1.対象の概要(入門知識)
情報漏洩リスクとは、個人情報・機密情報・業務上の重要データが、外部または不要な関係者に不正または過失によって流出するリスクを指す。
漏洩は企業や組織に重大な経済的損失や社会的信用失墜をもたらし、法的制裁を招く場合もある。
1-1.主な分類
| リスク・ロス | 内容 |
| 誤送信による情報漏洩 RL-111 | メール・FAXで宛先を間違える。 |
| 紙媒体の管理不備 RL-112 | 書類の放置・紛失。 |
| USBメモリなど記録媒体の紛失 RL-113 | 外部記録媒体の紛失・盗難。 |
| 内部関係者による情報持ち出し RL-114 | 従業員や退職者による不正利用。 |
| システム設定ミス RL-115 | アクセス制御の誤設定。 |
| クラウドサービスの設定不備 RL-116 | 外部公開状態のまま放置。 |
| 不正アクセスによるデータ窃取 RL-117 | 攻撃者による侵入。 |
| マルウェア感染による情報搾取 RL-118 | スパイウェア・キーロガーによる情報窃取。 |
| ゴミ箱や破棄媒体からの復元 RL-119 | 適切に破棄されない情報。 |
| SNSやブログでの情報発信ミス RL-120 | 従業員の不用意な投稿。 |
1-2. 概要図
中央に「不正アクセスリスク」
周囲に 10分類を配置(攻撃手法ごとに色分け:技術的攻撃/人間心理利用/内部要因)
外周に「情報漏洩」「データ改ざん」「業務停止」「信用失墜」を配置し矢印で接続
2.ケーススタディ
ある自治体では、職員が住民基本台帳のデータをUSBに保存して持ち帰り、翌日出勤時に紛失していることに気づいた。USBには暗号化がされておらず、住民2万人分の個人情報がそのまま保存されていた。
報道後、住民から苦情が殺到し、信頼は大きく揺らいだ。自治体は謝罪会見を開き、原因究明と再発防止策に追われたが、結果として行政への信頼が低下。システム更新やセキュリティ教育の導入に多額の予算が必要となった。
3.主なプロセス(流れ)
日常業務:情報の送信・保存・管理
不適切な行為:誤送信/媒体持ち出し/設定ミス
情報流出:外部に漏れ、不正アクセスや閲覧が発生
被害顕在化:顧客・住民に情報が渡り、苦情や訴訟
信用失墜:報道・SNS拡散により社会的評価が低下
4.トラブルや被害
4-1.トラブルや被害(一次被害)
顧客情報・個人情報の流出
機密文書の漏洩
システムへの不正アクセス
不正利用による金銭被害
4-2.トラブルや被害(二次被害)
顧客・住民からの信頼喪失
訴訟や賠償請求
行政処分や罰金
報道・SNSでの炎上、企業ブランド失墜
業務改善・再発防止策による追加コスト増
5.要因(なぜ起きるのか?)
認証管理の甘さ:ID/パスワード使い回し、二要素認証未導入
システム脆弱性の放置:パッチ未適用、設定不備
セキュリティ意識不足:社員がフィッシングに騙されやすい
内部統制の不備:アクセス権限の過剰付与、監視不足
検知・対応体制の遅れ:インシデント発生時の初動が遅い
心理的要因:ソーシャルエンジニアリングに対する訓練不足