内部不正、個人情報漏えいリスクの最新トレンド、増え続ける「従業員PCからの情報漏えい」を防ぐセキュリティ強化の最善策セミナーレポート
公開日:2025年1月17日

増え続ける「従業員PCからの情報漏えい」、内部不正やサイバー攻撃を防ぐセキュリティ強化の最善策 ~ 日本テレワーク協会が解説する「情報漏えいリスクの最新トレンド」と有効な対応策~」というセミナーを開催
会場
オンライン
開催日
2024年7月26日「金曜日」
主催
キヤノンITソリューションズ株式会社
日本テレワーク協会が解説する、個人情報の漏えいにおける最新トレンド
まず、個人情報漏えいの最新トレンドについて、ICTを活用した場所や時間に捉われない柔軟な働き方を推進してきた日本テレワーク協会の斎数真人氏が解説します。
2023年度から2024年度にかけて、個人情報の漏えいに関するニュースを目にすることが多くなってきました。一言で個人情報漏えいと言いますが、その原因は「内部不正による漏えい」「外部からの攻撃による漏えい」「操作/管理ミスによる漏えい」の大きく3つに分けられます。
斎数氏は、東京商工リサーチの「上場企業の個人情報漏えい・紛失事故」調査の結果を示しました。「2023年は上場企業において、事故件数と情報漏えい人数が過去最多であり、事故件数は175件で、調査開始以来3年連続で最多を更新。100万人以上に及ぶ事故は前年の4倍となる8件となりました」(同氏)。
2023年の最大の漏えい件数としては、元派遣社員による928万人分の顧客情報の不正流出の事例がありました。大型事故が相次いだ結果、年間における総漏えい人数は4,090万8,718人となり、歴代最多の漏えい事故が発生した2014年を抜いて最多人数を記録しています。
それら情報漏えい・紛失事故を原因別にまとめると「ウイルス感染・不正アクセス」が最多となり、半数以上を占めました。次いで「誤表示・誤送信」が43件(同24.5%)、メール送信やシステムの設定ミスなどの人為的な要因も多い状況でした。また、転職時に内部情報を持ち出す「手土産転職」など「不正持ち出し・盗難」が24件で、前年の5件から約5倍に増加しています。
2023年の事故を踏まえ、IPA(情報処理推進機構)が公表する「情報セキュリティ10大脅威 2024年版(組織編)」では、「内部不正による情報漏えい等の被害」が前年の4位から一つ順位を上げて3位になりました。また、「不注意による情報漏えい等の被害」も前年の9位から6位にランクアップしています。

