スマホからの個人情報流出対策│流出する原因と被害も解説

セキュリティ対策は社用パソコン（PC）のみで、社用のスマートフォン（スマホ）やタブレットのセキュリティは強化していないという企業も少なくありません。iPhoneに搭載されているiOSはもちろん、モバイル用のAndroid OSでも、マルウェアの被害を受ける場合があります。

とくに顧客の個人情報や機密情報を取り扱う企業は、スマホやタブレットのセキュリティ対策を十分に行う必要があります。本記事では、とくに対策が必要なスマホの個人情報流出対策を、情報漏洩の原因と被りうる被害も挙げながら詳しく解説します。

iPhoneやAndroidのスマホには、あらゆるセキュリティ機能が備わっているため、普段の使用においても起こり得る情報セキュリティリスクはある程度回避できています。

まずは、スマホに搭載されているセキュリティの特徴を紹介します。

iPhoneやAndroidのスマホは、いずれもサンドボックスシステムの機能によって、インストールしたアプリケーションの動作領域を制限しています。

サンドボックスとは、悪質なアプリを起動してもスマホ自体のシステム領域や、ほかのアプリへの侵入を避けるために設計されたシステムです。

スマホにサンドボックスシステムを採用することで、セキュリティ被害を最小限に抑えられるようになっています。

スマホに搭載されたOSには、定期的にアップデートが実施されています。

OSアップデートでは、ベンダーの内部調査で発見されたセキュリティ問題や、利用者をはじめとする外部から寄せられた情報などをもとに改善が行われています。

セキュリティ対策を施しても、ウイルスやマルウェアは次々と新型が生成されているため、頻繁にアップデートを実施して流動的に対応することが欠かせません。

かつて人々がもつ携帯電話は、折り畳み式やスライド式などのガラパゴス携帯が主流でした。しかし、2008年に日本でiPhoneが発売されたことをきっかけにスマホが急速に普及します。今やスマホは、年代問わず多くの方にとって主流の携帯電話となっています。

また、スマホの普及に加えてITの発展に伴い、インターネットの利用も急増したことで、PCのみならずスマホでインターネットを利用することも当たり前になっていきました。一方で、インターネット利用時に何らかの不安を感じる方は70％を超えていることも実情です。不安のもととなる具体的な内容は、主に「個人情報の漏洩・流出」や「ウイルス感染」、さらに「ネット詐欺」などが挙げられます。

出典：総務省「令和3年版 情報通信白書 安全なインターネットの利用に向けた課題」

これらの不安に関する被害事例は、決して少なくありません。2022年には、何らかの原因で「165件／約592万人分」の個人情報が流出・紛失したと報告されています。

出典：東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ～ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ～」

スマホ利用におけるセキュリティ情報の流出や漏洩被害には、あらゆる要因が考えられます。ここからは、スマホから個人情報が流出してしまう原因について詳しく説明します。

スマホから個人情報が流出する主な原因としては、まずスマホの盗難・紛失が考えられます。

基本的にほとんどの方は画面ロック機能を用いており、ある程度のセキュリティ対策ができているため、スマホを盗難されたからといって必ずしも個人情報が流出してしまうわけではありません。

しかし、スマホを拾った相手が画面ロックを解除してしまう可能性もゼロではないでしょう。画面ロックの解除が成功すれば、端末を自由に操作されてしまいます。個人情報が流出するだけでなく第三者に拡散される危険性もあります。

近年では、駅や商業施設などで無料Wi-Fiを利用できるシーンも増加しました。しかし、無料Wi-Fiは通信が暗号化されていないことが多く、セキュリティ面から見て優れているとはいえません。

企業や自治体などが提供する無料Wi-Fiは基本的に通信が暗号化されているため、提供元をしっかりと確認したうえで利用するとよいでしょう。

スマホから、Wi-Fiが暗号化されているかどうかを確認するには、端末設定のなかの「Wi-Fi」を開き、検出されたWi-Fiの名前の横に鍵マークがついているかどうかを見ます。鍵マークがないものは暗号化がされていない通信になるため、接続しないように注意してください。

iPhoneで利用できる「App Store」や、Androidで利用できる「Google Play」といった各アプリのダウンロードサービスには、企業が制作したものから個人が制作したものまで、さまざまなアプリが提供されています。

数あるアプリのなかには、詐欺目的など、スマホ内データを悪意を持って収集する不正アプリも少なからず存在します。知らずにインストールやアクセスをすると、自身のスマホ内に格納している個人情報やカード情報、さらに連絡先データが抜き取られる可能性があるため注意が必要です。

