顧客管理はセキュリティ対策が重要！ 情報漏洩の事例と対策を解説

顧客情報の管理を適切に行う重要性

顧客情報の漏洩が発生すると多大な損害が発生する可能性があるため、顧客情報の管理を適切に行うことが重要です。顧客情報が漏洩すると、漏洩させた企業に対する社会的な信用失墜や顧客離れ、損害賠償など、企業の経営基盤を揺るがすような損害が想定されるのです。そのため情報セキュリティ対策は、顧客情報を保有するすべての企業にとって重要な経営課題となっています。

なお、管理する顧客情報ですが、ビジネスの対象によって内容が異なります。例えば、BtoCビジネスにおける顧客情報にはクレジットカード情報が含まれていることがあり、それが漏洩して悪用された場合、個人の顧客に対して実害が生じます。一方、BtoBビジネスにおける顧客情報は、企業情報のほかに担当者の名前、所属部署、連絡先、そして営業プロセスや顧客の購買状況などが含まれることがあります。

万が一情報漏洩事故が発生した場合の被害規模を知るため、特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）の「JNSA 2023セキュリティ十大ニュース」や、一般財団法人日本情報経済社会推進協会（JIPDEC）の「JIPDECレポート」、独立行政法人情報処理推進機構（IPA）の「ソフトウェア等の脆弱性関連情報に関する届出状況」といった、情報セキュリティインシデントに関する情報を基に、被害総額や実態を確認しておくことをお勧めします。

事例から学ぶ情報セキュリティ対策

情報セキュリティ対策とは、情報漏洩事故を防止するための包括的な取り組みのことです。ここでは、独立行政法人情報処理推進機構が発表した「情報セキュリティ10大脅威 2023」の中から、3つの事例と必要な対策を紹介します。

ランサムウェアの感染で顧客情報が流出

ランサムウェアとは、コンピューターシステムに侵入して組織内のデータを暗号化したり、情報を窃取して勝手に公開したりするマルウェア（悪意のあるソフトウェア）の一種です。暗号化されたデータの復元や公開の取り下げと引き換えに、金銭などを要求されるケースがあります。IPAによると、組織が被害を受けた原因の1位がランサムウェアによるものでした。

あるソフトウェア開発会社が、サイバー攻撃によってランサムウェアに感染し、顧客情報を窃取される事態に陥りました。その原因は、Webサービスの脆弱性を悪用されてサーバーへの侵入を許し、ランサムウェアを自動配布する設定をされてしまったことです。自動配布により組織内の機器がランサムウェアに感染し、3,000件を超えるファイルが窃取され、顧客情報が公開されてしまいました。こうした事例を踏まえて、必要な対策を講じることが重要です。ランサムウェアの攻撃手段や対策法は次のとおりです。

サプライチェーン攻撃による顧客の個人情報が漏洩

サプライチェーン攻撃とは、情報セキュリティ対策が手薄な関連企業や取引先企業、サービスを経由して、標的とする企業へ不正アクセスを試みるサイバー攻撃の総称です。商品が消費者の手に届くまで、原材料の調達や製造、配送、販売といったさまざまな企業が一連の流れでつながっています。これをサプライチェーンといい、サプライチェーンに含まれる一部の企業に、情報セキュリティの脆弱性があると攻撃対象となる可能性が高まります。

Webマーケティングを支援するソフトウェア企業が提供する複数のサービスを改ざんされ、当該サービスを利用していた取引先企業から顧客の個人情報が漏洩しました。ソフトウェア企業が提供する入力システムが不正アクセスにより、プログラムを改ざんされたことが原因です。この事例から自組織だけではなく、業務委託先の企業や業務で利用しているサービスも適切な管理が必要ということがわかります。

従業員など内部不正による顧客情報漏洩

内部不正による顧客情報漏洩とは、従業員など組織内の関係者による機密情報の外部流出のことです。従業員が悪意を持って組織内の機密情報を持ち出す場合と、知識不足などによって軽率に情報を持ち出して流出してしまうヒューマンエラーの場合があります。

飲食チェーン企業の取締役が営業秘密を持ち出し、不正競争防止法違反の疑いで警視庁に逮捕されました。同取締役は競合企業から転職しており、元部下を利用して商品に関する情報などの営業秘密を持ち出していたことが発覚。なお、転職先の従業員はデータを不正利用、元部下はパスワードを漏洩したとして、共に逮捕されました。

