MENU
企業法務に強い弁護士が運営するメディア
★ お問い合わせはこちら

パスワードが流出するリスクと理由、原因ごとの対策を解説

IT法務
弁護士 浅野英之
  1. TOP
  2. IT法務
  3. パスワードが流出するリスクと理由、原因ごとの対策を解説

パスワードの流出は、もはや他人事では済まされません。

不正ログインやSNSの乗っ取り、クレジットカードの不正使用などの被害も、パスワード漏洩から始まります。企業経営では、顧客情報の漏洩や企業秘密の流出により、多額の損害賠償や信用失墜に発展するケースもあります。

では、なぜパスワードは流出するのでしょうか。背景には、フィッシング詐欺やパスワードの使い回し、脆弱な設定など、共通する原因があります。その理由を知り、IDやパスワードを慎重に管理しなければ、予期しない損失を被るおそれがあります。

今回は、パスワード流出によるリスクと、その理由・原因ごとの有効な対策について、企業法務に強い弁護士が解説します。

この解説のポイント
  • 強固なパスワード設定と管理が、最大の防御策となる
  • パスワード流出時には迅速に対応し、被害拡大を防止すべき
  • 企業は、パスワード流出が法的な責任と信頼の失墜を招くことを意識する

\お気軽に問い合わせください/

相談予約
目次(クリックで移動)

パスワード流出のリスクとは

まず、パスワードが流出することのリスクについて解説します。

パスワードが流出すると、企業は深刻なリスクに直面します。以下の3点は、企業の経営や信頼に直結する大打撃となるおそれがあります。

企業秘密が漏洩して競争力が低下する

パスワードが流出して不正アクセスされると、企業秘密が外部に漏れる危険があります。

例えば、製品の設計図や成分表、未発表のマーケティング戦略、ノウハウ、顧客リストなどといった機密情報が外部に漏れると、企業は多大な損失を被ります。これらの情報が秘密なのは、企業の競争力の源であり、一度流出すれば模倣されたり、価格競争の原因となったりするからです。情報はコピーが容易なため、一度流出してしまうと取り返しが付きません。

近年は、SNSや匿名掲示板の普及によって、情報が瞬時に拡散される危険があります。

収益や事業活動に影響を及ぼす

流出したパスワードによって攻撃を受ければ、事業活動に影響を及ぼします。

例えば、不正にシステムが改ざんされたり、ECサイトや決済機能が一時停止に追い込まれたりするのは甚大な損失でしょう。ホームページが攻撃を受け、Googleの検索順位が低下したり、不正にサイトが書き換えられて顧客離れを引き起こしたりするケースもあります。

一時的なものにとどまらず、企業やブランドのイメージが著しく毀損され、継続的な取引の停止、商談のキャンセル、求人応募の減少といった長期的な影響があるケースもあります。特に、顧客情報を流出させると、会社の信用は大きく低下します。

信用が失墜して責任を問われる

パスワードの流出によって信用が失墜し、その責任を問われるおそれもあります。

顧客情報や取引先のデータが漏洩すると、企業の社会的信用が損なわれます。特に、個人情報やプライバシーが関連する場合、漏洩された被害者からの損害賠償請求が起こります。個人情報保護法は、以下の場合に、個人情報保護委員会への報告と、本人への通知を企業に義務付けており、法的対応は避けられません。

  • 要配慮個人情報が含まれる場合
  • 不正に利用されることで財産的被害が生じるおそれがある場合
  • 不正の目的をもって行われたおそれがある場合
  • 1000人を超える漏洩が発生した場合

漏洩が発生した場合、3〜5日以内に速報を行った上で、30日以内に確報を行う必要があります。報告を怠ると、個人情報保護委員会は、違反を是正するための勧告や命令を行うことができ、命令違反の場合は企業名公表の対象となるほか、「1年以下の拘禁刑又は100万円以下の罰金」に処せられます。

流出が、管理不備を原因とする場合、企業の社会的な責任を問われる危険もあります。

↑ 目次に戻る

パスワードが流出する理由と原因

次に、パスワード流出がなぜ起きるのか、その理由と原因を解説します。

脆弱なパスワードの設定

パスワードの設定に問題があるケースがあります。特に、パスワード設定が簡単すぎると、流出のリスクが高くなってしまいます。よく使われる危険なパスワードは、次の通りです。

