスクが考えられます。
過去には、企業情報を入手した第三者が、企業を名乗ってユーザーに偽メールを送信するという事例もありました。このような不正利用の事態hは、ステークホルダーに悪影響を及ぼし、社会的信用を失う可能性もあります。
Webサイトや管理システムの改ざん
情報漏洩の中には、Webサイトや使用中のWEBサービス、管理システムにアクセスするためのログイン情報が含まれていることがあります。ログイン情報が社内から流出すると、第三者が簡単に不正利用できる可能性も高まるため、二次被害が発生するリスクにも繋がります。
たとえばWebサイトの表示情報が改ざんされてしまう恐れがあるほか、顧客情報の流出に発展する事態もあり得るため対策が求められます。
顧客に対する損害賠償
社内で情報漏洩が発生し顧客データが流出してしまうと、企業に罰則が科せられたり、顧客への損害賠償が生じることがあります。行政から業務改善命令の指導が入った場合は、再発防止策の報告なども必要となります。
国内で発生した内部情報漏洩の事例
ここでは、日本国内で発生した情報漏洩の事例を紹介します。特に内部要因に起因するケースに絞り、企業や組織内部の不正や人的ミスによって生じた漏洩事件を取り上げます。
事例①:教育機関でのヒューマンエラーによる個人情報の誤送信
ある大学では、職員が海外の提携先に送付する名簿ファイルを作成する過程で、全学生の情報が含まれたマスターデータのシートを削除し忘れるミスが発生しました。
その結果、メールでファイルを送信した際に、本来関係のない全在籍学生の個人情報が外部に誤って提供されてしまいました。
大学側は誤送信に気づくとすぐに送信先に連絡を取り、ファイルの削除を依頼・確認しました。また、対象となる学生への個別通知と謝罪を行い、再発防止策として全職員への注意喚起や、メール送信時の添付ファイル確認を徹底するルール強化に取り組んでいます。
今回の件は、幸いにも情報が悪用されたとの報告は出ていませんでしたが、「大学でもこのようなミスが起こるのか」としてネット上でも話題となりました。他の教育機関にも波及的な注意喚起がなされ、組織の規模を問わず、ヒューマンエラー防止の仕組み作りが求められることを改めて示す事例となりました。
事例②:社員の誤送信による個人情報漏洩
ある人材紹介事業大手企業において、社員によるメールの誤送信が原因で、約37,000件にのぼる個人情報が外部に漏洩する事故が発生しました。
この社員は、自社が運営する転職サイトの登録者データを外部委託先企業へメールで送信する際、本来とは異なる宛先に誤って添付ファイル付きのメールを送信してしまいました。漏洩した情報には、氏名・住所・勤務先・年収・希望年収など、個人を特定し得る詳細な情報が含まれていました。
幸い、外部企業からこれらの個人情報が流出した形跡はなかったため、特に大きな被害は発生せず、登録者に具体的な損害は発生しませんでした。
企業側は、個人情報を漏洩した経緯と謝罪を実施し、情報管理の強化・徹底及び運用業務のフローの見直し、再発防止に向けた社内教育を講じました。
事例③:下請け業者経由で情報流出
ある大手建設事業者において、顧客情報が流出した事件が発生しました。
流出した個人情報は、約11年間にわたり当該エリア内で同社の物件を購入した顧客の氏名、住所、電話番号、および物件の引き渡し日で、その件数は7,000件にのぼりました。流出元の下請け業者を名乗る配管業者から勧誘電話があったという顧客からの問い合わせにより、事件が発覚しました。
その後、流出経路について調査が行われたものの、原因や経緯は特定できないまま調査は終了したとされています。
この事件を受け、同社は再発防止策として該システムのセキュリティを見直し、セキュリティ対策の強化を行いました。
事例④:業務委託先のUSBメモリ紛失による情報漏洩
ある自治体が委託していた業務委託先の社員によって、市民約46万人分の個人情報を保存したUSBメモリが一時的に紛失する事故が発生しました。
この社員は、業務のため、住民基本台帳などのデータを保存したUSBメモリを業務目的で持ち出していました。しかし、業務後にかばんごと紛失してしまいました。その後、警察による捜索によりUSBメモリは回収され、自治体は調査委員会を設置したうえで「個人情報の漏洩は確認されなかった」と発表しました。
調査報告では、USBメモリの持ち出しに関する事前許可の取り決めがあったにもかかわらず、委託社員がそのルールを認識しておらず、さらに委託元による教育・監督体制も不十分だった点が厳しく指摘されました。