また、ヒューマンエラーのケースとして、ノートPCやUSBメモリなどの記憶媒体に顧客情報などを入れて持ち出し、紛失してしまう場合が該当します。内部不正などによる情報漏洩の手口と対策は、次のとおりです。

クラウドサービスのセキュリティ対策

近年は、顧客情報の保管にクラウドサービスを利用する企業が増えてきています。クラウドサービスはインターネットを介して利用する以上、情報セキュリティ対策を行っていたとしても第三者が侵入してくる可能性はゼロではありません。顧客情報をクラウドサービスに保管する場合の、情報セキュリティ対策のポイントは次のとおりです。

ログイン認証の対策をする

クラウドサービスは、IDとパスワードといったログイン情報を知っていればクラウドサービス内にアクセスできます。そのため、ログイン情報が解析されてしまうと、サイバー攻撃を受けてしまう恐れがあります。そこで、ログイン認証への対策を行い、サイバー攻撃を防ぐ対策が必要です。

例えば、規定した回数を超えてログインに失敗すると、一定時間はアクセスを制限するパスワードの連続入力の制限や、ワンタイムパスワードなどを用いた2段階認証を行うといった対策が有効です。ワンタイムパスワードは、ログイン操作を行ったときにランダムな文字列を一時的なパスワードとして生成するもので、短時間で効力を失うことから不正アクセス対策になります。

データの暗号化を行う

データの暗号化とは、クラウドやシステムで送受信されるデジタルデータを暗号化することによって、ランサムウェアを含むサイバー攻撃を防御します。データの暗号化は、データそのものに暗号化を施すため、不正アクセスなどの外部からの攻撃だけではななく、情報の持ち出しなどの内部不正、誤送信などのヒューマンエラーへの対策として有効です。

適切なID管理を行う

ID管理とは、システムやサービスのログイン（ID・パスワードによる認証）において、管理者が各システムのアカウント情報の登録・変更・削除や、アクセス権限の付与を行うことです。退職者によるID情報の削除漏れによる不正利用はもちろん、登録時や更新時の間違い、システム誤操作などによって起きる情報漏洩のリスクを回避するには、適切なID管理が必要になります。

データの保管場所を把握しておく

顧客管理にクラウドサービスを利用している場合、データが保管される場所を知っておくことも重要です。データセンターの近隣で大規模災害が起きた場合、情報が物理的に破壊されてしまう可能性があります。また、クラウドサービスによっては、海外のデータセンターを利用していることもあります。海外の法律によって、強制的にデータが差し押さえられたり、サービスが利用停止にされたりする、いわゆるカントリーリスクも想定し、データセンターを国内に置いているクラウドサービスを選ぶことも大切です。

顧客情報を守る営業支援 名刺管理サービス「SKYPCE（スカイピース）」

顧客管理のセキュリティ対策は、情報漏洩による信用失墜や顧客離れなど、企業の経営基盤を揺るがすような損害が想定されるため、非常に重要な経営課題です。顧客管理のセキュリティ対策の徹底は、企業そのものを守ることにつながるといっても過言ではありません。リスク低減のためにも、信頼できるツールの導入を検討しましょう。

使いやすい名刺管理画面と細やかな条件で名刺情報を素早く検索し、スムーズに顧客情報を活用できるのが、営業支援 名刺管理サービス「SKYPCE」です。スキャナーやスマートフォンのカメラから取り込んだ名刺画像や、データ化された名刺情報を通信する際はすべて暗号化するなど、さまざまな情報セキュリティ対策を行っています。

「SKYPCE」は、ISO/IEC 27001やプライバシーマークといったセキュリティ認証を取得しているＳｋｙ株式会社が提供する営業支援 名刺管理サービスです。データ通信時の暗号化はもちろんのこと、2要素認証を採用し、ユーザーごとに閲覧権限も設定できるなど、常にセキュリティ強化を図っています。さらに「SKYSEA Client View」と連携すれば、名刺情報の取り扱い履歴を操作ログとして把握できるほか、名刺管理画面の画面キャプチャーを禁止したり、操作が一定時間ないと画面をロックしたりするといった制限も可能です。

より高い安全性を保ちながら名刺情報が活用できる営業支援 名刺管理サービス「SKYPCE」のご導入を、ぜひご検討ください。