不正アプリをインストールしてしまわないためには、管理外のアプリや提供元が不明なアプリを避けるようにするとよいでしょう。

スマホから個人情報が流出する原因として意外と多いのが、情報の誤送信です。

特定の相手にしか伝えてはならない情報を、タップミスで別の相手に伝えてしまうといった単純な誤送信だけでなく、知らず知らずのうちに個人情報を不特定多数に公開してしまっているというケースもあります。分かりやすい例としては、位置情報が記録された写真のSNS投稿などが挙げられるでしょう。

情報の誤送信による個人情報流出リスクを回避するためには、「重要な情報はすべて電話や直接の対話で伝える」「カメラアプリの位置情報サービスをオフにする」「限定したメンバーのみがアクセスを許可されたセキュアな環境でやり取りをする」などの個別対処が必要です。

先述の通り、iPhone・Android問わずスマホにはもともとセキュリティ機能が備わっています。場合によっては、リスクあるサイトへのアクセス時に危険性を示す警告が表示され、被害を回避できるケースもあるでしょう。

しかし、だからといって個人でのセキュリティ対策が不要になるというわけではありません。

ここからは、スマホにはセキュリティ対策が施されているのにも限らず、追加で対応策が必要とされる理由を詳しく説明します。

スマホに追加のセキュリティ対策が必要な理由は、スマホを意図的に狙ったウイルスやマルウェアが増えているためです。

近年、スマホを狙ったウイルスや、マルウェアによる被害が増加傾向にあります。なかには、App storeやGoogle Playでインストールできるソフトウェアからも、ウイルスやマルウェアが発見された例もあり、追加でのセキュリティ対策が不可欠です。

スマホはアプリをインストールする際のリスクに備え、セキュリティ対策を強化する必要があります。

アプリの入手経路は、基本的にApp storeやGoogle Playといったアプリ配信ストア経由と、ほかのWebサイト経由の2パターンです。App storeやGoogle Playでは、各種ダウンロードサービスの審査を通過したアプリのみを取り扱っているため、見るからに怪しいアプリは淘汰されます。

一方で、外部のWebサイトや開発者が公開している場合は審査がないため、信用性が低いと言えます。ただし、近年はApp storeやGoogle Playでも無断で個人情報を収集するコードが組み込まれた悪質なアプリや、開発者がセキュリティ承認後に遠隔で悪意のあるコードを公開するなどの手口が発見されており、公式ストアからアプリを入手した場合でも安心はできません。

Androidの場合は、より強固なセキュリティ対策が必要とされています。なぜなら、Android OSのソースコードが一般に公開されているためです。

スマホは世界中の技術者の意見を取り入れ、機能の向上や脆弱性の改善が行われています。しかし、一部の悪質なユーザーによってコードが書き換えられた事実も確認されており、何らかの対策を施さなければセキュリティリスクにさらされてしまいます。

個人情報の流出・漏洩によって起こり得る個人への被害には、「詐欺サイトにつながる迷惑メール・DMが届く」「住所・氏名といった個人情報やクレジットカード情報が不正利用される」などが挙げられます。

また、悪質な攻撃者が狙うのは個人だけではありません。なかには企業を狙った攻撃もあり、万が一個人情報や機密情報が流出・漏洩した際は、個人よりも大きな被害を受ける可能性があるため注意が必要です。

ここからは、スマホからの個人情報の流出によって企業が被りうる被害を説明します。

企業がもつ顧客データなどの重要な情報が流出・漏洩した場合、被害者から損害賠償を請求されたり、刑事罰による罰金刑を受けたりする可能性があります。

損害賠償額は事案によっても異なるものの、1人あたり数万円の賠償額が決定するケースもあるでしょう。個人情報漏洩の被害者が仮に5,000人程度いた場合、最低でも5,000万円以上の損害賠償額を支払わなければなりません。

また、企業による顧客の個人情報流出は、民事・刑事上の責任も発生します。個人情報保護法に違反した場合は、「6カ月以下の懲役または30万円以下の罰金」が課される可能性もあることに注意しておきましょう。

企業の機密情報が流出・漏洩すると、悪質な攻撃者が社内の人間になりすましてシステムを不正に利用したり、取引先企業などの第三者とコミュニケーションをとったりする可能性があります。

なりすましに気付かないまま放置すると、より多くの機密情報を盗まれる・Webサイトやデータが改ざんされるなど、あらゆる二次被害が生じるおそれがあるため注意が必要です。

