不動産業界で起きた情報漏洩の実例は? リスクや対策を解説
不動産業界でも業務のデジタル化が進む中で、顧客の氏名や住所、資産情報といった個人情報を安全に管理する必要性が高まっています。では、情報漏洩などのリスクから重要な情報を守るには、どのような対策を講じればいいのでしょうか。
本記事では、不動産業界が抱える情報漏洩リスクとその原因、実際に発生した情報漏洩の事例のほか、効果的な対策について解説します。
不動産業界では情報漏洩のリスクが高まっている
不動産業界では、近年デジタル化が急速に普及していて、それに伴い情報漏洩のリスクも高まっています。
Adobe社が調査した「業界別「営業業務のデジタル化状況」」(2022年)によれば、不動産業界で契約書類を紙で処理している企業の割合は73.3%となっていて、すべての業種の中で最も高い結果となっていました。加えて、2022年には「重要事項説明書」や契約内容を記載した書面の電子交付が解禁され、新型コロナウイルスの影響によるテレワークの普及も相まって、不動産業界のデジタル化が加速しています。
このように、紙中心だった業務が急速にオンライン中心の業務へと移行すると、十分なセキュリティ対策の導入ができないままデジタル化を進めてしまいかねません。すると、従業員のミスや外部からの攻撃による情報漏洩が発生したり、発生後にすぐに気付けなかったりするリスクにつながります。
また、不動産業界は、顧客の氏名・住所だけでなく、資産情報・契約情報などを含む重要な個人情報を大量に扱う業界です。そのため、情報漏洩が発生した場合のインパクトも大きく、社会的信用の失墜や損害賠償などによって企業の経営に深刻な影響を及ぼすおそれがあります。
不動産業界では、高まる情報漏洩リスクに対する強力な対策の導入が不可欠な状況となっているといえるでしょう。
不動産業界で発生する情報漏洩のパターン
不動産業界では、企業が保有する個人情報や機密情報が、様々な要因によって社外に漏洩するリスクがあります。下記では、不動産業界で漏洩が想定される情報の種類ごとに、発生する代表的な被害のパターンを見ていきましょう。
顧客情報の漏洩
顧客情報が漏洩した場合、企業の社会的信用が大きく損なわれるだけでなく、法的措置や契約破棄などを迫られる可能性もあります。
不動産業界では、下記のような個人情報を日常的に取り扱います。
- 不動産業界が扱う主な顧客情報
-
- 氏名
- 住所
- 電話番号
- 資産情報
上記のうち、特に資産情報は通常は第三者に知られたくない情報であるため、これらの顧客情報が漏洩すると深刻な事態に発展しかねません。顧客から損害の賠償を求められる可能性もあり、また、信用の失墜により進行中の商談が破談になるリスクもあります。
信用を失った場合、中長期的な影響が生じる場合もあるため、顧客情報の厳重な管理体制が求められます。
取引などの機密情報の漏洩
不動産取引の詳細や財務情報などの機密情報が漏洩すると、同業他社との競争で不利になる可能性があります。
不動産業界では、一般的には下記のような機密情報を取り扱います。
- 不動産業界で取り扱う主な機密情報
-
- 不動産取引ごとの契約金額
- 詳細な契約条件
- 物件の評価方法に関するデータ
- 自社の財務情報
契約金額や詳細な契約条件、物件の評価データといった情報が競合他社に漏洩した場合、自社が価格や営業戦略において競争力を十分に発揮できなくなるケースもあるでしょう。また、財務情報が流出することで企業の信用性に関する風評を流され、企業の存続にかかわる事態に発展することもあります。
不動産業界では、顧客情報だけでなく、取引の詳細などの社内の機密情報も適切に保護しなければなりません。
不動産業界で起こり得る情報漏洩の原因
不動産業界では、情報の取り扱いが日常的に発生するため、様々な原因で情報漏洩が起こる可能性があります。リスクの要因として想定される主なパターンとしては、下記7点が挙げられます。
内部不正
内部不正とは、従業員や退職者など、社内関係者による意図的な情報漏洩のことを指します。退職間際の従業員が顧客リストを転職先に持ち出すといった事例も、少なくありません。
このようなリスクを防ぐためには、データへのアクセス権限の厳密な管理や、誰がいつどの情報にアクセスしたかを記録するアクセスログの取得も重要となります。
