【令和7年度版】中小企業におけるセキュリティ脅威への対策強化　～不注意による情報漏えいの被害事例から対策を学ぶ～

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威」の中で、特に中小企業の経営者やシステム担当者が注目すべき点を、2025年版に基づいて詳細に掘り下げていきます。今回は10位に挙げられている「不注意による情報漏えい等の被害」に焦点を当てます。これは長年にわたり頻繁に発生し続けており、この脅威がどのように業務に影響を与え、どのように対策すべきかを解説いたします。

「情報セキュリティ10大脅威（2025）」の組織編の一覧は下表のとおりです。※1

情報セキュリティの落とし穴とされる不注意による情報漏えいは、知らず知らずのうちに発生することが多く、一度起こるとその影響は計り知れないものとなります。

「うちは中小企業だし、不特定多数の一般消費者を相手にするビジネスではないため、大量の個人情報は保有していないから、漏えいして困るような情報はないよ。」

中小企業の経営者の中にはこのような考えから、「自社はサイバーセキュリティによるリスクが低い」と過小評価していることが、事態を悪化させることもあります。

１．「中小企業はセキュリティによるリスクが低い」は本当？

中小企業であっても、日常的に行っている業務の中でセキュリティリスクにつながる情報を取り扱っているのではないでしょうか。

・自社HPに「問い合わせ」フォームを設けており、入力欄に問い合わせをしてきた人の所属組織や連絡先などを記載する箇所がある

・従業員が名刺交換した相手先の情報をExcel等で一覧管理し、「顧客リスト」として保有している

・過去に採用試験を受けた方の履歴書を保管している

これらは全て、個人情報や個人データとなります。他にも業務で日常的に取り扱う顧客データや、パートナー企業から預かっている機密情報、従業員の住所や家族構成といった個人情報等、これら全てが潜在的なリスクを孕んでいます。
こうした情報が漏えいした場合、信頼失墜、業務停止、収益の損失、法的責任など重大な結果を招くことになりかねないのです。このため、情報に関するセキュリティ対策は企業規模に関わらず全ての企業にとって必要な対策です。

では、実際に不注意によって情報が漏えいしてしまった具体的な事例をご紹介しながら、要因と対策をみていきましょう。

◆情報漏えいの具体的な事例

事例①　ハードディスクドライブ（HDD）のデータ未削除による個人情報漏えい
委託先従業員が外付けHDDを業務に使用し、顧客情報が含まれるデータを消去せずに廃棄したため、数か月後に上記HDDを取得した第三者が顧客情報をみることができるようになっていた。※2

事例②　Microsoft Teamsの公開範囲を制限しなかったことによる個人情報漏えい
Microsoft Teams（リアルタイムのコラボレーションやコミュニケーション、会議、ファイルやアプリの共有を行うことのできるメッセージングアプリケーション。以下Teams） の公開範囲を制限せずに電子データをアップロードしたため、第三者が閲覧できる状態となっていた。※3　

事例②のTeams設定ミスは、公開範囲が「プライベート」ではなく「パブリック」となっているチームにアップロードしたことが原因であり、人的ミスによる情報漏えいの典型的なケースです。これには、適切なチェック体制の欠如や、業務担当者の情報セキュリティに対する意識の低さが影響しています。

２．情報漏えいの要因は、人的不注意

不注意による情報漏えいはなぜ発生するのでしょうか。先の「情報セキュリティ10大脅威」の解説資料には、次のような要因が挙げられています。※4

◇情報リテラシー・モラルの低さ
従業員が扱う情報の機密性や重要性等への理解やモラルが不十分な場合、不用意に外部へ情報漏えいしてしまう可能性があります。例えば、次のようなケースが考えられます。

　・重要情報が記載されたメールの宛先を間違う
　・重要情報が記載されたメール添付ファイルを取り違える
　・重要情報が入った情報端末・記録媒体・紙を紛失する
　・重要情報を私的に利用して外部のWebサイト等に公開する

◇情報を取り扱う際の本人の状況
体調不良や多忙等の状況により、情報を取り扱う従業員の注意力が散漫になり、メールの誤送信等のミスによる情報漏えい事故を起こしてしまうことがあります。

◇組織規程および情報を取り扱う手順の不備
外部に情報を持ち出す際の確認手順や作業時の確認手順等に関するプロセスに不備があると、情報漏えい事故を起こしてしまう可能性が出てきます。

３．中小企業による情報漏えいへの対策と対応

対策と対応⑤　外部に持ち出す情報や端末の制限
持ち出し可能な情報や端末を制限し、持ち出しの記録を取る、持ち出し前に不必要な情報が格納されていないことを確認する、持ち出しの承認をする責任者を決める、従業員一人だけで持ち出しができないようにするといった対策を実施しましょう。

対策と対応⑥ 適切なファイル送受信の運用
重要な情報が入ったファイルを相手に送信するときは、メールに直接ファイルを添付するのではなく、クラウド上のファイルストレージサービスの利用やファイルの暗号化など、安全なファイル送受信方法を検討してください。
セキュリティ対策が取られたファイルストレージでは、登録したファイルを特定の個人だけがアクセスできるように設定することができます。一般的には、ファイルを見せたい相手のメールアドレスなどを登録します。この方法を使うと、メールに直接ファイルを添付するよりも安全性が高いと言われています。

対策と対応⑦ メールの誤送信対策
メールソフトによっては、メール送信前に「このアドレスで本当に良いですか？」と確認を促す画面を表示させる機能や、送信者が送信ボタン押下後に「あ、間違えた！」と思った時に送信を取り消せるよう、送信ボタンを押してから1分後にメールを送信する機能、管理者の承認がないと送信できない機能が備わったものがあります。このようなソフトを使うことでメールの誤送信を減らすことができます。


漏えいが発生した（可能性を含む）時には、下記の対応が必要となります。

・早期の状況把握
問題発生時の内部報告体制を整備してください。
いつでも報告体制を確認できるようにしておきましょう。
外部からの連絡窓口を設置し、関係者が分かるようにしておきましょう。

・適切な報告／連絡／相談
問題が発生した場合、速やかに報告し、適切な対応を取れるよう社内・社外の関係組織や公的機関等と連携できるようにしておきましょう。

・インシデント対応体制の整備
問題発生時に迅速かつ的確に対応できる体制を整えます。

具体的な対応については、IPAの「中小企業の情報セキュリティ対策ガイドライン」の46ページ（5）セキュリティインシデント対応をご覧ください。※6

ここまで不注意による情報漏えいの事例や影響、対策方法について考えてきましたが、いかがだったでしょうか。
不注意による情報漏えいはどの企業でも起こりやすく、その影響は甚大です。不注意を完全になくすことはできませんが、ルール整備や従業員への教育によるリテラシー及びモラル向上を図ることが、企業の持続可能な発展を支える鍵となるでしょう。

※本記事は令和6年度中小企業サイバーセキュリティ対策事業で制作された記事を最新情報等で更新したものです。

※1出典：独立行政法人情報処理推進機構（IPA）
https://www.ipa.go.jp/security/10threats/10threats2025.html

※2出典：SECURITY HOT TOPICS
https://www.itmedia.co.jp/news/articles/2406/14/news130.html

※3出典：東京都教育委員会
https://www.kyoiku.metro.tokyo.lg.jp/information/press/2024/05/2024053105

※4出典：独立行政法人情報処理推進機構（IPA）
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/katsuyouhou_2025_soshiki.pdf

※5出典：独立行政法人情報処理推進機構（IPA）
https://www.ipa.go.jp/security/kokokara/study/company.html

※6出典：独立行政法人情報処理推進機構（IPA）
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf