EVENT | 2019/07/24

主要日本企業・官庁の82%から社員データが漏洩している!?本格化するGDPRの高額制裁金に戦々恐々

Photo By Shutterstock


伊藤僑
Free-lance Writer / Editor&n...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。

主要日本企業の実に82%から社員関連情報が漏洩

主要日本企業の実に82%から、社員のメールアドレスやパスワード、個人情報などが漏洩し、インターネット上で公開されている。そんなショッキングな調査結果を、セキュリティ脅威情報の収集・分析や脆弱性診断サービスの提供などを行っているサイバーマトリックス株式会社が発表した。

同調査では情報漏洩の実態を把握するために、東証一部上場企業、官公庁に関連するドメインを抽出(2208ドメイン)し、インターネット上から漏洩データを検索・分析してまとめている。

発表された調査結果によると、ドメイン毎の漏洩件数は「1件以上500件未満」が1691と一番多く、最も多く漏洩していたドメインでは89461件に上っていたという。ただし、多くの漏洩データには過去に漏洩したものも含まれており、かつ現在は有効になっていないものも含まれているとする。漏洩が確認されなかったドメインも406あった。

同社によると、データの漏洩元から多く見受けられるのは、直接企業のシステムがサイバー攻撃に侵害されて漏洩したケースより、社員が登録したインターネットサービスがサイバー攻撃を受けて情報漏洩が発生したケースが多いため、企業のシステムセキュリティ対策だけでは防ぎきれない問題であることがわかったとしている。

日本企業のサイバー犯罪対策コストは世界2位

総合コンサルティング企業として知られる米アクセンチュアが、米調査会社ポネモン・インスティテュートと共同で実施し発表した、2019年版「Cost of Cybercrime Study(サイバー犯罪コスト調査)」によると、2018年に企業がサイバー犯罪に要した対応コストは、前年から130万ドル増えて平均1300万ドルとなった。

同調査では、日本を含む世界11カ国の16の業界で調査を実施。355社の上級管理職2647人を対象にインタビューを行い、その結果をセキュリティの専門家が分析している。

手口として最も多いのが、マルウェアおよび悪意ある内部攻撃で全体の3分の1を占め、フィッシング、ソーシャル・エンジニアリング(なりすましなど)への対応に要したコストも増加傾向にある。特に気になるのは、攻撃の対象となっているのがシステムではなく、防衛力が弱い「人」を狙ったケースが増えてきている点だ。

アクセンチュアが発表した2019年版「Cost of Cybercrime Study(サイバー犯罪コスト調査)」より

かつては「日本語の壁」によって先進国の中ではサイバー犯罪被害が比較的少なかった日本だが、いまでは主要ターゲットのひとつとなっており、最高レベルの対策が求められている。

同調査結果でも、日本の犯罪対応コストは米国(約2740万ドル)に次ぐ2位で約1,360万ドルとなっている。以下、3位はドイツ(約1310万ドル)、4位は英国(約1150万ドル)で、最もコストが低かったのはオーストラリアの約680万ドルだったという。

本格化するGDPRの高額制裁金に戦々恐々

これらのデータからも分かるように、日本企業は、いまや恒常的に社員等の「ミス」やサイバー犯罪による、深刻な情報漏洩の脅威にさらされているといっていい。そこで気になるのが、EU(欧州連合)のGDPR(一般データ保護規則)への日本企業の対応状況だ。

つい先頃にも、英国の「情報コミッショナー(ICO)」が、ブリティッシュ・エアウェイズ(BA)と親会社のインターナショナル・エアラインズ・グループ(IAG)に対し、罰金1億8339万ポンド(2億3000万ドル)を課したことが大きな話題となった。

英国「情報コミッショナー(ICO)」による発表

これは、オンラインで航空券の予約などを行った約50万人に影響を及ぼしたとされる、昨年のデータ流出に対するもので、データ流出をめぐりICOが企業に課した罰金としては最高額になる。

それまでICOが課した制裁金の最高額は、昨年フェイスブックに課せられた50万ポンドだったので、同事例をいかに重く見ているかが分かる。

GDPR違反による高額な制裁金としては、フランスのデータ保護機関「情報処理と自由に関する国家委員会(CNIL)」が、米アルファベット傘下のグーグルに支払いを命じた5000万ユーロ(約62億円)の事例が知られていた。その際に指摘された違法行為は、透明性のある情報提供を行う義務に違反したこと、および、ターゲティング広告目的の処理を行うために必要な同意取得について違反していたことの2点だった。

だが、それ以外の事例については、ハッキングによって33万人分の個人データが公開されてしまったドイツ企業に対する2万ユーロ(約250万円)や、企業の敷地内に設置されていたCCTVカメラが歩道などの公共スペースの監視もしていた(データ保護影響評価をしていなかった)ことに対する制裁金4800ユーロ(約60万円)など、あまり高額ではなかったのだ。

そのため、今後はGDPRの高額制裁金が本格化するのではないかと危惧する声が高まっている。日本企業とて他人事とはいっていられないだろう。欧州とは異なる日本の独自性を加味した上で、早急な対策を講じることが求められる。