マモリノジダイとは
会員登録
中小企業こそ危ない!情報漏えいリスクと“今すぐ”始める対策
「うちは中小企業だし、重要な情報はないから大丈夫。」
そう思っていませんか?
情報漏えいと聞くと、大企業へのサイバー攻撃や大規模な個人情報流出をイメージしがちですが、ニュースにならないだけで多くの中小企業で情報漏えいが発生しており、その影響は取引先にも広がることがあります。
では、どう対応すればよいのでしょうか。
今回は、ITコンサルティングを行う株式会社イントリーグ(以下、イントリーグ)代表取締役社長兼CEOの永井氏に、中小企業が直面する情報漏えいの具体的な事例や、すぐに実践できる対策について伺いました。
永井氏プロフィール
国際基督教大学教養学部社会科学科を卒業後、日本IBMに入社。金融担当SEを経て、ベンチャー系ITコンサルのイントリーグに参画。96年社長に就任。現在は株式会社イントリーグ代表取締役社長兼CEO。多数のIT案件のコンサルティング、特にシステム調達におけるRFP(提案依頼書)作成およびベンダー選定支援を手掛ける。
▼著書
- 事例で学ぶ RFP作成術実践マニュアル(2011 日経BP)
- RFP&提案書 完全マニュアル 改訂版 (2016 日経BP)
- DXを成功させる社長 81の心得(2021 日経BP) 他
▼コラム
- 「システム開発「丸投げ」劇場」『日経クロステック』連載中(2020.1 ~)
- 「DX時代の必修スキル「システム導入AtoZ」」『日経クロステックACTIVE』連載中(2023.3 ~)
情報漏えいはこんなに身近!中小企業で起こったリアルなトラブル
情報漏えいと聞くと、多くの人は大企業へのサイバー攻撃やクレジットカード情報の流出事件を思い浮かべます。しかし、実際には中小企業でも些細なミスから情報漏えいが頻発しています。
独立行政法人情報処理推進機構(IPA)の2024年度調査*によれば、2023年度にサイバーインシデントが起きた企業は回答者の約23%、しかもそのうち約70%が取引先にも影響を及ぼしています。下図のように、サービスの停止等による影響や個人顧客への賠償・法人取引先への補償負担が多い結果となっており、事業の継続性を脅かす実情を浮き彫りにしています。
出典:独立行政法人 情報処理推進機構「「2024年度中小企業等実態調査結果」速報版を公開」
さらに、情報漏えいの原因はサイバー攻撃だけではありません。社員のちょっとしたミスや油断による漏えい事故も多く、例えば、メールの誤送信、パソコンの置き忘れ、機密データの無防備な管理が重大な問題に発展することもあります。
永井氏は、「中小企業ほど『うちの会社は狙われない』と他人事になっており、それが問題です。」と指摘します。
| 「特に中小企業では、デジタルの脆弱性よりも、アナログなヒューマンエラーによる情報漏えいが多発しています。 例えば、メールの誤送信や、会社のパソコン・スマホを電車等に置き忘れるといったケースが典型例です。 こうしたミスが起きると、自社だけでなく取引先や顧客にも影響が及び、最悪の場合、取引停止や信用失墜につながることもあるのです。」 「ヒューマンエラーの中でも特に多いのが、メール誤送信による情報漏えいです。 近年、メールソフトの進化により、宛先候補が自動で推薦される機能が一般的になりました。これにより、手入力の手間が減る一方で、類似した名前の誤った宛先を選んでしまい、機密情報を送信してしまうケースが増えています。」 |
また、ECサイトを運営する小規模企業も注意が必要です。
| 「ECサイトの運営ツール自体はセキュリティが強固なものが多いですが、顧客情報をダウンロードした後の管理が甘いケースがあります。多くの企業では、ダウンロードした顧客データをパソコンのデスクトップやローカルストレージに無造作に保存しており、端末の紛失やウイルス感染時にデータが流出するリスクが高まっています。 特にBtoCビジネスでは、一度でも個人情報が漏えいすれば、社会的信用を一気に失い、最悪の場合は事業継続が困難になることもあります。」 |
このように情報漏えいは特別な問題ではなく、日常業務の中で誰にでも起こりうるリスクです。まずはどのようなリスクと対策があるのかを知ることから始めましょう。
「うちは狙われない」は幻想!巧妙化するサイバー攻撃の脅威
冒頭で述べた通り、中小企業もサイバー攻撃の標的になっています。しかも、その手口は年々巧妙化し、「自分たちには関係ない」と油断している企業ほど狙われやすいのが現状です。
特に深刻なのが、企業のデータを「人質」に取るランサムウェア攻撃です。
これは、企業のシステム内のデータを暗号化して使えなくし、元に戻す代わりに身代金(ランサム)を要求する手口です。
必要なデータがすべて暗号化され、解除のために高額な支払いを求められるというニュースをご覧になったことがあるのではないでしょうか。
| 「不審なメールの添付ファイルやリンクを介してランサムウェアに感染するケースが急増しており、ITの専門家ですら判断に迷うほど巧妙な手口が使われています。 セキュリティ技術も日々進化していますが、攻撃側もそれを上回る手法を次々に編み出し、まさに『いたちごっこ』の状態です。メールフィルターやセキュリティツールが強化されても、フィッシング詐欺や不正アクセスの被害は後を絶ちません。 特に製造業の中小企業が大手企業の下請けや孫請けをしている場合、その影響は甚大となります。 ランサムウェアに感染するとシステムが暗号化され、業務がストップ。納品の遅延が発生し、取引先の大企業にも被害が広がります。最悪の場合、信用失墜による取引停止に発展する可能性もあるのです。」 |
このような情報漏えいを防止するためにセキュリティ対策へ投資することは理想ですが、実際に投資している中小企業は約40%*に留り、約60%は何も投資をしていないというのが現状です。
こうした状況を踏まえ、永井氏は次のように語ります。
| 「まずはアナログな対策から始めることが重要ですね。それを徹底するだけでも、リスクは大幅に低減できます。」 |
専門知識不要!今日からできる情報漏えい対策3選
「情報漏えいは、『会社の情報システム担当が対策するもの』と思うかもしれません。
しかし、個人レベルでの意識を高め、基本的な対策を実践するだけで、企業全体のセキュリティリスクを大幅に軽減できるのです。」と永井氏は強調します。
では、具体的にどんな対策をすればよいのでしょうか?
