社内に潜むリスクとは？リモートワーク時代の情報漏洩対策
キヤノンITソリューションズ 共想共創フォーラム2025イベントレポート

企業の情報漏洩の原因は外部からのサイバー攻撃だけではありません。ファイルの不用意なアップロード、認証情報のメモ書きの貼付といった従業員の不注意や内部不正も大きな割合を占めています。本セッションでは、個人情報の管理とテレワーク環境の監視の2つの側面から最新の情報漏洩対策について解説します。

従来の情報漏洩対策は、外部からのサイバー攻撃への対応が中心でした。アンチウイルスソフトやファイアウォール、EDRなどは、マルウェアの侵入や不正アクセスを防ぐ上で有効です。しかし、実際の漏洩原因には、社内の人間による不正やミスといった「内部リスク」が多く含まれており、これらは従来の対策では十分に防げません。

内部リスクには、USBやクラウドストレージを使った不正なファイル共有、過去の顧客情報など不要なデータの保持、そしてカフェなどでの覗き見や画面撮影といった物理的なリスクが存在します。これらは、短時間かつ目立たない方法で情報が漏洩するため、外部攻撃とは異なる対策が必要です。

実際に、派遣社員による900万件の顧客情報流出や、メール誤送信による1万2千件の個人情報漏洩など、内部要因による事故が多発しています。さらに、近年の統計では、漏洩件数は年々増加しており、内部リスクが社会的にも重大な脅威として認識されています。

このような背景から、企業は外部対策だけでなく、内部リスクへの対応を強化する必要があります。情報の取り扱いや共有方法を見直し、技術的な制御と運用ルールの両面から漏洩を防ぐ体制づくりが求められています。

近年、情報漏洩の原因として注目されているのが「内部要因」による事例です。本セッションでは、実際に発生した2つの代表的な漏洩事件が紹介されました。

1つ目は、2023年10月に大手通信会社の子会社で発生した事例です。元派遣社員が社内システムの管理アカウントを不正に使用し、約900万件もの顧客情報を保存していたサーバーにアクセス。氏名、住所、電話番号などを含む34ファイルをダウンロード・コピーし、外部に持ち出しました。これは明確な「内部不正」による漏洩です。

2つ目は、2022年4月に某インフラ企業で起きた「ヒューマンエラー」による漏洩です。業務委託先に顧客データをメール送信する際、誤って関係のない顧客情報を含むファイルを添付してしまい、約1万2千名分の個人情報が流出しました。氏名、住所、電話番号などが含まれており、メール誤送信という日常的なミスが大きな事故につながった例です。

さらに、2022年に施行された改正個人情報保護法により、漏洩事故が発生した場合の報告義務や罰則が強化されました。要配慮個人情報や財産的被害が懸念されるケースでは、個人情報保護委員会への報告が義務化され、違反時には最大1億円の罰金が科される可能性もあります。

このような状況から、企業は外部対策だけでなく、内部リスクへの対応を強化し、情報管理体制を根本から見直す必要があります。漏洩は企業の信頼を損なうだけでなく、法的・社会的な責任を伴う重大なリスクであることを認識することが重要です。

さらに、情報共有の制御に柔軟性がないことも障壁となっています。クラウドストレージへのアクセスはブロックしていても、USBや社内サーバーへのコピーも制限したいといった細かな制御が難しいケースが多く、現場の運用に支障をきたすこともあります。

最後に、リモートワークとセキュリティの両立が難しいという課題もあります。カフェやワーキングスペースでの覗き見など物理的なリスクに対する対策が不十分であり、かといってリモートワークを制限すると業務効率が下がるため、対応が後回しになりがちです。

これらの課題が複合的に絡み合い、企業が内部リスク対策に踏み切れない現状を生んでいます。技術と運用の両面からのアプローチが求められています。

企業の情報漏洩対策として、内部リスクに対応する2つのソリューションが紹介されました。1つ目は「PCFILTER」。これはエンドポイント型の個人情報漏洩対策ソフトで、PC内に保存された個人情報ファイルを高速で検出し、隔離・暗号化・削除などの保護処理を自動で行います。さらに、USBやメール添付、印刷などの外部流出経路を遮断する機能も備えており、不正なファイル共有やヒューマンエラーによる漏洩を防止します。OCR機能により画像ファイル内の情報も検出可能で、管理者はクラウド上の管理画面から一元的に状況を把握できます。

