組織で取り扱う重要情報について、組織の規程の不備や情報を扱う従業員に対する情報リテラシー教育の不足、不注意・ミスによって引き起こされる情報漏洩です。

具体例１

2021年1月、三井住友銀行は同行のシステムで 使用しているソースコードが外部サイトにて公開されていることを明らかにした。

原因は、同行より委託されていた企業の社員が、自身の書いたソースコードをアップロードすることで年収を診断できるサービス を利用するために外部サイトにソースコードをアップ ロードしたことである。

同行は顧客情報の流出はなくセキュリティには問題ないとしている。

具体例２

2021年9月、クレジットカード等の信販事業を手 掛けるアプラスはカード会員向けサービスで使用する 47 万 5,813 人分の ID とパスワードが、本来は渡す必要のない委託先2社に渡っていたことを明らかにした。

提供したデータが委託先以外に渡った形跡 はなく、不正利用は確認されていない。

原因は、委託先に送付する際の、確認手法に不備があったためとしている。

同社はデータを渡す際の仕組みを見 直すほか、社員の意識改善を進めるとしている。

具体例３

2021年1月、FX 等を取り扱うゴールデンウェイ・ ジャパンは顧客への問い合わせ対応のメールに顧客の個人情報 2,873 件を誤添付し、流出させたと明かした。

同社は送付した顧客にデータの削除を依頼し、ファイルは破棄されたとしている。

同社はこの問題を受け、個人情報の管理体制を強化、社員への教育や業務フローをルール化し、再発防止に取り組むとのこと。

対策

● 情報リテラシーや情報モラルの向上

● 組織規程および確認プロセスの確立

● DLP(情報漏えい対策)製品の導入

● 外部に持ち出す情報や端末の制限

● メールの誤送信対策等の導入

● 業務用携帯端末の紛失対策機能の有効化