内部による情報漏えいには「過失」と「故意」がある

　2015年は、日本年金機構の個人情報漏えいをはじめ、不正アクセスにより組織の重要情報が漏えいした事案が数多く取り沙汰された。菅原氏は、日本ネットワークセキュリティ協会（JNSA）の調査報告書の結果を引きながら、情報漏えいの要因について語った。

「情報漏えいと聞くと、外部からの不正アクセスが原因と思われがちだが、JNSAの調査報告書によれば、情報漏えい事故の要因は内部要因が87％と、依然として“内部犯”が大半を占めている」

　菅原氏によると、内部要因による情報漏えいには「過失による漏えい」と「故意の漏えい」の2種類があるという。

「過失の漏えいは、ヒューマンエラーが原因による漏えいで、具体的には、PCやスマホなどのデバイスの紛失や、SNSなどの設定ミス、投稿した内容が社外秘情報だった、などである。とくにSNSの普及などで増加傾向にある。一方、故意の漏えいは、金銭目的で内部の人間が不正に流出させることだ。こちらは、ニュース等で大々的に報道されたことなどにより、犯罪であるという意識が醸成され、減少傾向にある」

　いずれの場合においても、情報漏えいによる影響の中で最も深刻なのがレピュテーション（評判）の損失だ。とくに、Web上に記録されたデータやログが永続的に残り、消すことが難しい「デジタルタトゥー」の問題などにより、不名誉な履歴はいつまでもネット上に残り続け、ブランドを毀損し続ける可能性があることに注意が必要だ。

企業のネット炎上は、炎上前に“火種”をキャッチせよ

　では、具体的に「過失の漏えい」とはどのようなものか見ていこう。とくに、SNSを通じた漏えいやWeb上の設定ミスによる「意図しない」漏えいが増加しており、さらに、情報漏えいの事実がネット上で批判・拡散される「ネット炎上」が急増しているのが特徴だ。

　過失の漏えいは、大きく以下の3つに分類される。

（1）リスクに対する認識の不足（画像への写りこみなど）
（2）管理ミス（デバイスの紛失や、SNSの情報の公開範囲などの設定ミスなど）
（3）誤操作（添付ファイルや送信を間違えるなど）

「（1）の事例では、業務中に卓上にある食べ物や飲み物を撮影し、Twitterに投稿した際、卓上にあった業務書類が写りこんでしまい、炎上した公務員の事例などがある」

　またSNSを通じた炎上件数は、スマホの普及などを背景に2011年ごろより急激に増加している。

「最近の炎上の特徴としては、炎上の加害者側も炎上するパターンが挙げられる。たとえば、食品の異物混入事件では、当該食品企業が炎上しただけでなく、最初にTwitterに告発のツイートをした告発者側まで批判・炎上する事態にまで発展した」

　では、企業はこうした炎上のリスクをどのように低減していけばよいか。菅原氏は、炎上までのタイムラグというキーワードを挙げた。

「企業価値を損なうような炎上に至るには、投稿され、発見されるまでにタイムラグがあるケースが多い。場合によっては3カ月以上空くこともある。ひとたび炎上すると、たとえば、オリンピックのエンブレム問題のように、マスコミによる後追い報道などもあり、さらに炎上が広がり、コントロールすることは極めて困難になる。したがって、“火種”を炎上前の段階でキャッチすることが重要だ」


　菅原氏は、エルテスのデータベースより抜粋した炎上件数の多いトピックを挙げた。これによると、「倫理に反するもの（犯罪行為の告白など）」「情報漏えい（女子高生が電車内で寝ているサラリーマンを盗撮して投稿するなど）」「差別問題」「国家、宗教」などである。

「国家、宗教といったトピックでは、とくに、中国や韓国に絡むものが多い。海外展開を検討、または進出している企業は、海外での歴史的イベントを把握することがリスクマネジメントを行う上で必要だ」

　ネット上には、独自開発のツールなどでSNSの記事を機械的に取得し、炎上の火種を探すユーザーが存在するという。さらに、インターネット上に公開された情報は「魚拓」などですぐに不特定多数のユーザーにデータが保存されるため、削除してもデータが出回り続ける可能性がある。菅原氏は、2016年1月に施行されたマイナンバーに関連したリスクについても次のように指摘した。

「マイナンバーで企業に考えうるリスクとしては、たとえば、社員等がSNSなどで、マイナンバーの“過失の漏えい”をしてしまい、これが炎上の火種を探すユーザーにキャッチされ、炎上、マスメディアにも取り上げられ、情報漏えいを起こした企業としての風評が残るといったリスクが考えられる」

　こうしたリスクに対し、炎上前に“火種”をキャッチするための対応として大事なポイントとして、菅原氏は、検知とリスクに対するリテラシー教育の重要性を挙げた。

「過失の漏えいに対応するには、日頃からの監視が重要だ。たとえば、Twitterユーザーのプロフィールを検索するツールや、Facebookの検索機能などを使えば、プロフィールの勤務先に企業名を登録しているか、公開範囲の設定や投稿内容などを確認することも可能だ。自社が漏えいしやすい体質かどうか知ることは、万が一の際に、被害を最小限に留めることにつながる」

【次ページ】情報価値が高いマイナンバーの不正持ち出し対策はあるか？