  • 定番パターン(「123456」「password」「aaaaa」「qwerty」など)
  • 推測しやすい個人情報(誕生日、電話番号、車のナンバーなど)
  • IDと同じ文字列を含むパスワード

このような脆弱なパスワードは、攻撃して流出させようとする人が試すリストに含まれていることが多く、瞬時に突破されてしまいます。

パスワード管理の甘さ

流出の原因として、パスワード管理の甘いケースもあります。例えば、次のようなパスワード管理は不適切といえるでしょう。

  • 同じパスワードを複数のサービスで使い回している。
  • パスワードを人に教えて記憶してもらっている。
  • 紙のメモやデスクの張り紙に記録。
  • 便利なので社内で共通のパスワード。

このような管理方法では、パスワードが1つ流出すれば、他のアカウントも芋づる式に不正ログインされる危険があります(パスワードリスト攻撃)。

特に企業では、社員の管理の甘さが、組織全体の情報漏洩リスクを高める要因となっています。会社に恨みを持つ社員がいると、悪意をもってパスワードを流出させて報復をしようという気持ちを湧かせやすくなってしまいます。

関係者による情報の漏洩や持出

意外に多いのが、社内の関係者による内部不正によるパスワード流出です。

従業員や委託業者など、本来であれば信頼できるはずの関係者による不正があると、パスワードは比較的容易に流出してしまいます。例えば、次のようなケースがあります。

  • 権限を持つ役職者が不正アクセスを行う。
  • 退職した元社員が、退職前後で情報を持ち去る。
  • パスワードを含む顧客リストをUSBで抜き出す。

必ずしも悪意のあるケースばかりでなく、誤って外部に送信してしまうヒューマンエラーによる流出もあり得ます。内部からの漏洩は、外部からの攻撃よりも発見が遅れ、気付いたときには深刻な被害に発展していることが多いです。

サーバーなどのセキュリティ不備

ユーザー側の過失だけでなく、サービスを提供する企業側のセキュリティ不備もあります。

例えば、次のようなミスがあったことで攻撃者がサーバーに侵入し、パスワード情報を含むデータを持ち去られてしまうケースがあります。

  • クラウドストレージのアクセス設定が「公開」になっていた。
  • セキュリティパッチを適用していない。
  • 既知の脆弱性が放置されていた。
  • 管理画面に誰でもアクセス可能な状態になっていた。

万一の事態に備えて、ユーザー側でもバックアップを取ったり監視ログを取得したりといった対策を行うと共に、信頼性の高いサーバーを利用することが大切です。

サイバー攻撃

悪意ある人による攻撃によって、パスワードが流出することもあります。

パスワードを流出させるサイバー攻撃は、機械的な方法であり、代表的な手法は、ブルートフォース攻撃(あらゆる文字の組み合わせを総当りで試す)、辞書攻撃(よく使われる単語やフレーズをまとめた辞書ファイルで試す)があります。

パスワードが短かったり、英単語や簡単な数字だけで構成されていたりすると、サイバー攻撃に非常に弱くなります。近年は、AIやボットを使った自動化により、更に短時間で大量のパスワードを試すことができます。

フィッシング詐欺

フィッシング詐欺は、本物そっくりの偽サイトに誘導し、パスワードを入力させて盗み取る詐欺の手法です。手口は年々巧妙化していますが、以下のような特徴があります。

  • 本物の金融機関や通販サイトを装ったメール・SMSを送信。
  • 本物そっくりのログイン画面に誘導。
  • 怪しいドメイン名や、短縮URLを使って正規サイトに見せかける。

フィッシング詐欺に引っかかると、本人が気づかないうちに、自らパスワードを提供してしまいます。これらの手口の多くは、迷惑メールやスパムメール、ショートメッセージ(SMS)やSNSのDMなどで送られてくるため、誰もが被害者になる可能性があります。