情報セキュリティ10大脅威の各項目について、斎数氏は「ランサムウェアが進化して、事前に情報を盗んでから端末内のデータを暗号化する『複合型の攻撃』が増えていること」「取引関係のある会社を踏み台にして大手企業に攻撃を仕掛けるサプライチェーン攻撃は、情報資産や業務の停止などを狙っていること」と説明しました。
さらに、テレワーク等のリモートワークの進展によって「セキュリティ対策が不十分な環境での業務によるセキュリティ被害」「周囲の目が無いことによる内部不正」という2つのリスクが内包されていると指摘しました。
続いて、2024年上期におけるセキュリティ・インシデントに関する調査結果も提示。2024年1月1日から2024年6月21日の期間に国内法人組織より公表されたセキュリティ・インシデントの総数は190件であり、2023年下半期よりも少し増加していて「1日平均は1.10件となり、毎日どこかの組織から被害が公表されている状況」(斎数氏)とのことです。また、上半期全体のランサムウェアの被害件数は31件で、2023下半期と同数の被害件数でした。
斎数氏は、2024年上半期の被害傾向として特徴的な点として「クラウド環境への侵害事例が過去に比べて多かったこと」を挙げています。「不正ログインの増加が、その一因を担っており、ID/アカウント資産の管理の重要性が浮き出る結果」(同氏)ということです。
内部不正による情報漏えいは、なぜ起こる? 被害事例と対策ポイントを紹介
続いて、近年の外部脅威と内部不正による情報漏えいの被害事例を紹介するとともに、それぞれに関する対策のポイントを解説します。
外部脅威としては、ランサムウェアの被害が発生しています。例えば、情報処理サービス企業や出版大手企業がサイバー攻撃を受けたことで、機密情報の流出やサーバダウンなどの事業停止、株価下落といった多大な損害を受けてしまいました。
最近の攻撃の傾向として、斎数氏は「ランサムウェアを利用した二重脅迫型攻撃を行うハッカー集団が運用するリークサイトに情報をアップしてさらに身代金を要求するという流れがあること」「身代金を要求する攻撃と窃取した情報を公開しないことと引き換えに身代金を要求する“二重脅迫型攻撃”が主流となりつつあること」を説明しました。
また、「メール経由によるランサムウェア感染」「推測しやすいパスワードの利用による不正アクセス」「VPN機器などのメンテナンス漏れによる脆弱性放置」「クラウドサービスの設定ミスによる外部公開」などが外部からの攻撃による侵入経路と利用されているとのことです。
その上で、斎数氏は「外部脅威へのセキュリティ対策は、どうしても製品の購入に目が行ってしまいますが、現状把握と教育が非常に重要です。現状把握をして自らの弱点を知ることで、限られた予算で最大の効果を得ることができます」と説明しました。
また、外部脅威対策の具体例として、以下の3点を推奨しました。
- 情報漏えいへの対策:PC内に機密情報や重要データを保存しない運用、機密情報などの重要ファイルを暗号化する
- ファイルのバックアップ:ランサムウェアの被害にあった場合の復旧を容易にする
- 外部侵入を検知する仕組みの導入:PC内の操作を監視して怪しい動きを検知する「EDR(Endpoint Detection and Response)」を取り入れ、外部から侵入されることを前提に、早期に発見する

続いて、斎数氏は内部不正による情報漏えいの状況について触れました。
同氏は、2023年4月にIPAが公開した「企業における内部不正防止体制に関する実態調査」の調査結果を提示しました。それによると、経営層が内部不正を経営課題として捉えている割合は全体の40%未満であり、その他の回答でも不正会計やサイバーセキュリティのリスクに比べて優先度が低い実態が明らかとなったとのことです。同氏は「十分な内部不正対策ができていない企業は多いと考えられます」と指摘しました。
また、内部不正による情報漏えいの事例として「元派遣社員による顧客情報の不正持ち出し、名簿の不正販売」「手土産転職として転職先企業への秘密情報の持ち出し」「中国企業への製品開発に関する機密情報の漏えい」などを紹介しました。
その上で、斎数氏は「行動させないための対策」を解説しました。まず、内部不正を生み出す3つの要因として「動機・プレッシャー」「機会」「正当化」を挙げ、これら不正のトライアングルを成立させないことが重要と説きました。
また、「内部不正を未然に防ぐには、不正のトライアングルを意識して、様々な方面からの対策を講じる必要があります」と説明しました。その具体的な取り組みとして「基本方針の策定」「従業員の教育」「円滑なコミュニケーション」「物理的な重要情報の管理・保護」「操作履歴等のログを監視するシステム」などを実施する「バランスの取れた対策」を推奨しました。

また、行動されてしまった際の対策として、USBメモリなどの外部デバイスを利用できないようにすることに加え、「ログをチェックし、持ち出しが行われた場合でも早期に発見するための仕組み作りが重要です」と説明しました。
そして、内部不正対策の一連のプロセスを解説しました。まず、「就業規則、同意書などの準備」。機密情報の持ち出しや不正利用の禁止などの就業規則・ルールを徹底し、万が一の場合には個人に損害賠償する旨の明記・説明する同意書を準備することが重要とのことです。
次に「重要情報の定義」です。機密情報や重要情報を定義し、保管場所を定めることを推奨しました。「ファイルやフォルダ名などの命名規則が決まっているとベスト」(同氏)と付け加えます。
また、IT資産管理ツールを用いてPCからの情報持ち出しを制限するなどの「外部デバイス利用の制限」を設定し、さらに「外部デバイス利用状況の監査」の実施を提言しました。IT資産管理ツールなどで外部デバイスへの書出しや重要情報の操作ログなどを用いて監査するといったサイクルを回していくことで、「安心・安全に業務を運用できます」と説明しました。