2つ目は「テレワークサポーター」。これはPCのWebカメラを活用した顔認証技術により、勤務者本人以外の人物がPC画面を覗き込んだり、スマートフォンで撮影しようとした場合に即座に画面をブラックアウトする機能を提供します。覗き込みや撮影の検知時には、カメラ画像とスクリーンショットをクラウドに保存し、後から確認することも可能です。これにより、カフェやワーキングスペースなどの物理的なリスクにも対応し、安心してリモートワークを行える環境を整えます。

この2つの製品を組み合わせることで、社内端末とテレワーク環境の両面から情報漏洩リスクを包括的に防ぐことが可能になります。

PCFILTERは、企業の端末内に潜む個人情報を検出・保護し、情報漏洩を未然に防ぐエンドポイント型のセキュリティソフトです。PC内やネットワークドライブに保存されたファイルを高速スキャンし、マイナンバーや住所、電話番号などの個人情報を含むファイルを自動で検出。検出されたファイルは、隔離・暗号化・削除といった保護処理を自動で実行できます。

また、USBメモリやメール添付、印刷などの外部流出経路を遮断する機能も搭載しており、不正なファイル共有やヒューマンエラーによる漏洩を防止します。OCR機能により、画像ファイル（JPG、PNG、PDFなど）内の情報も検出可能。任意のキーワード（例：「社外秘」）を設定することで、機密情報の検出にも対応できます。

管理者はクラウド上の管理画面から、検出状況や保護アクションの推移をグラフで確認でき、組織全体の情報管理を一元的に把握できます。スキャン速度も高速で、1000ファイルの検出に約79秒と効率的。これにより、情報セキュリティ管理者の負担を軽減し、企業の情報漏洩リスクを大幅に低減することが可能です。

テレワークサポーターは、リモートワーク環境における情報漏洩リスクを防ぐために開発されたクラウド型のセキュリティサービスです。PCのWebカメラを活用した常時顔認証機能により、勤務者本人以外の人物がPC画面を覗き込んだり、スマートフォンなどで撮影しようとした場合に即座に画面をブラックアウトし、情報の流出を防止します。

このサービスは、勤務者の在席・離席の状況を自動で記録し、管理者がクラウド上の管理コンソールから勤務状況を直感的に把握できます。さらに、覗き込みや撮影が検知された際には、カメラ画像とPCのスクリーンショットをクラウドに保存し、後から漏洩の可能性のある情報や人物を確認することが可能です。

加えて、スマートフォンやカメラなどの撮影機器の検知機能や、PCカメラの意図的な遮蔽の検知機能も搭載されており、悪意ある情報窃取や家族による意図しない覗き込みにも対応。これにより、テレワーカーは情報漏洩の不安から解放され、安心して業務に集中できる環境が整います。

テレワークサポーターは、物理的なリスクに対応することで、企業の情報漏洩対策を端末内だけでなく就業環境全体にまで拡張することを可能にします。

情報漏洩のリスクが年々高まる中で、企業が今すぐ取り組むべきなのが「内部リスク対策」です。外部攻撃への対策は多くの企業で進んでいますが、実際の漏洩事故の多くは社内の不正やミスによって発生しています。内部リスクは、企業の信頼を損なうだけでなく、法的責任や損害賠償、刑事罰の対象となる可能性もあり、放置すれば甚大な損害につながります。

2022年の個人情報保護法改正により、漏洩事故が発生した場合の報告義務や罰則が強化され、企業にはより厳格な情報管理が求められるようになりました。特に、要配慮個人情報や財産的被害が懸念される情報の漏洩は、報告義務の対象となり、違反時には最大1億円の罰金が科される可能性もあります。

こうした背景から、企業は「外部対策だけでは不十分」であることを認識し、内部リスクへの対応を強化する必要があります。技術的な制御と運用ルールの両面から、情報の取り扱いを見直し、従業員の操作や就業環境に潜むリスクを可視化・抑制することが求められています。

今こそ、内部リスク対策を「重要性は理解しているが、実行に踏み切れていない」段階から、「具体的な対策を講じる」段階へと進めるべき時です。

法改正により、個人情報漏洩時の報告義務や罰則も強化されています。「うちは大丈夫」と思っている今こそ、見えないリスクに目を向けるべき時です。

一方、テレワークサポーターは、PCのWebカメラを活用した顔認証技術により、勤務者本人以外の人物がPC画面を覗き込んだり、スマートフォンで撮影しようとした場合に即座に画面をブラックアウトする機能を提供します。検知時にはカメラ画像とスクリーンショットをクラウドに保存し、後から確認することも可能です。これにより、カフェやワーキングスペースなどの物理的なリスクにも対応し、安心してリモートワークを行える環境を整えます。

これらの製品に関する詳細情報や導入相談をご希望の方は、ぜひお問い合わせください。貴社の課題に合わせた最適な対策をご提案いたします。