↑ 目次に戻る

パスワードを流出させないための対策

パスワードの流出を防ぐには、原因ごとに的確な対策を講じることが不可欠です。

企業経営においては、パスワード流出によるリスクやダメージが非常に深刻なので、平時から徹底して対策しておかなければなりません。

パスワード設定時の対策

パスワードは長く・複雑で・推測されにくいことが基本です。

できる限り、「大文字・小文字・数字・記号を全て含み、12文字以上」となるパスワードを設定しましょう。パターン化せず、辞書に載っていない構造が望ましいです。他人に簡単に推測されるようなパスワードは避けるべきです。

不正アクセスや流出が疑われた場合は、速やかにパスワードを変更しましょう。

パスワード管理時の対策

パスワード管理にも細心の注意を払ってください。

「覚えやすいから」という理由で使い回すのは非常に危険です。芋づる式にパスワード流出が起こらないよう、サービスごとにパスワードを分けましょう。社内で多数のパスワードを管理する場合は、信頼性の高いパスワード管理ツール(例:1Passwordなど)を活用すれば、安全性を確保しつつ、パスワードを覚える負担を軽減できます。

内部不正への対策

次に、内部不正によってパスワードが流出しないよう対策します。

社内であっても盲目的に信頼しないことを基本とし、業務に必要な最低限のアクセス権限のみを付与するよう心がけてください。重要な情報にアクセスさせる際は、入社時や昇進時などのタイミングで秘密保持契約書(NDA)を締結するのがお勧めです。就業規則にも、パスワード流出や情報漏洩が懲戒処分や解雇の対象となることを明記して、責任を明確化すべきです。

また、監視体制も徹底しておくことが内部不正の予防になります。アクセスログを常時監視し、異常な操作や時間帯にアクセスがあった際は警告を発する仕組みが効果的です。

外部セキュリティ対策の強化

外部からの攻撃に備えるため、セキュリティを強化しましょう。

メールやSMSで届いたメッセージは、差出人名だけでなくメールアドレスのドメインを必ず確認し、正規の企業ドメインかどうか見極めてください。また、フィッシング詐欺の可能性を考え、信頼できないURLにアクセスしないよう気をつけましょう。

以下のような技術的な対策も欠かせません。

  • 二段階認証や多要素認証を導入する。
  • ウィルス対策ソフトをインストールする。
  • セキュリティパッチを適用する。
  • システムログを監視し、異常な挙動を早期に発見する。
  • データを暗号化し、バックアップを定期的に取得する。
  • 社内システムにはIP制限をかける。
  • フォームにCAPTCHAを設ける。
  • ログインの試行回数を制限する。

また、不用意にパスワードを人に教えたり共有したりしないようにすることも重要です。特に、社内だと管理が甘くなる傾向にあるので注意してください。

↑ 目次に戻る

パスワード流出後にすべき対応

次に、パスワード流出後にすべき対応について解説します。

万が一、パスワードの流出が確認された場合、被害の拡大を防ぐには迅速かつ的確な対応が不可欠です。初動対応が勝負を分けるので、日頃から準備し、マニュアル化しておくのがお勧めです。パスワード流出が起きたら、状況確認の後、被害を拡大させないよう速やかに動くことが重要です。事態を軽視すると被害が拡大し、取り返しのつかない結果を招くおそれがあります。

STEP

すぐにパスワードを変更する

流出したパスワードは即時に変更してください。

インターネット上でパスワードが流出した場合、瞬く間に拡散されるおそれがあります。まだパスワードが漏れただけであれば、速やかに変更すれば不正アクセスやデータの漏洩は避けられます。

そのアカウントだけでなく、同じパスワードを使い回していた他のサービスも同時に変更し、再設定時は「パスワード設定時の対策」に注意してください。

STEP

被害状況を確認する

パスワードを変更して被害を食い止めたら、不正アクセスが既に発生していないかを確認しておいてください。

ログイン履歴やアクセス元IPをチェックし、見覚えのないログインを確認します。振込や決裁の履歴も精査し、不審な取引がないかを確かめてください。

STEP

サービス提供者に報告する

パスワード流出による被害がある場合、サービス提供者に報告するほか、警察への通報も検討しましょう。

  • クレジットカード会社
    パスワードの変更。不正利用があれば利用停止や再発行を依頼する。
  • 警察(サイバー犯罪相談窓口など)
    不正アクセス禁止法違反などに該当する場合は被害届を提出する。

