顧客情報漏洩はなぜ起きる？有効な防止策はある？

企業から顧客情報が漏洩してしまった情報流失事故は、一項にゼロになる気配がありません。
悪質なケースでは金融システムへ侵入する犯罪も発生しており、メディアにニュースが流れるたびに多くの人々が危機感を募らせていることでしょう。

そもそもなぜ顧客情報が外に漏洩してしまうのでしょうか。
よくある顧客情報流出パターンとしては、以下のようなものが挙げられます。

• 送信先メールアドレスを入力ミス。全くの赤の他人に誤送信した
• 顧客管理データシステムアプリケーションの操作ミスにより個人情報を表示した
• WEBシステムの誤設定により非公開情報を公開情報とした

これらは重大な不注意ではあっても、悪意はないうっかりミスではありますが、会社への信用度の失墜は避けられません。

また企業によっては、監督官庁への報告が必要となる場合もあります。
そしてなによりも、Webにプライベート情報が公開されてしまった顧客に与える被害は甚大です。
大切な顧客、そして社会への多大な迷惑をかけてしまう事態を避けるためにも、顧客情報の漏洩防止は企業の差異需要課題となっています。

この記事では顧客情報漏洩の管理、そして顧客情報漏洩防止のための対策を中心にお伝えします。
ぜひご参考にしてください。

顧客情報とはどのようなものがあるか

一旦、インターネット上に流出してしまった情報は、もはやもとには戻せません。
そして今やオフィスのパソコンは、インターネットに接続している環境で利用されていることが一般的です。
業務で顧客情報を扱わなければならない業務に携わる場合、情報漏洩防止のため細心の注意が必要です。
ここでは望ましい顧客情報の管理方法についてご紹介します。

顧客の個人情報にはどんなものがある

個人情報とは、広くは特定の個人を識別するための情報を指します。
モノやサービスを販売する企業においては、顧客や取引先の様々な個人情報と接する機会があります。

もし漏洩してしまった場合、関係省庁への報告やメディアへの対応、被害者からの慰謝料請求など多くのリスクをはらんでいます。
顧客情報データベースには、以下のようなデータが蓄積されており、それらすべてが厳重に管理されるべき個人情報と理解することが必要です。

• 住所
• 氏名
• メールアドレス
• 勤務先

また病院他医療機関や法律事務所、介護事務所などのソーシャルサービスにおいては、

• 病歴・既往歴
• 健康診断結果
• 身体精神障害の有無
• 前科
• 犯罪被害情報
• 門地及び本籍地

についての聴取データを保有していることも往々にしてあります。

これらは特に「要配慮個人情報」「機微（センシティブ）情報」と呼ばれています。
一旦漏洩すれば、多大な不利益を被ることになる重大なプライベート情報であり、最悪の場合犯罪に悪用されることにもなりかねません。
このような顧客情報の取り扱いには、細心の注意が必要です。

顧客情報漏洩を防ぐために必要な防止策とは

企業は「個人情報保護法」にのっとった顧客情報管理の基本方針、および顧客データの取扱いについての社内規定を定めることが必要です。
そのうえで、顧客情報における運用ルールを取り決めて厳守し、万全なチェック体制を敷くことが求められます。
企業側においては経営者、従業員、業務環境、外部通信装置それぞれにおいて情報漏洩防止に努める必要があります。

• 経営者：顧客データ運用管理体制の整備
• 従業員：社内講習受講などでセキュリティ意識の強化と実践
• 環境整備：顧客データ利用可能な機器、アクセス可能な従業員の制限
• 漏洩防止技術整備：サーバー側不正アクセスと情報漏洩防止措置

顧客情報漏洩を防ぐために必要な防止策には、どのようなものがあるのでしょうか？
具体的な情報漏洩防止に有効なルール取り決めについて、ご紹介します。

情報漏洩防止策「顧客情報管理の行動指針をさだめる」

顧客情報の管理を徹底し、情報漏洩を防ぐには、具体的な業務ルールを順守するよう指導徹底が必要です。
顧客情報管理のために「実行すること」、顧客情報漏洩防止のために「禁止事項」を合わせて、業務フローごとに細かくルール化すると現場に浸透しやすいでしょう。

例えば、顧客との連絡が必要になった場合には「外部メールアドレスは手入力禁止。部署の連絡先データベースのみ」「原則として顧客情報印刷禁止」と細かくルール化します。
また日常業務の中でも、「離席時のパスワード設定による画面盗み見防止」「デスク上の書類放置禁止」などのデータ管理を徹底させます。

情報漏洩防止の実現のためには、必要なことを具体的な行動ルールで示すことが重要です。

情報漏洩防止策「セキュリティ教育を徹底する」

顧客情報流出を防ぐには、従業員のセキュリティ意識を高める社員教育が必要です。
多くの企業では、情報漏洩のリスクの高さ、そして顧客情報の重要性について定期的に社内講習を行っています。

個人情報の種類や、現在個人情報を取り巻く法的整備などについても詳しく取り上げてセキュリティ意識の向上を促す必要があります。
実際に起きた情報漏洩事故の経緯や、そして当該企業が受けたパッシングや公的罰則などについての解説を加えると理解しやすいでしょう。

情報漏洩防止策「顧客データ管理体制を構築する」

顧客情報には担当社員のみがアクセスできる仕組みづくりが有効です。

• 顧客データベースへのアクセス制限
• 業務システムからのデータダウンロード履歴記録
• 出力データの暗号化
• 2重パスワードや指紋他生体認証システム導入

などのアクセスコントロールによって、必要最小限の社員に限定しておくことが重要です。
また、必ずアクセス履歴は部署の管理者にメール通知が飛ぶようにするなど、チェック体制の準備も併せて必要です。

顧客情報漏洩が起きてしまったときはどうなる

企業がすべきことは「個人情報保護法」に準拠した対応を、速やかにとることです。
情報漏洩による二次被害を防止するためにも、流出対象である個人や企業への通知連絡や、お詫びをまず行う必要があります。
金融機関などの場合は、監督官庁へ報告する義務が生じます。

顧客情報漏洩を引き起こした事業者に対しては、立入検査が実施されることもあります。
また従業員が、利益目的などで故意に情報漏洩事故を引き起こした場合には、「1 年以下の懲役又は 50 万円以下の罰金」が課せられることもあります。
その際には、企業側にも罰則が科せられます。

顧客情報管理の徹底こそ最も有効な情報漏洩防止策！

蓄積した顧客情報、競合他社との競争を勝ち抜くために、企業にとって最も貴重な財産です。
企業の発展のためには、顧客データ活用は経営戦略のベースとなっているといっても過言ではないでしょう。
しかし、同時に決して漏洩が許されない個人情報であることも認識しておかなければなりません。

ここでもう一度顧客情報管理対策についてまとめておきます。

• 情報漏洩防止策「顧客情報管理の行動指針をさだめる」
• 情報漏洩防止策「セキュリティ教育を徹底する」
• 情報漏洩防止策「顧客データ管理体制を構築する」

まとめ

2020年秋には「個人情報保護法改正案」によって個人情報保護制度を一元化し、全国ルールとして統一する案がまとまりました。
今後、より一層企業の顧客情報保護への取り組みが強化されることが求められることでしょう。

より漏洩リスクのない顧客情報管理対策に向けて最新情報収集に努め、日々の漏洩防止チェック体制を万全なものにしたいですね。