個人情報の漏洩、流出の原因や事例について解説
個人情報漏洩は、外部からの攻撃や従業員の不正やミスなどさまざまな要因で発生します。なかでもサイバー攻撃などが原因の大規模な情報漏洩は増加傾向で、セキュリティの強化は企業にとって重要な課題です。この記事では、情報漏洩や流出の原因や件数、情報漏洩を防ぐためのシステムなどを説明します。また、近年の情報漏洩や情報漏洩してしまったらどうなるのかについては、実際の事例をもとに解説します。
ノートン 360の無料体験版をお試しいただけます
30日間無料体験版では包括的なウイルス対策、デバイスセキュリティ機能、オンラインプライバシー機能が利用いただけます。
個人情報の漏洩、流出とは?
個人情報とは特定の個人を識別できる情報で、企業や組織の保有する顧客や従業員の個人情報が外部に漏れることを個人情報の流出といいます。
個人情報には以下のようなものが該当します。
- 住所
- 氏名
- 生年月日
- 電話番号
- メールアドレス
- 顔写真
- マイナンバー
単独では個人を特定できない電話番号や生年月日なども、氏名や顔写真などと組み合わせれば個人を識別できるため、個人情報として取り扱われます。
個人情報の漏洩はプライバシー侵害にあたるだけでなく、アカウントの乗っ取りやクレジットカードの不正利用、詐欺などの事件に発展する恐れがあります。
個人情報の漏洩、流出の主な原因は?
個人情報漏洩、流出の主な原因は次の3つです。
- 外部攻撃
- 内部不正
- 人的ミス
近年の個人情報漏洩で最も重大なのが、外部攻撃(サイバー攻撃)によるものです。OSやソフトウェアなどの脆弱性を悪用した不正アクセスやメール等によるマルウェア感染により、個人情報を含む重要な情報を盗み出します。
内部不正とは、企業の関係者が個人情報や機密情報を不正に持ち出すことを指します。例えば、個人情報にアクセスできる社員が情報を不正に持ち出したり、退職者が転職先に機密情報を持ち出すことなどが挙げられます。
人的ミスとは意図せず情報を流出させてしまうことです。例えば、メールの送信先を間違えて機密情報を送ってしまう、会社のパソコンやUSBメモリなどを社外で置き忘れたり紛失する、Webの設定ミスにより第三者が情報を閲覧可能になる、などがあります。
近年の個人情報の漏洩の事故件数は?(国内)
出典:東京商工リサーチ|2023年「上場企業の個人情報漏えい・紛失事故」調査
株式会社東京商工リサーチによると、2023年に上場企業とその子会社が公表した個人情報の漏洩・紛失事件の発生件数は175件で、2012年の調査開始以降最多となりました。また、大型の事件が相次いだことから漏洩した個人情報の総数も増え、4,0908,718人分とこちらも過去最多を記録しました。
個人情報が漏洩、流出するとどうなるのか?
個人情報を漏洩させた企業への影響
企業が個人情報を漏洩させると、次のような悪影響が想定されます。
- 社会的信用の低下
- 営業機会の損失
- 顧客からの損害賠償請求
- 法的責任を負う
- 情報漏洩対策費用の増加
情報漏洩がニュースなどで流れると、情報管理やセキュリティ対策への不信感が高まります。これにより企業イメージやブランド価値が損なわれ、営業機会や社会的信用を失う可能性があります。
また、顧客情報が流出すると、顧客から損害賠償請求を受けるなどの法的措置が取られるケースもあります。
2022年4月には個人情報保護法が改正
2022年4月の個人情報保護法改正により個人情報の取り扱いが厳格化され、問題があった場合の企業や事業者の責務が追加されました。漏洩などにより個人の権利や利益を害する恐れがある場合は、個人情報保護委員会への報告と本人へ通知が必要です。
例えば、次のような事例が発生した際は、報告・通知の義務があります。
- ECサイトからクレジットカード番号を含む個人データが漏洩した
- 不正アクセスにより個人情報が漏洩した
- サイバー攻撃により個人情報が暗号化され、復元できなくなった
- 従業者が顧客の個人データを不正に持ち出して第三者に提供した
個人情報が漏洩した個人への影響
- 個人情報が漏洩した個人には、次のような悪影響が想定されます。
- アカウントが乗っ取られたりなりすまされる
- クレジットカードの不正利用
- 個人情報の不正売買
- 新たなサイバー攻撃の踏み台にされる
- 特殊詐欺などの標的