これらの連絡や通報は、被害の拡大を防ぐだけでなく、その後に控えた法的手続きにおいても、証拠として活用することができます。

STEP

弁護士に相談する

流出によって損害が生じた場合、法的な対応を検討するため、弁護士に相談しておくのが有益です。弁護士なら、証拠を集める方法や相手への請求手段についてアドバイスがもらえるほか、交渉や訴訟を代理してもらえます。

特に企業の場合は、個人情報保護法に基づく報告義務や顧客への通知義務もあるため、法的リスクを見据えた対応が求められます。

また、流出経路を特定し、再発防止策を講じておくことも忘れないでください。

↑ 目次に戻る

パスワード流出時に企業がすべき法的対応

最後に、パスワード流出時、企業に求められる法的対応について解説します。

プライバシーポリシーとセキュリティポリシーの明文化

今後、パスワード流出や情報漏洩が再発しないよう、企業のポリシーを明文化しましょう。

企業が、顧客や取引先に対して「どのように個人情報を取り扱うか」を定めるのがプライバシーポリシーです。同時に、従業員や委託先に対し、セキュリティポリシーを社内規程として周知し、情報管理の方法を具体的に定めることも重要です。

このような対策によって、顧客や取引先からの信頼性を高めると共に、内部不正に対する抑止力を効かせることができます。

損害賠償請求

企業のパスワードが流出したことで顧客情報が不正利用された場合、企業の情報管理に不備があると、被害者から損害賠償請求を受ける可能性があります。企業として、損害を最小化するために、次の方策を実施しておかなければなりません。

  • 流出事故が起こったら迅速に事実を調査する。
  • 被害者に正確な説明を行う。
  • 個人情報保護委員会への報告、本人への通知を行う。
  • 和解金や補償金などの対応を検討する。

対応が遅れたり不誠実であったりすると、損害賠償を受けるだけでなく、企業のイメージが失墜するおそれもあるので注意が必要です。

流出させた従業員の処分や解雇

パスワード流出が従業員の不注意や故意による場合、企業内での責任追及もあり得ます。例えば、次のような対応を検討すべきです。

  • 懲戒処分
    就業規則に基づいて、譴責や戒告、減給、降格、出勤停止といった処分を行う。
  • 解雇
    悪質な場合には懲戒解雇を検討する。
  • 刑事告訴
    故意に顧客情報を持ち出した場合は、不正アクセス禁止法違反や業務上横領などで刑事責任を追及できる。その場合、処罰を求めて捜査機関(警察・検察)に告訴を行う。

もっとも、処分にあたっては就業規則に従った手続きを踏む必要があり、行き過ぎた懲戒処分は「不当処分」「不当解雇」として争われるおそれもあります。

↑ 目次に戻る

まとめ

弁護士法人浅野総合法律事務所
弁護士法人浅野総合法律事務所

今回は、パスワードの流出に関して、法的な観点から解説しました。

パスワードの流出は、個人はもちろん、企業経営では特に、深刻な被害をもたらします。原因を理解し、最適な対策を講じることで、被害を未然に防ぐことが重要です。

パスワード流出の危険は、至るところに潜んでいます。フィシングなどに引っかからないよう意識を高く持ち、パスワードを強化したり使いまわしを回避したりすることは、日常的な対策となります。パスワードの管理状況が杜撰でないかも確認しておきましょう。また、万が一流出した際に迅速に対応できるよう、体制整備も欠かせません。

企業のパスワード管理、セキュリティに不安を感じる方は、お早めに弁護士に相談してください。万が一の場合に備え、今できる対策を速やかにご提案します。

この解説のポイント
  • 強固なパスワード設定と管理が、最大の防御策となる
  • パスワード流出時には迅速に対応し、被害拡大を防止すべき
  • 企業は、パスワード流出が法的な責任と信頼の失墜を招くことを意識する

\お気軽に問い合わせください/

相談予約
IT法務
目次(クリックで移動)