顧客情報など重要なデータが流出した企業は、「情報の管理がしっかりとできていない企業」というネガティブなイメージをもたれ、ステークホルダーからの社会的信用度を大幅に低下させてしまいます。

とくに、SNSが普及した近年では情報が拡散されやすく、風評被害も起こり得るでしょう。各被害に対して適切に対処し、一刻も早く信頼回復に努めなければ、事業継続が困難となる可能性もあります。

スマホからの個人情報流出を防ぐために有効な対策法としては、下記が挙げられます。

ここからは、それぞれの対策法についてより詳しく説明していきます。

スマホによる個人情報の流出を防ぐための方法として、まず重要なのが「OS・アプリのバージョンアップ」です。

OS・アプリは、セキュリティの脆弱性を改善するために随時アップデートが実施されています。アップデートをせずに古いバージョンのOSやアプリを使用し続けた場合、悪質な攻撃者による「脆弱性をついたサイバー攻撃」を受けやすくなり、個人情報漏洩リスクが高まります。

したがって、常に最新のバージョンに維持できるよう、OS・アプリの自動アップデート更新機能を設定しましょう。自動更新の設定ができない機種は、アップデートの通知が来ていないか定期的にチェックすることをおすすめします。

マルウェアにはさまざまな種類が存在していますが、近年のセキュリティ対策ソフトは幅広い種類のマルウェアに対応しています。

セキュリティソフトを導入する際は、自社の要件を満たすセキュリティレベルか、ベンダーによるサポート体制の充実度はどうか、といった観点で比較検討するとよいでしょう。

不正なアプリをインストールすると、スマホに入っている個人情報を抜き取られる可能性があります。そのため、なるべくApp StoreやGoogle Play以外からアプリをインストールしないようにしましょう。ほかのWebサイトでは審査を行っていないアプリも多く、信頼性に欠けるためです。

とはいえ、公式ストアに悪質なアプリが一切ないわけではありません。外部からの場合はもちろん公式ストアからにおいても、アプリをインストールする際は「配布元」や「開発者の信頼性」「口コミ」を確認するようにしましょう。

アプリをインストールする際は、端末の情報へアクセスするための権限の許可を求める通知が表示されます。

アプリのなかには、端末の個人情報の収集を目的とする悪質なものもあるため、アクセス権限を安易な気持ちで許可するのは避けましょう。

アプリをインストールする際は、どのようなデータにアクセスしようとしているのかをしっかりと確認しておくことがおすすめです。

無料Wi-Fiは誰でも使える便利な機能ですが、利用時にパスワードの設定が不要となる分、セキュリティ面には優れていないという特徴があります。

また、データの暗号化が不十分であり、簡単にウイルスやマルウェアが侵入してしまう可能性もあるでしょう。そのため、業務に用いるスマホでは、無料Wi-Fiの使用を制限したり、Wi-Fiを手動で接続する設定にしたりといった対策が必要です。

情報漏洩によってIDやパスワードが流出すると、特定のWebサイトだけでなく、使い回している別のWebサイトにも侵入され、個人データや情報が盗まれるリスクが高まります。

対策として、IDやパスワードの使い回しは避けるのが基本です。さらに、パスワード管理アプリやパスワードマネージャーの利用をおすすめします。

スマホやタブレットの紛失・盗難による情報漏洩を防止するため、画面ロックの設定を行っておくことも大切です。

スマホには画面ロック機能が搭載されており、特定の数字を入力するPINコード設定や、4つ以上の英数字・記号を掛け合わせるパスワード設定を利用できます。機種によっては指紋認証や顔認証といった、生態認証でロック解除を設定することも可能です。Androidの場合は画面を順番になぞる「パターン設定」もあります。

近年、個人情報や機密情報といった重要なデータを人質にし、身代金を要求する「ランサムウェア」による被害が増加しています。

ランサムウェアはもちろん、ウイルスやマルウェアの感染が発覚した際は端末の初期化を行いましょう。

ただし、初期化すると端末内のデータはすべて消去されてしまうため、保護すべきデータは日ごろから定期的にクラウドや外部メディアなどにバックアップを取っておくことをおすすめします。

スマホからの誤送信による個人情報の流出を防ぐためには、重要な情報が含まれたメッセージの送信前に、内容と送信先の再確認を徹底して行いましょう。

加えて、社外へ個人情報や機密情報を送信する場合は、本人のみならず、宛先・添付ファイル・本文などを第三者が確認してから送信する。といった社内ルールを設け、これを順守するという方法もあります。