散在する個人情報の所在を見える化して一元管理する「PCFILTER」のご紹介
内部不正による個人情報の漏えいを防ぐ有効な対策の1つとして、個人情報漏えい対策ソリューション「PCFILTER」をご紹介します。
今回のセミナーの事前アンケートでは「個人情報がどこにあるか把握しきれていない」「個人情報が漏えいすることで、社会的な信用を失う恐れがある」「内部不正が起こらない環境となっているか不安」という回答が多く寄せられていました。
個人情報漏えいにおける懸念点の解決を「PCFILTER」は支援いたします。
「PCFILTER」は、個人情報を素早く検出して、管理者による適切な対処と管理を実現する個人情報漏えい対策ソリューションです。以下の3つの主な特長として備えています。
- 見える化:個人情報ファイルを素早く検出し、隔離/暗号化/削除が可能
- 情報漏えいの防止:データ授受経路の遮断機能を備え、情報漏えいを未然に防ぐ
- 適切な一元管理:管理者による検出の実行、ポリシー設定、統計、ログ管理が可能
例えば、各クライアントPCにある個人情報について、管理者がクラウド環境の管理画面から各種設定・実行すると、ダッシュボードでの統計やログ管理など可能となります。

「PCFILTER」による個人情報の検出対象は「名字」「マイナンバー」「クレジットカード番号」「運転免許証暗号」「基礎年金番号」「郵便番号」「住所」「電話番号」「E-mailアドレス」など9種類です。また、任意のキーワードを検出対象に加えることも可能です。例えば「社外秘」「機密情報」などの文字が入った重要な資料を探し出すこともできます。検出対象のデータ形式はOffice製品や画像フォーマット、メールのデータなど多数のフォーマットに対応しています。
「PCFILTER」の主要機能である「検出」「対処」「管理」について解説していきます。

主要機能1:検出機能
「PCFILTER」には、社内保有の個人情報を把握する方法として、PCやネットワークドライブから高速で検出する機能があります。これにより、PCやネットワークドライブの不要な個人情報ファイルを見つけ出し、整理が可能です。
例えば、ランサムウェア攻撃による個人情報の流出事故では、委託作業後に個人情報ファイルを削除していなかったり、本来業務で利用しない端末にデータが残っていたことが原因になると言われています。情報の削除が漏れていた場合でも、「PCFILTER」で個人情報をリアルタイムに検出し管理サーバーへログを送付することで適切な対処が可能です。
また、「PCFILTER」における検出時間の実測値は「200ファイルのスキャンで16秒、1000ファイルのスキャンで79秒」となっています。ただ、検出対象の種類やお客様の環境によって変わることもあります。
さらに「PCFILTER」では「リアルタイム検出機能」を搭載しています。この機能は、ファイルのオープン/保存/コピー、または移動/メールの添付時に、個人情報が含まれていた場合にポップアップで通知する機能です。ファイル内の個人情報件数や詳細の確認など現在の状況をすぐに把握できます。
加えて、テキストのファイルだけでなく、OCR技術を活用して画像イメージ内に含まれた個人情報を検出可能です。これにより「個人情報が含まれた画像ファイルが流出してしまう」という事故も未然に防ぐこともできます。
主要機能2:対処機能
「PCFILTER」では、検出した個人情報ファイルに対して「暗号化」「削除」「隔離」などの操作を手動で実行できます。また、「自動保護処理設定」にすることで、条件を満たしているファイルは検出後に暗号化・削除・隔離処理が自動的に実行可能となります。
また、「PCFILTER」は、エンドポイント制御による外部への情報漏えいを防ぐ機能を備えています。同機能によって「印刷遮断」「外部メディア制御」「ファイル添付制御」などが可能です。例えば、個人情報を含むファイルを印刷したり、メディアで持ち出す際には申請・承認を必要とする設定も可能です。悪意を持って重要な個人情報ファイルを持ち出すことを防ぎます。
主要機能3:管理機能
管理者は「PCFILTER」の管理画面から部署・グループ・個人ごとで一元管理が可能です。全てを管理するスーパー管理者の他にも、例えば部門単位、課単位で管理担当者を置くことができます。課や部門単位での運用に応じたより柔軟な設定を行うこともできます。
また、管理者自身が悪意を持っていた場合でも、管理者による操作は細かく証拠のログが残るため、特定や追及することが可能です。管理者用の画面では個人情報の中身は表示されず、検出件数のみ表示されます。そのため、管理者が悪意を持って各エージェント内の個人情報を選んで持ち出すということはできません。
「PCFILTER」では検査結果や印刷、保存、コピーなどのすべてのログをサーバーに保存します。社内PCやネットワークドライブに保存された個人情報の保有状況を可視化することで、各種ログの把握、監査および管理を容易にします。ログの保存によって、内部不正に対する抑止力となる効果も期待できます。
「PCFILTER」はクラウドサービスと提供されます。各端末には「PCFILTER」のエージェントをインストールし、管理者はクラウド環境から管理コンソールを活用していつでもどこでもアクセス可能です。管理者用の画面ではダッシュボードで監視状況などを一目で確認でき、ポリシー設定や各クライアントPCの検査の予約設定、ログの確認、承認者の設定なども操作可能です。