これを受けて自治体は、USBメモリを含む外部媒体の持ち出しに関する手順やルールの周知徹底、委託先を含む情報管理体制全体の再構築に取り組む方針を打ち出しました。
情報漏洩を防ぐ社内の取り組み
情報漏洩を防ぐには、事前に起こり得るリスクとどのような対策を講じる必要があるかを整理し、被害を予防あるいは最小限に抑える体制づくりを行うことが大切です。ここでは、情報漏洩を防止するための社内の取り組みについてお伝えします。
情報管理に対するルールの設定・徹底
企業の情報管理に関するルールを社内で設け、徹底しましょう。企業の情報の中には、特に重要性の高い「機密文書」と呼ばれるものがあり、さらに機密情報の中でも重要レベルが分けられます。重要度の定義や管理方法など社内で統一したルールを設けておくことが大切です。
また、万が一、情報漏洩が起きてしまった場合は、迅速に対応することが大切です。従業員がすぐに対応できるよう、あらかじめ対処方法などをガイドラインにまとめて記載するといいでしょう。
ヒューマンエラーへの対策
社内の情報漏洩対策として、置き忘れや紛失、誤操作といったヒューマンエラーの防止策も考える必要があります。
例えば、端末を遠隔操作可能にすることで、パソコンのロックや初期化を遠隔で行える仕組みがあれば、デバイスの置き忘れや、紛失した場合も情報流出のリスクを低減させることができます。
また、前述したように、メールやFAXでの誤送信も情報漏洩につながりますが、誤送信防止ツールを導入したり、送信前の宛先確認を徹底することでも、誤送信の防止が期待できます。
権限範囲の設定や持ち出しできる情報の制限
むやみに従業員や関係者へ情報のアクセス権限を譲渡してしまうと、情報漏洩のリスクが高まります。重要データを定義付け、アクセス可能な従業員を絞るなど、流出経路を抑えれば、セキュリティの強化にもつながります。
また、ガイドラインに閲覧場所などの規定を設ける方法もあります。「重要情報は自宅に持ち帰らせず、社内で取り扱う」などのガイドラインを決めることで、不要な持ち出しを減らすことが期待できます。
テレワーク環境ではより注意が必要
働き方改革の一環として多くの企業で導入されているテレワークにより、情報を外部に持ち出す機会が増加しました。そのため、情報の管理に関するルール策定と周知を徹底することが重要になっています。
テレワークにより高まる情報管理の重要性
2020年以降急速に普及したテレワーク化に伴い、企業の情報漏洩リスクも高まりました。テレワークというニューノーマルな働き方を狙った攻撃も顕在化し、それらの備えが働き方の変化とともに求められています。
特にテレワークに伴い進んだのが企業のクラウド活用ですが、社内からの物理的なデータの持ち出しが不要になり自宅でも必要な情報へのアクセスが容易になった一方で、オンライン上での情報漏洩リスクにも繋がるため、それらを踏まえた対策を行いましょう。
従業員のログを記録
テレワーク環境下での情報漏洩対策のひとつが、従業員が行ったPC操作などのログを記録・管理することです。「いつ、誰が、何をしたのか」を追跡可能にし、これを社内で徹底周知することで、情報漏洩に対する危機感を持たせることができます。
また、蓄積されたログをもとに、調査をコンスタントに行うことも大切です。問題が生じた際は、このログを用いて原因を調査することも可能になります。
二段階認証機能などセキュリティ面の強化
テレワーク化によって社内や自宅以外で仕事をできるようにしたという企業も少なくないと思います。特に、カフェやシェアオフィスなど、所属企業と無関係の第三者がいる中で仕事をする場合は、二段階認証機能などセキュリティ面の強化も重要になっています。
二段階認証では、IDとパスワードのほかに、認証アプリでのログインやSMSによる認証コード発行など、ログインに必要な操作を追加することができるため、万が一、IDやパスワードが流出した場合でも第三者のログインリスクを低減できます。
上記で紹介した以外にも企業ごとにテレワークのルールや仕組みは様々です。起こり得るリスクを洗い出し対策を講じることが検討しましょう。
まとめ
情報漏洩は、いつどこで発生するかわかりません。企業の重要情報を守るには、社内で情報漏洩のリスクや原因を把握し、適した対策を実施する必要があります。管理体制をしっかり整備し、制定したガイドラインなどは従業員に徹底周知しましょう。
現時点で情報漏洩対策を行っている企業も、今の対策が最適か今一度見直してみてはいかがでしょうか。
社内の情報漏洩対策の相談はエルテスへ