「うちは小さな会社だから、情報漏えいなんて関係ない」——そう思っていた中小企業が、ある朝、顧客情報が外部に流出したことを知る。こうした事故は、大企業だけの話ではありません。独立行政法人情報処理推進機構(IPA)の調査では、情報漏えい事故の原因として「内部(従業員・関係者による操作ミスや不正)」が全体の7割近くを占めています。外部からの高度なサイバー攻撃より、身近なリスクのほうがずっと多いのが現実です。
この記事では、従業員10~100名規模の中小企業で特に発生しやすい3つの情報漏えいリスク——内部不正・機器の紛失/盗難・クラウドの誤設定——について、具体的な対策手順とコストの目安を、経営者・総務担当者向けにわかりやすく解説します。
中小企業の情報漏えい——3大リスクを押さえるべき理由
情報漏えいの経路は多岐にわたりますが、中小企業で実際に発生するケースは次の3つに集約されます。
| リスク | 主な原因 | 被害額の目安 |
|---|---|---|
| ① 内部不正 | 退職前の顧客データ持ち出し、不満を持つ社員による流出 | 損害賠償:取引先1社あたり数十万円~数百万円 |
| ② 機器の紛失・盗難 | 出張中のノートPC置き忘れ、スマホ・USBメモリの紛失 | 個人情報1件あたり500円~5万円(件数次第で数百万円) |
| ③ クラウドの誤設定 | Google Drive等を「誰でも閲覧可」に誤設定してしまう | 個人情報保護委員会への報告・通知コスト数十万円 |
事前の対策コストは、事故後の対応コストに比べると圧倒的に低く抑えられます。順番に確認していきましょう。
情報漏えいが起きたときの現実的な損害
「うちには大した情報はない」と思うかもしれませんが、顧客名簿や取引先の連絡先は立派な個人情報です。
・損害賠償: 裁判例では個人情報1件あたり500円(軽微)から5万円(機微情報)が認定されています。顧客名簿500件が漏えいした場合、少なく見積もっても25万円以上の賠償リスクがあります。
・事後対応コスト: 原因調査・弁護士費用・顧客への通知(郵便・電話)・謝罪状の発送など、事務対応だけで50万円以上かかるケースが多数あります。
・取引停止リスク: 情報漏えいを知った取引先が発注を止めるケースがあります。BtoB企業では1社との取引停止が年間数百万円の損失につながることもあります。
・法律上の報告義務(個人情報保護法): 2022年の改正以降、漏えい件数が1,000件超または要配慮個人情報が含まれる場合は、個人情報保護委員会への報告と本人通知が義務です。違反すると行政指導・勧告の対象になります。
リスク① 内部不正を防ぐアクセス制御の基本
内部不正は「悪意ある社員」だけの問題ではありません。退職が決まったときの気の緩み、個人的な不満、あるいは「自宅で作業するために少し持ち帰ろう」という日常的な行動が起点になることがほとんどです。
1. アクセス権限を「業務に必要な最小限」に絞る
全社員が全フォルダを閲覧・編集できる設定は、リスクの高い運用です。Google Workspace・Microsoft 365・Dropbox いずれも「グループ(部署)単位のアクセス権」を設定できます。まず役職・部署ごとにグループを作り、フォルダごとに権限を割り当てるだけで大幅にリスクを下げられます。
2. 操作ログを取得する
「誰が・いつ・どのファイルにアクセスしたか」の記録を残すことで、抑止力と事後の調査能力の両方が手に入ります。
・Google Workspace(Business Standard以上): 管理コンソールの「監査ログ」でドライブの操作履歴を取得できます。
・Microsoft 365(Business Premium以上): Microsoft Purview(コンプライアンスポータル)でファイルの閲覧・ダウンロード履歴を記録・検索できます。
「ログを取っていることを社員に周知する」だけでも、不正への抑止力になります。
3. 退職予定者のアクセス権を早めに縮小する
退職の意思が確認された時点で、業務に不要な情報へのアクセスを段階的に制限します。退職当日にアカウント削除だけでは遅い場合があります。詳細な手順は、姉妹サイトセキュリティマスターズ.TOKYOでも解説しています。
リスク② ノートPCとスマートフォンの紛失・盗難対策
出張先での置き忘れ、電車内でのスリ——機器の紛失は「気をつければ防げる」問題ではなく、「起きることを前提に備える」発想が必要です。
1. ディスク暗号化(BitLocker)を全PCに適用する
Windows標準搭載のBitLocker(ビットロッカー)(PCのデータを暗号化して保護する機能)を有効にすれば、PCを盗まれてもデータは読み取れません。追加費用はゼロで、設定時間は1台あたり15分程度です。
Windows 11 Pro・Enterprise は標準で利用可能。Windows 11 Home でも「デバイスの暗号化」機能があります。有効化されているかは「設定」→「プライバシーとセキュリティ」→「デバイスの暗号化」で確認できます。
2. USBメモリの業務利用を制限または禁止する
USBメモリは小型で安価なため、情報の持ち出しに使われやすい媒体です。
・禁止する場合: グループポリシー(Windows管理機能)でUSBストレージを使用不可にできます。専用ソフト不要で無料です。
・許可する場合: 暗号化USBメモリ(Kingston IronKey等、3,000円~5,000円/本)のみ使用可とし、個人所有USBは持込禁止とする社内ルールを設けます。
3. スマートフォン・タブレットにMDMを適用する
MDM(モバイルデバイス管理ツール)(スマートフォン・タブレットを一元管理するソフトウェア)を導入すると、紛失時のリモートワイプ(遠隔データ消去)が可能になります。費用の目安は月額200円~500円/台(税込)です。