IDやパスワードが流出すると、アカウントが乗っ取られてサービスを不正利用される可能性があります。アカウントが乗っ取られると、新たな情報を盗み出すなど別の犯罪に利用されるケースも考えられます。
また、流出した情報は売買されることも多く、クレジットカードの不正利用やサイバー攻撃、特殊詐欺といったさらなる犯罪に巻き込まれる危険もあります。
個人情報が漏洩、流出した最新事例6選
外部攻撃による個人情報漏洩、流出事例
KADOKAWAへのサイバー攻撃による個人情報漏洩
企業名 |
KADOKAWAグループ |
被害時期 |
2024年6月 |
原因 |
サイバー攻撃とランサムウェア攻撃 |
被害内容 |
VtuberやN校生、ドワンゴ従業員などおよそ25万人分の個人情報等 |
大手出版社KADOKAWAが大規模なサイバー攻撃を受け、ランサムウェアによってサーバーのデータが暗号化されました。子会社のドワンゴが運営する「ニコニコ動画」がサービス停止に追い込まれたほか、取引先や従業員などおよそ25万人分の個人情報の流出が確認されています。
ネイバー子会社のマルウェア感染を一因とする個人情報流出
企業名 |
LINEヤフー |
被害時期 |
2023年11月 |
原因 |
マルウェア感染に起因したサイバー攻撃 |
被害内容 |
LINEアプリの利用者情報など約52万件 |
LINEヤフーのサーバーが攻撃され、LINEアプリの利用者情報など約52万件が流出しました。攻撃の一因となったのは、大株主である韓国ネット大手のネイバーの子会社の取引先のパソコンがマルウェアに感染したこととされています。LINEヤフーはネイバーと一部の認証基盤を共通化しており、これがサイバー攻撃への糸口になったと見られています。
内部不正による個人情報漏洩、流出事例
プルデンシャル生命保険元社員による顧客情報の持ち出し
企業名 |
プルデンシャル生命保険 |
被害時期 |
2023年9月 |
原因 |
退職時の顧客管理リスト持ち出し |
被害内容 |
979名分の顧客情報 |
プルデンシャル生命保険の元社員が退職時に印刷した顧客管理リストを持ち出し、転職先での営業活動に一部使用していたことが判明しました。持ち出した個人情報は契約者と被保険者を合わせた979名分で、うち8名に営業電話したものの事件発覚後にすべて破棄されました。
NTT西日本の元派遣社員による900万件を超える個人情報流出
企業名 |
NTT西日本 |
被害時期 |
2013年7月~2022年4月 |
原因 |
派遣社員による顧客情報持ち出し・流出 |
被害内容 |
69のクライアントの顧客情報約928万件 |
NTT西日本の子会社に派遣されていた運用保守業務従事者がシステム管理者アカウントを悪用してサーバーにアクセスし、顧客情報を約10年間にわたり不正に持ち出しました。流出した顧客情報は約928万件で、名簿業者へ売却して2,000万円以上受け取っていたとみられています。
人為ミスによる個人情報漏洩、流出事例
トヨタのクラウド誤設定により約241万人分の顧客情報流出の可能性
企業名 |
トヨタ |
被害時期 |
2023年5月 |
原因 |
クラウドの誤設定により個人情報が外部からアクセスできる状態になった |
被害内容 |
車載機ID、車台番号、位置情報など約241万件の個人データ |
関連会社が提供する車両利用者向けサービスで、クラウドの設定ミスにより個人データが外部からアクセスできる状況になりました。流出した可能性があるのは車載機ID、車台番号、位置情報などで、これらが個人情報として認識されておらず、適切に扱われていなかったことが一因と考えられます。
JTBのメール誤送信による個人情報漏洩
企業名 |
JTB |
被害時期 |
2023年8月 |
原因 |
個人情報が閲覧できるURLを記載したメールを送付 |
被害内容 |
56組(62名)の氏名、メールアドレス、電話番号、年代、居住地(都道府県名) |
都の実施するワークショップの受託者であるJTBは、申込者に対して申込者の個人情報が閲覧できるURLを誤って記載したメールを送付しました。メールを受け取った申し込み者からの指摘によって直ちにURLを無効化しましたが、情報共有を怠ったことでほかの対象者への対応が遅れました。
ノートン 360の無料体験版をお試しいただけます
30日間無料体験版では包括的なウイルス対策、デバイスセキュリティ機能、オンラインプライバシー機能が利用いただけます。
情報漏洩してしまったらどうなる?
