この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方)
出典検索?: "個人情報漏洩"
個人情報漏洩(こじんじょうほうろうえい、こじんじょうほうろうせつ)とは、個人情報が漏洩・流出すること。「個人情報を保有する者」および「個人情報に該当する者」の意図に反して、本来は秘匿されるべき個人情報が不特定多数の第三者に流出したり、侵害者に取得されることをいう。当該個人情報が顧客情報の場合は、顧客情報漏洩(こきゃくじょうほうろうえい、こきゃくじょうほうろうせつ)ともいう。また、「漏洩」ではなく「流出」と呼ぶこともある。
英語では、leakage [leak] of personal information、personal data breachなどと呼ばれる[1]。なお、データ漏洩(data leak)とデータ侵害(data breach)は同義語として解説されることも少なくないが、本来は区別すべき用語である[2]。 従来は紙面などによる各種の名簿を通じた漏洩が主だったが、近年は個人情報の電子データ化(Microsoft Access、Excelなどによるデータベース化)が進んでおり、また情報通信が発達したことから、パーソナルコンピュータやインターネットが何らかの形で絡み情報漏洩に至るケースが個人・法人(団体)問わず増えている。また、コンピュータの外部記憶媒体が技術革新によって大容量化し、なおかつ電子データを大量かつ容易にコピーできるようになったこともあいまって、大規模な個人情報の流出が頻繁に起きている。報道により公になった漏洩事案の具体的な事例・事件は、個人情報漏洩の事例と原因および主な個人情報漏洩事件の項目を参照。 営業で外出する際や自宅など外部で仕事をする際に、ノートパソコンを持ち歩き、何処かに置き忘れたり置引きや車上荒らしで盗難に遭ったりする。ノートパソコンは持ち運びに便利で外出先でも顧客情報を見ることができるので重宝されるが、一方でノートパソコンそのものが中古でも高く売れるため、盗難に遭うリスクが高い。記録メディアの持ち運びも危険である。特に2000年以降に発達したUSBメモリやカード型フラッシュメモリ(SDカードなど)は小型かつ大容量で紛失の恐れが高い。また、携帯電話の電話帳(アドレス帳)のデータも個人情報に該当するため、携帯電話の紛失・盗難の際、何らかのロック対策を施していない場合は容易に個人情報が漏洩する危険がある。 コンピュータウイルスに感染することで、パソコン内部の情報をネットワーク上に公開し、インターネット経由で流出に至るケースも増えている。特にファイル共有ソフト(Winny、Shareなど)を使用することによるリスクを熟知せず安易に個人情報の入った業務用パソコンにインストールしたり、あるいはファイル共有ソフトがインストールされている私物パソコンに個人情報を入れてしまったりして、ウイルスに感染し流出事故に至るケースが多い。 ネットワークに接続されたコンピュータに対する全ての不正アクセスを防止することは不可能である。悪意あるハッカー(クラッカー)による電子情報の窃盗は、営利目的や示威行為から愉快犯(スクリプトキディ)まで後を絶たない。 ECサイトなど、顧客情報が保存されているインターネット上のサーバにおいて、関係者が作業ミスにより、顧客情報を外部から制限なく閲覧可能な状態にしてしまうケースがある。また、個人情報を電子メールで送付するにあたり、全く関係のない宛先へ誤送信し、相手先に情報が漏洩してしまうケースもある。 個人情報および電子データを本来の目的以外(転売、報復など)で利用・流用するために、関係者が意図的に外部へ持ち出したり外部に公開されるケースがある。電子情報の場合はネットワークを通じて流出させたり、情報をコピーしたUSBメモリなどを持ち帰る。紙面など書類の個人情報を持ち帰る場合ももちろん考えられる。上述の諸要因とは異なり、関係者が意図的に行う情報漏洩である。 法人・団体は、事業遂行のため大量の顧客情報を取り扱うことが多く、住所・氏名・電話番号以外にも、メールアドレス、クレジットカード番号、銀行口座情報、特定の商品やサービスの利用履歴、家族構成、病歴などのプライバシー情報といったように、各法人の目的にもよるが保持しうる情報は幅広い。 ひとたび流出し、悪意のある第三者にコピーされれば大規模な流出事故になる可能性があり、また各個人に対する二次的被害が発生するおそれがあるため、当該個人情報が流出せぬよう徹底的な管理が求められる。そのような中で流出事故を起こしてしまうと、社会からの信用が失墜するばかりか、流出被害に遭った各個人に対する補償による損失も起こり、株価暴落など企業存続に直結する事態にもなりうる。 盗難や紛失のリスクが高い物は、外部へ持ち運ぶ行為そのものを控えなければならず、やむをえず持ち運ぶ場合は細心の注意を払うのはもちろん、万が一のことも考えて暗号化やパスワードで対策する必要がある(ただし、個人情報の定義として、「暗号化などによって秘匿化されているかどうかを問わない(が、高度な暗号化などによる秘匿化を講じることは望ましい)」とする省庁もある。[3])ウイルスの感染も、ウイルス対策ソフトを導入し常に最新の状態にしておき、ウイルス感染へのリスクが高いファイル共有ソフトを使用しないよう徹底する必要がある。したがって、ノートパソコンや記録メディアを持ち運んだことで盗難や紛失に至った場合も、コンピュータウイルスに感染し個人情報をインターネット上にばら撒いてしまった場合も、個人情報を扱う者の不注意あるいは知識のなさ(リスクへの認識の甘さ)が原因とされる。 このような形での個人情報漏洩を防ぐためには、まずは個人情報を扱う者への教育が必須である。個人情報を扱う企業や役所は、個人情報の徹底管理を社員・職員に教育しなければならないが、それだけでは個人情報漏洩を完全に防ぐことはできないので、必要に応じて下記のような対策を施さなければならない。 ISMSやJIS Q 15001監査ガイドライン、経済産業分野のガイドライン等を参考にしながら「組織的」「人的」「技術的」「物理的」の4つのカテゴリーで対策を考えることが重要である[4]。
個人情報漏洩に至る要因
典型的な事例
ノートパソコンなどのモバイル機器や記録メディアの持ち運び
コンピュータウイルスの感染
不正アクセスによる攻撃
関係者の作業ミス
関係者による意図的な情報の流出
法人・団体からの漏洩事故
個人情報漏洩事故の原因と予防
個人情報漏洩のリスクへの対策
組織的
人的
全従業員への個人情報取り扱い方や意識向上への教育
技術的
インターネットやLANなどへの接続を制限または禁止する(スタンドアロン化など)。
業務情報へのアクセス権限を明確にし、担当外業務の資料など、業務上不必要な情報にアクセスさせない。
電子メールやネットサーフィン(SNS、オンラインストレージ、アダルトサイト等)やその他通信を制限または禁止する。
Size:278 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)』
担当:undef