タイトルが突然ですが、よくある謳い文句に「あなたの会社のセキュリティは大丈夫ですか？」というお話はよく聞くかもしれません。ただし実際に情報漏えいした現場というのはなかなか見る機会はないのですが、今回は、私が以前所属していた会社にて実際に情報漏えいが発生した事例を元にその後の対応や防止策についてまとめてみたいと思います。

昨今はよく「貴社のセキュリティ対策は・・・」というお話を聞きます。世の中のネットニュースでも「ハッカー」や「クラッカー」という言葉もでてきます。そのため情報漏えいと言ってしまうと外部から不正アクセスが原因で情報漏えいをした。というのが一番目のあたりにするかと思います。

特に最近は、「仮想通貨」の不正アクセスによる資金流出などが有名なお話です。
これは圧倒的に攻撃側が流出を目的としたものだからです。ちなみに仮想通貨はすべての取引情報をデータの格納した状態でやり取りをしているといわれています。そのため資金流出した際には簡単に足がつくなどと言われておりました。ちなみに、仮想通貨が次々と出る理由としては取引情報がデータに格納され続けるといずれはデータが大きくなりすぎるといわれております。

閑話休題。

少し話がそれましたが、実は世間で一番多い情報漏えいの原因は内部の人間が原因になっているものが圧倒的です。そのなかでも一番多いのは「誤操作」によるものです。一番簡単な例は「メールの宛先間違い」や「添付間違い」などが具体的な事例です。次に多いのは紛失・置き忘れなどがあります。私の周り人間で具体的にあった話ですが、車の中にパソコンを置きっぱなしにしたために、車上荒らしにあったなどもありますが、これは「盗難」に分類されます。他の内部の人間によるものとしては退職してもパスワードを変更してなかったため退職者から漏えいしたとか社内のサーバーだからパスワードが設定されてなかったとかそういう内部統制や運用ルールが甘かった（管理ミス）などが原因で漏えいすることも多いです。

次のページにエビデンスとして日本ネットワークセキュリティ協会の2017年度の資料を参考に記載します。

このように圧倒的に多いのは誤操作や紛失・置き忘れなどです。そのため会社としては「性善説」で対策をするのではなく人間は「失敗」するものと考えて対策を考える必要があると思います。

では、今回は私が以前所属していた会社での発生した情報漏えいの案件を元に会社がどのように立ち回ったかというお話をしたいと思います。ライフエスコートはECサイトの運用代行やECコンサルティングを行う会社です。BtoCでは個人情報も取り扱うことも多いので同じ轍を踏まないようにしております。

ちなみに情報漏えいが発生した後、会社は「信用」と「労力（お金）」と解決するまでの「時間」がかかります。理由としては会社として「何が」漏えいしたか？を調べる必要があります。
場合によっては個人情報では特に対象のお客様に対して連絡する必要もあります。

では具体的に発生した内容です。

発生した時期はお盆をあと１～２週間迎える夏の頃でした。発生した日はちょうど漏えいした部署の飲み会でした。担当者は飲み会に参加するために作業を自宅でするためにノートパソコンを持ち帰りました。飲み会は１次会のあと二次会に進み遅くまで飲んだため終電がなくなったそうです。
そのため担当者はタクシーで自宅に帰りました。そして朝起きると鞄がないことに気が付いたそうです。
帰りに乗ったタクシー会社に連絡をしたのですがパソコンは見つかりませんでした。
最近のノートパソコンは暗号化ソフトなどもありますので例えログインできなくてHDDを取り出して別のパソコンにつないでもデータは確認できません。私が以前所属していた会社でもWindowsパソコンは暗号化されていたので例え紛失しても情報漏えいの可能性はありません。ただしMacに関してはその会社ではIT担当者の知識不足もあり暗号化していませんでした。

そのためパソコンを紛失したイコール情報漏えいとなりました。

その後は紛失した担当者に対してヒアリングを行いどの程度の情報が漏えいしたのか？ということを調べます。当社でもクラウドサービスはいろいろと利用していますが当時、担当者の部署ではDropboxを使い社内サーバーを共有していたそうです。確かに作業を行ううえでは同期されていて便利なのですが今回はそれが徒となりました。そのため、Dropboxで設定されていた箇所すべてが漏えいに対象になりました。

その後の会社の作業ですが情報漏えいした可能性のあるディレクトリ配下のファイルをすべて洗い出しました。ディレクトリはお客様別に分けられていたために漏えいした部署以外の顧客担当部署がそれぞれファイルの内容精査を行いました。具体的には全ファイルリストの作成とファイルの内容を印刷して目視による確認なども場合によっては行いました。印刷したファイルを目視で確認してそれぞれが「機密情報」「個人情報」「公開情報」などに分けていきます。ちなみに「機密情報」というのは基本的に「公開前」の情報になります。ECサイトでも販売前の商品の情報は「機密情報」にあたります。

その後、お客様への連絡・謝罪などに追われました。報告内容ですが、前述の漏えいした経緯・お客様からお預かりしていた情報で漏えいした内容・今後の対策になります。たまたまお盆前ということもあり社長を中心に役員はお盆休みを返上して対応に追われました。最終的に会社として終息宣言をしたのがその年の年末でしたので約５ヶ月程度は情報漏えいの対応に追われたことになります。

特に今回は情報漏えいしたファイル数が膨大だったということもありました。

ではその後、その会社で行ったその後の防止策についてもまとめていきたいと思います。特に防止策などはご覧の会社様でも参考になるかと思います。

当然ですが担当者たちは便利さになれてしまっていたので開始当初は不満がたくさんでましたが漏えいした後の作業のことを考えると必要な措置だと思います。その後ですが、メールの添付の暗号化ソフトの導入やPCを一定時間ネットにつながない（認証されない）と自動的にデータが消去されるアプリケーションなどを導入しました。

日々のルールを厳格化してしまうと意外と人間はなれてしまうため、一定期間が過ぎるとあまり不満は言わなくなったそうです。ただし、ある程度は「人間はミスをするものだ」ということを前提にシステムや運用ルールを構築することが前提になります。

このたびライフエスコートでは今年個人情報保険に入りました。当社ではECの運用代行を行っております。当社が開発したシステムもございますが、ECカートなどはASPサービスを利用しています。万が一、個人情報が漏えいした際の保険です。

情報漏えいは一度発生すると前述したとおり調査をするためにかなりの時間やお金が必要になってきます。自社で調査しきれない場合が外部の企業にお願いすることもあります。そのため保険は発生しうるお金に対して一定の補償が受けられるものです。そのために一度保険の加入についてご検討してみてはどうでしょうか。また取引先へ確認してみるのも有効です。取引先のセキュリティや情報漏えいに対する意識調査にもなるかと思います。
ちなみに加入すべき保険の対象は代理店・システム開発会社で入るべき保険や上限が異なりますのでご注意ください。ただし無条件（当社が故意に行った場合や当社起因のものは対象外）で受けることができず、当社も日々情報漏えいに対しては厳しい目で見るようにはしております。

※参考サイト：https://www.jnsa.org/result/incident/