情報セキュリティ事故には様々なものがあります。
・個人情報漏洩
・企業機密漏洩
・不正送金
・他のネットワークへの攻撃手段としての悪用
最近の情報セキュリティの事故事例として1例を挙げます。
新潟大学によると、8月24日に同大の学生が支払通知を装ったフィッシングメールを受信し、記載されていたURLから誘導されたサイトでメールアカウントのパスワードを入力したため、この学生のアカウントが不正アクセスを受けていたといいます。
28日には、問題のアカウントより約29万6,000件の迷惑メールが送信され、加えて、メールアカウントに保存されていた個人情報が第三者によって閲覧された可能性もあるとのことです。
閲覧された可能性があるのは、学外関係者17人の氏名とメールアドレスで、一部住所や電話番号も含まれていたと言います。更に、学内関係や93人の氏名とメールアドレスも同様に閲覧された可能性があります。
同大では、対象となるアカウントを停止し、学生や教職員に対して注意喚起を行ったと言いますが、発表まで3ヶ月もかかってしまったことに対しては、確認と調査に時間を要したと釈明しています。
個人情報の流出という重大な事故のためより迅速な対応が求められます。
こうした事故が発生すると直接的、間接的に色々な損害を被ることになります。
具体的には以下のようなものがあります。
1.直接的損害
・業務が停止する
企業ネットワークが攻撃を受けることで、ネットワーク自体が停止したり、メールの送受信ができなくなったり、Webサイトを閉鎖したりなどの影響を受け、業務が停止することもあります。
・情報の紛失、改ざん、漏洩
重要な情報が紛失したり、改ざんされたりすると営業などの企業活動に重大な損害が及びます。また、個人情報や企業機密の漏洩はそれだけで大きな損失となります。
・セキュリティ対策費用
a. 情報を回復したり、保護したりする費用
b. 事故の原因究明やそれに基づいた改善費用
c. 情報システムを改善する費用
d. その他見舞金や謝罪費
2.間接的損害
・損害賠償
個人情報漏洩の場合その個人への損害賠償、取引先の情報を漏洩してしまった場合は、その相手への損害賠償
・公的な処罰
事業免許の停止や取り消し、行政指導による業務停止など
・社会的信用の低下
ブランドイメージが下がったり、風評が悪化したりすることで株価が下がることが多いです。
以上のように、情報セキュリティ事故に起因する損害は範囲が広く、金銭賠償の総額も増加傾向にあります。
セキュリティ意識の向上には組織内だけの対応では限界がありますので、専門家による教育の機会を作るなどの、啓発活動の徹底も必要でしょう。