また、各クライアントPCにインストールするエージェント画面は、「個人情報保護」と「情報漏えい防止」の2種類のメインメニューのみで分かりやすいユーザーインターフェースを採用しています。
「PCFILTER」では評価版を用意しています。トライアル期間は1カ月間で、評価版のライセンスキーを入力するとすべての機能を試用できます。また、評価版としてインストールされたエージェントは、評価期間終了後にライセンスを購入することで、そのまま製品版として利用可能です。
現在はWindowsに対応しており、サーバーOSには対応しておりません。「PCFILTER」の提供価格はオープン価格で、導入されるエージェント(クライアント端末)の数量によって価格帯が異なります。
「PCFILTER」は、キヤノンITソリューションズが提供するITインフラサービス群「SOLTAGE」のセキュリティサービスのラインアップの1つです。取り扱いサービスを順次増やしていますので、ITインフラに関してお悩みの方はぜひお問い合わせください。
テレワーク時の情報漏えいリスク対策ソリューション「テレワークサポーター」について導入事例を交えて紹介
テレワークは今後も多様な働き方の1つとして継続することは間違いありません。日本テレワーク協会の斎数氏が指摘した「セキュリティ対策が不十分な環境での業務によるセキュリティ被害」「周囲の目が無いことによる内部不正」の有効な対策となるのが、キヤノンITソリューションズが提供する情報漏えいリスク対策ソリューション「テレワークサポーター」です。
「テレワークサポーター」は、キヤノンの顔認証技術を用いたクラウドサービスです。PC上のWebカメラに映る画像の常時顔認証により、勤務者以外の人物の検知や勤務時間を把握します。

本人の在席、離席を自動で識別してログに保存します。また、勤務者以外の顔を検知した際には、検知と同時にPC上の画面をブラックアウトすることで、ショルダーハッキングなど一時的に機微な情報の流出を防ぐことができます。在宅勤務中の機微な情報の流出を防止するとともに、家族の意図しないのぞき込みを勤務者が気にせず仕事に集中することも可能です。
さらに、顔認証だけでは防ぐことが難しい、スマートフォン・カメラでの撮影やカメラを遮蔽するなどの行為を検出し、カメラ画像とスクリーンショットをクラウド上で保存します。機密情報の不正な持ち出しを抑止することも可能です。

「テレワークサポーター」では、起動時の設定や管理画面上での表示など豊富に設定できます。さらに「背景ぼかし」によるプライバシーに配慮した設定や、Web会議時の他のアプリの同時利用なども可能です。また、「テレワークサポーター」にはWebブラウザで利用できる簡易版も用意しているので、利用環境に応じて様々な使い方が選択できます。