実際に個人情報を漏洩するとどのようなことが起こるのでしょうか。2011年のソニー個人情報流出事件を例に詳しくみていきましょう。
①概要
2011年4月、ソニーは自社ネットワークサービスから利用者の個人情報が流出したと公表しました。流出件数は7700万件で、氏名、住所、メールアドレス、生年月日、性別、ログインID、パスワードなどの個人情報が流出。また、クレジットカード番号や有効期限も漏洩の可能性があるとされました。
②原因
直接的な原因はサーバーの脆弱性を狙った不正アクセスですが、既知の脆弱性にも関わらず同社が認識していなかったことも大きな問題といわれています。
③被害額
当時のソニー会長兼CEOは、北米ユーザーに対して一人あたり最大100万ドルの補償制度を導入すると発表しました。また、2013年1月には、英政府機関の情報コミッショナー事務局(ICO)が欧州法人に対して25万ポンド(約3,800万円)の罰金支払いを命じました。
また、事件の影響によりゲームの配信が延期・停止されたほか、ユーザー離れも指摘されています。これらの直接的・間接的被害を合わせると、被害額140億円にも及ぶといわれています。
④事後対応
4月17日~19日に不正アクセスが確認されたものの、情報漏洩の可能性が公表されたのは4月27日でした。公表まで1週間かかったことに批判が集まり、5月1日に緊急記者会見がおこなわれました。
被害者への補償として、一部コンテンツの無料配信をはじめとしたサービスが提供されました。また、再発防止のため、セキュリティ強化やソフトウェアのバージョンアップ、データセンター移管なども実施されました。
▼以下のページでは、そのほかの事例も確認できます。
情報漏洩を防ぐためのシステム導入を
大規模な個人情報漏洩の原因は、外部攻撃によるものがほとんどです。そこで、ここからは外部攻撃から情報を守るために有効なシステムについて解説します。
1. セキュリティソフトの導入
外部攻撃による情報漏洩を防ぐためにまず導入したいのが、セキュリティソフトです。
ネットワークに接続された機器は、マルウェア感染・不正アクセス・ランサムウェアなどさまざまなリスクにさらされています。これらの攻撃を受けると、情報を盗み取られる・暗号化される・消去されるなどの恐れがあるため、セキュリティソフトの導入は重要です。
セキュリティソフトを選ぶ際のポイントは、知名度や値段ではなく、自社のニーズに合ったものを選ぶことです。導入する際は次の点に注目しましょう。
動作が軽く使いやすいか
自社の業務ニーズに合った機能を備えているか
頻繁にアップデートされるか
導入と更新コストが予算内に収まるか
最近ではパソコンだけでなく、スマートフォンやIoT機器を狙ったサイバー攻撃も増加傾向です。このためセキュリティソフトは、スマートフォンやタブレットなどパソコン以外のデバイスへの導入も必要です。
不正アクセス検知システムの導入
セキュリティソフトと合わせて検討したいのが、アクセス検知システムの導入です。
不正アクセスとは、アクセス権限を持たない者がサーバーや情報システムの内部へ侵入する行為を指します。情報漏洩だけでなくサーバーや情報システムの停止やデータ改ざんなどの原因となるため、企業にとっては非常に大きな脅威です。
不正アクセスからネットワークを守るのに有効なのが、不正アクセス検知システムです。外部からの不正なアクセスを検知した場合に管理者に通知したり、通信を遮断します。多くの企業ではファイアウォールなどによる対策をおこなっているとは思いますが、もしも突破されてしまった際の備えとして、不正アクセス検知システムの導入がおすすめです。
また、近年ではDDoS攻撃やポートスキャンといった手動による不正アクセスだけでなく、ロボットを使ったブルートフォース(総当たり)攻撃も増えています。従来のセキュリティシステムでは突破される可能性がありますが、不正アクセス検知システムを導入することでより強力なセキュリティ体制を展開できます。
まとめ
個人情報漏洩の主な原因は、外部攻撃・内部不正・人的ミスで、このうち外部攻撃は大規模な漏洩につながるケースが多いです。情報漏洩が発生すると、サービス停止や顧客からの損害賠償請求といった直接的な被害だけでなく、社会的信用やブランドイメージの低下など間接的な被害も想定されます。このような事態を防ぐためには、セキュリティソフトや不正アクセス検知システム検知システムの導入により、ネットワークを保護することが大切です。
また、情報漏洩は社内ルールの不備や従業員のセキュリティリテラシー不足によっても発生します。情報セキュリティ教育の実施、情報取り扱いルールの整備や適切な管理の徹底といった対策を講じることも重要です。
ノートン 360の無料体験版をお試しいただけます
30日間無料体験版では包括的なウイルス対策、デバイスセキュリティ機能、オンラインプライバシー機能が利用いただけます。
編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。