- 併せて読みたい
マルウェア
マルウェアは、情報を盗んだり、システムを破壊したりする悪質なソフトウェアです。中でも「ランサムウェア」と呼ばれるマルウェアは、システムの全データを暗号化して業務停止に追い込んだ上で、解除と引き換えに金銭を要求するもので、被害が深刻化しています。
これらの被害を防ぐには、マルウェアの侵入を防止するためのセキュリティ対策ソフトの導入が不可欠です。
- 併せて読みたい
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見された直後、修正プログラムが適用される前にその欠陥を突く攻撃です。対策が遅れると、企業のシステムが無防備な状態に晒されてしまいます。
対策としては、定期的な脆弱性診断と修正プログラムの迅速な適用が有効です。
標的型攻撃
標的型攻撃は、特定の企業や個人を狙って巧妙に仕掛けられるサイバー攻撃です。ターゲットを事前に調査して関係者に偽装したメールやメッセージを送りつけ、マルウェアを仕込んだ添付ファイルや不正なURLを自然に開かせるように誘導します。
この手法への対策としては、メールの自動スキャンツールの導入や、従業員への定期的なセキュリティ教育が必要です。
- 併せて読みたい
フィッシング
フィッシング攻撃は、実在の企業やサービスを装ったメールやSMSを不特定多数に向けて大量に送り、不正なURLに誘導して個人情報を盗む手口です。
多くの場合、メーラーやセキュリティ対策ソフトのメールフィルタリング機能などで対策できますが、それも完璧ではありません。従業員への啓発や教育が継続的に求められます。
- 併せて読みたい
重要情報を保存した端末の置き忘れ
USBメモリやノートパソコンに重要情報を保存し、外出先で置き忘れたり紛失したりすることで情報が漏洩するケースもあります。また、紙の契約書類などについても、置き忘れや紛失による情報漏洩が発生するリスクはあります。
こうした事態を防ぐには、情報の持ち出しに関するルールを明確にし、社内に浸透させなければなりません。
メールなどの誤送信
メールの宛先ミスや添付ファイルの誤送信によって、顧客や取引先の情報が第三者に渡ることも少なくありません。
こうしたヒューマンエラーによる漏洩を防ぐためには、上長によるダブルチェック体制の構築や、誤送信を防止するソフトウェアの導入が有効です。
- 併せて読みたい
不動産業界で発生した情報漏洩の実例
実際に不動産業界では、複数の情報漏洩事件が報告されています。下記では、主な実例を4件紹介し、どのような経緯で漏洩が発生したのかを解説します。
住宅販売会社の元従業員による情報の持ち出し
住宅販売会社の元従業員が、退職前に企業の保有する顧客情報を不正に持ち出し、転職予定先の不動産会社に送信していた事例が発生しています。流出したのは64件の顧客情報で、退職後の社内調査で発覚し、元従業員は逮捕されました。
どのような企業でも、退職者による内部不正のリスクは潜んでいるため、退職時の端末回収やアクセス権限の即時剥奪といった対応と共に、アクセスログを取得して迅速に内部不正を確認できる仕組みが不可欠です。
マンション管理会社の元従業員による情報の持ち出し
あるマンション管理会社では、元従業員が社内システムに保存されていた顧客情報約5,000件を不正に持ち出し、外部法人に提供していた事例が報告されています。漏洩したのはマンション名、部屋番号、氏名、住所、電話番号といった情報で、外部からの指摘と社内調査により事態が発覚しました。
同社は、事態の発覚後に迅速に、情報の使用差し止めと廃棄を流出先に請求するといった対応を行っています。
不動産管理会社へのランサムウェアによる攻撃
ある不動産管理会社がランサムウェアによるサイバー攻撃を受けた事例もあります。この事例では、管理していたサーバーに保存されたデータが暗号化され、顧客情報が漏洩した可能性もあるという報告がなされています。攻撃者はデータの暗号化に加えて、個人情報を複製し、金銭を支払わなければ第三者へ売却するという脅迫メッセージを残していました。
情報漏洩の事実は確認されたものの、保存されていたデータのうちどのような顧客情報が漏洩したのかも具体的に特定できなかったケースで、ランサムウェアの危険性と対策の必要性を強く示す事例です。