個人情報が含まれたファイルを添付するときは、ファイルにパスワードを設定し、相手に口頭や電話などで伝えることもおすすめです。

チャットツールなどでやり取りをする場合は、メッセージを送信する相手を間違えてしまわないよう、トークルームの背景を個別に設定し、誰とのトーク画面なのかを瞬時に把握しやすいように工夫するのもよいでしょう。

なお、これらは社員一丸となって行わなければならないセキュリティ対策です。社用携帯を渡している従業員やテレワーク勤務をする従業員に向けて、会社としての利用ルールを策定したりセキュリティ教育を行ったりすることも重要と言えます。

アカウントページにログインする必要のあるWebサービスにおいては、二段階認証（二要素認証）の設定・利用も欠かせません。二段階認証とは、Webサービスのログイン時に、2つ以上のパターン・プロセスで行う認証のことです。

たとえID・パスワードを突破されたとしても、次なる段階の認証を突破できなければアカウントにログインできなくなるため、なりすましによる被害リスクを大幅に減らせます。

スマホが有するセキュリティ対策のほか、独自での強固なセキュリティ対策を実施していても、セキュリティトラブルに巻き込まれる可能性は決してゼロではありません。

万が一セキュリティインシデントが発生した場合は、さらなる被害を防ぐためにも迅速な対応が求められます。

そこで最後に、スマホにおけるセキュリティトラブルに巻き込まれたときの具体的な対処法を解説します。

セキュリティの警告が表示されたときには、まず警告の信頼性を確認しましょう。

悪質な第三者が意図的に警告を表示し、ユーザーに画面をタップさせて端末の情報を抜き取ったり、悪質なアプリをインストールさせて金銭を要求したりと、詐欺も発生しています。

信頼性を確認せずにセキュリティ警告を鵜呑みにすると、ウイルスに感染するリスクがあるため注意しましょう。

インターネットが接続されている状態では、外部からの攻撃にさらされるリスクがあるため、使用しないときはインターネットを遮断しておくことをおすすめします。

スマホのインターネットを遮断する最も簡単な方法は、機内モードをオンにすることです。機内モードにすると、悪質なアプリをインストールした場合でも端末のデータの流出を抑えられます。

しかし、機内モードのままでもWi-Fiに接続することは可能なため、インターネットを確実に遮断したいときはWi-Fi設定もオフにすることを忘れないでおきましょう。

セキュリティ対策に有効なソフトやアプリを利用すれば、端末がウイルスやマルウェアに感染しているか確認できます。

セキュリティソフトのなかには、不審なアプリや不正なプログラムを削除する機能が搭載されている製品・サービスもあります。

自社で使用している端末が非対応の場合は、新しくインストールしたアプリを削除しましょう。削除できない場合は、セーフモードを起動させるとアプリが消去されます。

スマホにマルウェア感染の疑いがある場合は、使用しているすべてのWebサービスやアプリのIDやパスワードを変更しましょう。

デバイスの情報が流出した場合、IDやパスワードを変更せずに利用し続けると、悪質な第三者に悪用されるおそれがあります。社用スマホの乗っ取りによって社内ネットワークへ不正アクセスされると顧客情報や機密情報などが流出する可能性が高まるため、早急に行動することが大切です。

端末の動作が復旧しない場合は、初期化を実施しましょう。

端末のデータを初期化すると、保存データがない工場から出荷したばかりの状態に戻すことができます。初期化によって削除されたデータは復旧できなくなるため、万が一の事態に備えて事前にデータのバックアップを取っておきましょう。

ウイルスやマルウェアは年々進化しており、スマホのOSとアプリの定期的なアップデートが欠かせません。また、App StoreやGoogle Playでも悪質なアプリが少なからず発見されているため、アプリをインストールする際はセキュリティの警告を確認するなどの個人情報漏洩対策を取りましょう。

万が一、スマホでセキュリティトラブルに巻き込まれた場合は、セキュリティソフトやアプリでスキャンを実施するほか、IDやパスワードを変更する、端末を初期化することで二次被害を防ぐことが可能です。

ビジネス用の端末を支給する場合、複数の端末を社内の限られたリソースで導入・管理・運用することは、担当者にとって大きな負担となります。BPOサービス（ビジネスプロセスアウトソーシングサービス）を利用するというのも1つの方法です。

KDDI まとめてオフィスでは、スマホ・タブレット・パソコンなどのデバイス、MDMから、セキュアな通信環境の構築に至るまで、企業のお悩みを解決するあらゆるサービス・ソリューションをワンストップでご提供しています。気になることがございましたら、ぜひお気軽にお問い合わせください。