情報漏洩【information leakage】data breach
概要
企業などが内部で管理する情報のうち、秘密にしたり公開せずに管理されている情報が、意図せず外部の第三者の手に渡ってしまった状態である。対象となる情報には、関係先の氏名や住所、連絡先などの個人情報、クレジットカード番号や口座情報などの金融情報、研究開発データや契約情報といった営業秘密など様々なものが含まれる。
原因は大きく「外部要因」と「内部要因」に分けられる。外部要因としては、不正アクセス、マルウェア感染、フィッシング詐欺、標的型攻撃などサイバー攻撃によるものが多い。内部要因としては、従業員による誤送信、USBメモリの紛失、設定ミスによるデータの意図しない公開、内部犯による持ち出しなどが挙げられる。内部起因の漏洩事故が常に一定割合を占めており、技術的対策だけでは防ぎきれない側面がある。
情報漏洩が発生した場合の影響は、情報の種類や漏洩先によって様々である。個人情報の場合には、対象の個人に対して、なりすましや詐欺被害、不正決済などの被害が生じる可能性がある。漏洩を起こした組織に対しては、顧客や社会からの信用失墜、株価の下落、行政機関による調査や処分、損害賠償請求などの法的リスクが生じることもある。日本では個人情報保護法に基づき、個人情報の一定規模以上の漏洩事案については個人情報保護委員会への報告と本人への通知が義務づけられている。
情報漏洩を防止するため、企業などの組織では様々な情報セキュリティ対策が導入されている。アクセス権限の管理や通信の暗号化、ログ監視、持ち出し制御などの技術的対策に加え、従業員教育や運用ルールの整備といった組織的対策も重要とされる。また、情報漏洩対策の一環として、情報資産の保護を目的とした管理手法である「DLP」(Data Loss Prevention)の導入などが行われる場合がある。
共有ボタンをタップ