永井氏に、今すぐ実践できる情報漏えい対策を紹介していただきました。
1. 不審なサイトにはアクセスしない
業務に関係のないサイトの閲覧は、ウイルス感染や情報漏えいのリスクを高めます。特に、会社のパソコンを使用している場合は、不審な広告のクリックや、無料ダウンロードを謳うサイトの利用は避けましょう。
最近では、信頼できる企業を装ったフィッシングサイトも増えており、見た目では判別が難しいケースもあります。「いつもと違うサイト」「アドレスが微妙に違う」と感じたら、すぐにアクセスを中止するのが安全です。
2. 心当たりのないメールは開かない
「請求書の確認をお願いします」「アカウントのセキュリティ異常が検出されました」など、もっともらしい件名のメールが届くことがあります。
差出人が不明なメールは、すぐに開封せず、一呼吸おいて慎重に判断することが大切です。
特に、添付ファイルがある場合は要注意。開封した瞬間にマルウェアに感染し、企業のデータが外部に流出する可能性もあります。
もし怪しいと感じたら、以下を実施してください。
✔ 差出人のメールアドレスをよく確認(企業名を装ったアドレスに注意)
✔ メール本文内のリンクをクリックしない、添付ファイルを開かない
✔ 迷ったら、すぐに上司やIT部門に相談
3. スパムフォルダの確認は慎重に
最近では、メールソフトのフィルター機能が向上し、不審なメールを自動でスパムフォルダに振り分ける仕組みが強化されています。
しかし、それでも年に数回は、正規のメールがスパムフォルダに誤分類されることがあります。
取引先からの重要なメールがスパム扱いされることもあるため、定期的に確認する習慣は大切です。
ただし、スパムフォルダはあくまでスパムフォルダ。確認する際は慎重に行ってください。
| 「日々の業務で、こうした基本的なルールを守るだけで大きなリスクを回避できます。情報漏えいは決して他人事ではありませんので、まずは個々人がセキュリティ対策を実践していただければと思います。」 |
会社全体で守る!情報漏えいリスクを激減させる取り組みとは
情報漏えい対策を進めるうえでは、全社的なセキュリティ意識の向上も重要です。
どれだけ高性能なセキュリティシステムを導入しても、従業員一人ひとりの意識が低ければ、思わぬ形で情報が漏えいしてしまいます。
永井氏は、経営層が率先してセキュリティ対策に取り組み、その重要性を社員の日常業務に根付かせる必要があると指摘します。
| 「まず、経営者は情報漏えいは会社の存続を左右する問題として危機意識を持ち、自らが率先して模範を示すことが不可欠です。その姿を社員は見ているし、逆に社長からも見られているという緊張感があることで、情報を扱う社員の意識は変わっていきます。」 |
具体的に、イントリーグで取り組んでいる例も挙げていただきました。
| 「例えば、日頃から社内の会話であっても取引先の実名を使わず、「新宿」「神田」「赤坂見附」のように具体的な地名等で呼ぶ習慣を徹底しています。このような習慣を社内で徹底することで、従業員が社外で会話する時でも機密情報の漏えいを防ぐことができます。」 |
また、管理職や部門長も、情報漏えいリスクを身近に感じるべきと永井氏は語ります。
| 「営業部門では顧客データを頻繁に扱うため、情報管理の徹底が求められます。さらに営業部門長は事故が起きた時に、顧客へ謝罪をする立場にもなりますし、自分事として考えて欲しいです。 また、事故が起きた際にはすぐに報告があがってくる仕組みを構築することが、被害拡大を最小限に抑える鍵になります。しかし、事故を起こした本人としては、心理的に隠したくなるため、報告しやすい仕組みや風土を整えることが重要です。例えば、報告が責任追及ではなく迅速な対応のためであると周知する、日常的に小さなミスでも共有する文化を醸成するなどの取り組みが有効です。また、プライバシーマークを取得している場合には、報告フローが明確になっているため、これらの対応がよりスムーズに行われます。 さらに、事故後の対応として、社内での情報共有も不可欠です。単に当事者・関係者だけに知らせるのではなく、全社員に対して状況を説明し、再発防止策を共有することが重要です。情報漏えいの事実を隠してしまうと、同じミスが繰り返される可能性が高まります。」 |
今回のインタビューを通じて、永井氏が強調したのは、情報漏えい対策は単にシステム投資をすればよいものではなく、企業文化として全社員に習慣化させることが重要だという点でした。
経営層や管理職の意識と行動、そして現場担当者の習慣――これらがそろって初めて、情報漏えいのリスクを低減できるのです。
そのためにも、今日からできる対策を一つずつ実践し、リスクを未然に防ぐ習慣を育てていきましょう。
* 出所:独立行政法人情報処理推進機構 「2024年度中小企業等実態調査結果」速報版