「テレワークサポーター」には順次新機能が追加されています。利用者の動静情報の記録が不要な場合に適した「勤務記録の非表示設定」や、利用者同士の顔情報の共有が不要な場合には「顔画像の非表示」の設定も可能です。監視感が強すぎることによる従業員からの反発、反感を防ぐ効果も期待できます。このように「テレワークサポーター」は、お客様のご要望に応じてバージョンアップや機能追加などの改善を図っています。
「テレワークサポーター」はすでに様々な業界で導入されています。代表的な導入事例を紹介します。
在宅コールセンターの推進のために活用
人材確保や事業拡大を目的に在宅コンタクトセンターを拡大中のコールセンター事業者では、セキュリティの観点から在宅コミュニケーターの自宅に専用PCとWebカメラを貸与しています。
コールセンターではお客様の個人情報を多く取り扱うため、在宅勤務におけるセキュリティの対策として「テレワークサポーター」を導入したケースです。
専用PCに「テレワークサポーター」をインストールして、情報漏えいリスクの軽減や、業務に集中できる働きやすい環境整備と適切な労務管理を同時に実現しているとのことです。また、在宅ワーク環境が整備されたことでコミュニケーターの退職率や欠勤率が低下なども実現されています。

在宅勤務の情報漏えいや従業員の業務管理に活用
新型コロナウイルス感染症の感染拡大を機に、在宅勤務を本格的に導入した企業では、第三者ののぞき見や不正行為による情報漏えいや勤務パターンが異なる社員の業務管理などの解決策として「テレワークサポーター」を会社支給のPCにインストールして利用しています。
「テレワークサポーター」を導入することで、勤務記録を日々チェックし、在宅スタッフの業務環境が適切どうかかを確認できるようになりました。また、稼働予定と実際の勤務時間のすり合わせることで、適切な業務の振り分けも実現。重要な業務を在宅環境で行うことに対する抵抗感がなくなったという声が上がったそうです。
その他にも、働き方改革として在宅勤務制度の導入を進めている金融機関や、特定の業務で使用する共有PCを適切に運用したい製造業様などでも「テレワークサポーター」は利用されています。
「テレワークサポーター」は、Webブラウザ版、Citrix社製VDI版などの環境で動作可能です。最小5ライセンスから1年間利用可能なライセンスで提供しています。また、1カ月間の無償トライアル版も用意しています。
また、キヤノンITソリューションズでは「テレワークサポーター」よりも手軽に、シェアオフィスや喫茶店などでの覗き込み対策に特化したソリューションも提供しています。ショルダーハッキング防止ソリューション「のぞき見プロテクター」は「テレワークサポーター」の一部機能を切り出したツールで、顔認証機能を活用して覗き込みを検知して画面をブラックアウトすることでのぞき見・なりすまし対策ができる製品です。
コワーキングスペースやシェアオフィスなどのオープンスペースではショルダーハッキング対策が必要になります。また、人事部門や経理部門など社員間でも見せてはいけない機微情報を扱う場合の情報漏えいを防止する対策としても活用できます。

現在、政府や自治体におけるテレワーク関連の補助金・助成金制度が用意されています。2024年度のテレワーク関連支援制度としては、経済産業省「IT導入補助金2024」制度や厚生労働省「人材確保等支援助成金(テレワークコース)」、東京都「テレワーク促進助成金」「サイバーセキュリティ対策促進助成金」、その他各自治体の施策が利用可能です。
自社に合ったテレワークを支援する施策も多く存在しますので、こうした制度を活用しながら、内部不正/個人情報漏えいリスク対策として「PCFILTER」や「テレワークサポーター」などの導入をご検討いただければと思います。
関連するソリューション・製品
- テレワークサポーター
- 在宅勤務や、サテライトオフィスなどで業務を行うテレワークが、働き方改革の一環として拡大しています。メリットが高く評価される一方で、重要な知財や個人情報などの情報漏えいリスクへの対策も不可欠となります。キヤノンの顔認証技術を用いた常時顔認証とクラウドを用いて、第三者からの、のぞき見・なりすましなどの不正アクセスから重要な情報を守り、企業・勤務者の双方に不安のないテレワーク環境を提供します。
- 個人情報漏えい対策 PCFILTER
- 「PCFILTER(ピーシーフィルター)」は、個人情報を含むファイルを高速で自動検出し、管理者による適切な対処と管理を実現します。PCやネットワークドライブ内にある、マイナンバーやクレジットカード番号などの情報が含まれたファイルを素早く検出し、暗号化/削除が可能です。また、データ授受経路の遮断機能を備え、情報漏えいを未然に防ぐことができます。