個人情報の漏洩の原因というと外部からの不正アクセスが一般的だと思われがちですが、日本ネットワークセキュリティ協会(JNSA)が発表した「2017年情報セキュリティインシデントに関する調査結果【速報版】」によると、漏洩の原因は以下のようになっています。
| 誤操作 | 97件 |
| 紛失・置き忘れ | 84件 |
| 不正アクセス | 67件 |
| 管理ミス | 50件 |
| 不正な情報持ち出し | 25件 |
| 盗難 | 25件 |
| 設定ミス | 18件 |
| 内部犯罪・内部不正行為 | 8件 |
漏洩原因のほとんどが個人情報を管理している人のミスや不正によるもので、不正アクセスといった純粋に外部要因によるものは全体の17.4%にとどまっています。
つまり、セキュリティ対策ソフトなどシステム面はある程度充実してきているものの、それを運用する社員の知識不足や、セキュリティに対する意識の低さに起因していると考えられます。
また、漏洩の媒体・経路は以下のようになっています。
| 紙媒体 | 150件 |
| インターネット | 87件 |
| 電子メール | 77件 |
| USBメモリ | 41件 |
| PC本体 | 16件 |
特筆すべきは、いまだに紙媒体が全体の4割近くを占めているということです。これは漏洩の原因から判断すると、紛失・置き忘れ、管理ミス、不正な情報持ち出し、盗難などによって漏洩していると思われます。
ただ、インターネット、電子メールといったネットワーク経由の漏洩も4割以上をあり、不正アクセスの割合を大きく超えていることから、考えられる原因としては次のようなものがあります。
・インターネット
不正なWebサイトを閲覧してしまったために、そこからダウンロードされたマルウェアなどによって情報が抜き取られる。
・電子メール
送信者が定かでない電子メールに記載されているURLをクリックして誘導されたWebサイトからマルウェアに感染する。
電子メールに添付されているファイルを開いてしまったためにマルウェアに感染する。
HTMLメールにマルウェアが埋め込まれていて、プレビューを表示しただけでマルウェアに感染する。
漏洩の原因、感染経路を総合的に判断すると、外部からの不正なアクセスが原因と言うよりも、情報を取り扱う人間のセキュリティに対する知識の不足、意識の低さが原因であると思われます。
セキュリティ対策ソフトの導入は最低限必要な対策であるとして、社員教育を徹底することも、これからの様々な脅威に対応するために必要不可欠な対策として捉えなければならないでしょう。