従業員の誤送信によるメールアドレスの漏洩
不動産会社が実施していたシェアハウス・コワーキングスペースに関する実証事業において、会員向けのメール配信で本来BCCに設定すべきアドレスを宛先欄に入力して送信してしまった事例があります。この誤送信により、会員全員が他の会員のメールアドレスを閲覧できる状態となりました。会員からの指摘で事態が発覚しています。
その後の調査では、漏洩したのはメールアドレスのみで他の個人情報の流出は確認されていません。この事例からは、ヒューマンエラーにより簡単に情報漏洩が起きることがわかります。
情報漏洩を防止するための対策
不動産業界における情報漏洩を未然に防ぐには、技術的な対策だけでなく、運用面や人材教育も含めた総合的な取り組みが必要です。下記では、有効な3つの対策を紹介します。
セキュリティ対策ソフトの導入
ランサムウェアなどのサイバー攻撃を防ぐためには、最新のセキュリティ対策ソフトの導入が欠かせません。
なお、従来型のウイルス対策ソフトは既知のマルウェアにしか対応できないという弱点がありましたが、近年ではAIを活用してよりセキュリティレベルを向上できる製品が登場しています。例えば、未知のマルウェアに侵入される前に挙動から侵入を検知して被害を未然に防ぐNGAV(Next Generation Anti-Virus:次世代型アンチウイルス)や、感染後の不審な挙動を検出して迅速に初動対応を行うEDR(Endpoint Detection and Response)などです。
また、内部不正を防止するには、アクセスログの取得やデータ操作の制御ができる情報漏洩対策ツールの導入が有効です。ファイル操作の監視や制限が可能なツールを導入することで、内部不正が発覚した場合の迅速な証跡の確保や、ログの取得を周知することによる抑止効果などが期待できます。
社内ルールの策定
情報漏洩は従業員の行動によって起こることもあるため、情報漏洩につながる行動をさせないようにするための社内ルールの策定も重要です。社内で取り扱うデータの分類やアクセス権限の明確化、使用するデバイスの制限、外部への持ち出しルールなど、具体的で実践的なセキュリティポリシーを策定しましょう。
サイバー攻撃は日々巧妙化しているため、社内ルールは一度決めて終わりではなく、定期的な見直しとアップデートが求められます。
従業員教育
情報漏洩の防止には、従業員教育も重要です。どれほど優れたセキュリティツールを導入し、万全なルールを整備しても、従業員が正しく理解し、実践できなければ情報漏洩のリスクは排除できません。
特に、誤送信やフィッシング、標的型攻撃による情報漏洩は、従業員の情報セキュリティに関するリテラシーが高まれば高まるほど、防止できる可能性も高まります。定期的に最新事例を共有し、シミュレーショントレーニングを行うなど、実践的な教育を継続していくことが求められます。
- 併せて読みたい
適切なツールを導入して、情報漏洩を防ごう
不動産業界は、紙ベースでの管理が主流だった背景もあり、他の業種と比べてデジタル化やセキュリティ対策の導入が遅れている傾向があります。しかし、テレワークの普及や電子契約の解禁によりデジタル化が進めば、デジタル化したデータがサイバー攻撃などで盗まれる危険性も増えるため、今後ますます情報漏洩のリスクは高まっていくでしょう。
情報漏洩対策は、企業の信頼性や事業継続性を左右する重要な経営課題です。セキュリティ対策ソフトの導入や社内ルールの整備、従業員教育など、段階的に対策を進めてセキュリティレベルを向上していかなければなりません。
その際に有用なツールの1つが、情報漏洩対策ツールです。例えば、インターコムの「MaLion」シリーズであれば、ファイルアクセスを監視・制御して情報漏洩を防止できます。各種ファイルの操作状況(読み込み、書き込み、移動、コピー、名称変更、削除)のアクセスログを収集・管理し、必要に応じて実行を制限することも可能です。操作ログを収集できるため、証跡の確保が迅速に行える点もメリットです。
また、社内ルールに違反した操作を検知した場合は、警告を表示して抑止できます。また、USBメモリやWebメール、ストレージの利用など情報漏洩につながる操作を制限することもできます。不動産業界で情報漏洩対策をお考えの場合は、ぜひご検討ください。