リスク③ クラウドの誤設定——意図せず外部公開しないために
「社内だけで共有しているつもり」のファイルが、実は誰でも閲覧できる状態になっているケースは少なくありません。Google Drive・Dropbox は操作を誤ると「リンクを知っている人全員」が閲覧できる設定になりやすいです。
Google Drive の設定確認ポイント
・「一般的なアクセス」を確認する: 重要なフォルダを右クリック→「共有」→「アクセスを管理」で確認します。「制限付き」(指定したアカウントのみ)が安全な状態です。「リンクを知っている全員」になっている場合は即座に変更してください。
・組織外への共有を制限する: Google Workspace 管理コンソールで「組織外へのファイル共有を無効化」すれば、誤って外部公開する事故を根本から防げます(Business Starter:¥680/ユーザー・月、税込以上で設定可能)。
Microsoft 365 の設定確認ポイント
・SharePoint の外部共有設定を確認する: Microsoft 365 管理センター → SharePoint 管理センター → ポリシー → 共有 で「外部共有を無効化」または「既存のゲストのみ」に設定します。
・OneDrive の共有リンク既定を変更する: デフォルトが「誰でも(匿名)」になっている場合は、「組織内のユーザーのみ」に変更します。
3つのリスク対策を進める実践ステップ
対策を一度に全部やろうとすると現場が混乱します。次の順序で段階的に進めましょう。
1. ステップ1——情報資産の棚卸し(1~2週間)
「どこにどんなデータがあるか」を把握しないまま対策しても、守るべきものが見えません。まず「重要データの保存場所・アクセスできる人・持ち出し可能な経路」をExcelで一覧にまとめます。
棚卸しのチェック項目例:
・データの保存場所(社内サーバー・クラウド・個人PCのローカルほか)
・データの内容(顧客情報・財務データ・取引先情報ほか)
・アクセスできる社員(全員?部署限定?)
・持ち出し可能な経路(USBメモリ・メール添付・クラウド共有ほか)
2. ステップ2——優先度の高いリスクから対策する(1~2か月)
すべてを完璧にする必要はありません。被害が大きいリスクから先に手を打ちます。
一般的な優先順位の目安:
・顧客の個人情報が入ったフォルダのアクセス制限(最優先)
・全PCのBitLocker有効化(1週間で完了できる)
・クラウドの外部共有設定の見直し(設定変更のみ・即日可能)
3. ステップ3——ルール化と社員教育(継続的に)
技術的な設定だけでは、ルールを知らない社員が事故を起こします。年1回の情報セキュリティ研修(社内OJT形式でも可)と、「社内情報セキュリティポリシー」(1~2ページで十分)の周知を行いましょう。
コストと費用対効果の目安
| 対策 | 費用の目安 | 従業員10名の場合 |
|---|---|---|
| BitLocker有効化 | 無料(Windows標準機能) | 0円 |
| クラウド共有設定の見直し | 無料(既存ツールの設定変更のみ) | 0円 |
| MDM(スマートフォン管理) | 月額200円~500円/台(税込) | 月額2,000円~5,000円(税込) |
| Google Workspace Business Starter | 月額¥680/ユーザー(税込) | 月額¥6,800(税込) |
| 暗号化USBメモリ(消耗品) | 3,000円~5,000円/本(税込) | 5本で15,000円~25,000円(一時費用) |
※執筆時点(2026年5月)の税込目安です。最新料金は各サービス公式サイトでご確認ください。
IT導入補助金では、クラウドサービス(Google Workspace・Microsoft 365等)やMDMツールが補助対象になる場合があります。2025年度の各公募スケジュールはIT導入補助金の公式ポータルで最新情報をご確認ください。申請にはgBizIDプライムの取得が必要です。
よくある失敗と回避策
・「ポリシーを作っただけ」で終わる: 社内情報セキュリティポリシーを作成しても、誰も読まずに終わるケースがあります。1ページにまとめ、入社時と年1回の確認をフローに組み込みましょう。
・「退職者のアカウント削除を忘れる」: 人事・総務・IT担当の連携がなく、退職後もアカウントが残るケースは中小企業で頻発します。退職手続きチェックリストに「アカウント削除」を必ず組み込みましょう。
・「クラウドの初期設定を変えていない」: Google Drive・Dropboxは導入時の初期設定のまま使うと、外部共有が意図せず許可になっていることがあります。導入直後の設定確認を習慣化してください。
・「バックアップがあるから大丈夫」という誤解: バックアップは「データ消失への備え」です。情報漏えいはデータがコピーされる事故なので、バックアップは対策になりません。
本記事のまとめ
・情報漏えいの7割近くは内部起因(操作ミス・不正)です。外部攻撃よりも身近なリスクから優先して備えましょう。
・BitLockerの有効化・クラウド共有設定の見直しは、追加コストゼロで今日から始められます。
・アクセス権限の最小化・操作ログの取得・社員教育の3点セットが、中長期的な対策の柱です。
・IT導入補助金を活用することで、MDMやセキュリティツールの導入コストを抑えられます。
情報漏えいの不安、一人で抱えていませんか?
「何から手をつければいいかわからない」という方に向けて、中小企業のセキュリティ対策を業務改善とセットで進める実践ノウハウをメルマガでお届けしています。
中小企業のDXを身近な業務改善から始めたい方へ、メルマガで実践的なDX推進ノウハウをお届けしています。
