【2022年最新】個人情報の流出12事例!原因と対策を徹底解説
-
2023.3.13 (月)Posted by コワークストレージ窓口
個人情報が流出すると、会社は大きな損害を被ることになり、経営も危ぶまれるような事態に追い込まれる可能性があります。なぜなら、個人情報の流出の対応には莫大な費用がかかることもあるからです。
【個人情報を流出した場合の損害賠償例】
|
対象者数
|
1人あたりの支払額
|
合計
|
|
10000人
|
3500円
|
3500万円
|
そのため、会社レベル・個人レベルの両方でしっかりと管理しなければなりません。
近年起こった個人情報流出の事例をピックアップすると、以下の通りです。
|
発生日時
|
原因
|
事例
|
|
2022/07/01
|
ウイルス感染
|
大手通信会社のパソコン1台がEmotetに感染した影響で、サービス利用者のメールアドレス26県・合計2,312件が流出した。 |
|
2022/07/02
|
誤送信
|
地方の鉄道株式会社の子会社が受託した関連会社の作業ミスで、ウェブサイト会員1,408名のメールアドレスが閲覧可能な状態のまま送信した。 |
|
2022/06/23
|
紛失
|
関西の自治体の受託事業者関係者が、市から持ち出した全市民約46万人等が記録されたUSBメモリを外部に持ち出し紛失した。 |
|
2022/06/15
|
サーバー攻撃
|
スニーカーやハイブランド商品を扱う大手フリーマーケット会社のECサイトがサイバー攻撃を受け、被害サービスのデータベースに登録されていた顧客情報約275万件および金融機関情報10件が流出した可能性があると発表した。 |
|
2022/5/26
|
ウイルス感染
|
大手酒造会社のサーバーがランサムウェアに感染し、同社や子会社の保有する顧客や取引先等の情報データ約2万7,700件が外部流出した可能性があると明らかにした。 |
|
2022/5/24
|
システムの脆弱性
|
大手和食メーカーのオンラインショップのシステムに脆弱性があり、ユーザーのカード情報1万4,127件が流出した可能性があると明らかにした。 |
|
2022/5/13
|
誤送信
|
大手不動産会社の従業員が、会員ユーザー向けに発信した電子メールを誤送信し、対象者のメールアドレス1,023件が流出した。 |
|
2022/4/8
|
誤送信
|
大手不動産系列のガス会社で、委託先の保安会社とやり取りする際に誤送信が発生し、1万2,418名分の個人情報が流出した。 |
|
2021/9/15
|
目的外使用
|
大手自動車株式会社の従業員が、顧客から収集した個人情報を目的外使用し、同意を得ていないにもかかわらず同社提供のウェブサイト(系列の販売会社を含め合計27社)に会員登録していた事実を明らかにした。 |
|
2021/6/23
|
不正持ち出し
|
大手不動産会社の顧客リスト7,000件が外部企業に流出し、過去東海エリアで物件を購入した顧客に対して勧誘行為が確認されたと明らかにした。 |
|
2021/3/29
|
不正持ち出し
|
大手不動産会社の元従業員が、システムに不正アクセスし、顧客約5,000名分の氏名やマンション名等の個人情報を不正に持ち出し流出させたと明らかにした。 |
|
2014/6/27※
|
内部不正
|
大手教育事業会社の業務委託先元社員が、弊社お客様情報を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却していたことが判明した。 |
※2014年の事例は8年前のものですが、いまだ記憶に新しい大きな事例のため、あえて取り上げました。
これを見ると、実際に多い原因は下記3つだとわかります。
|
この記事のポイント
|
|
外部からの攻撃
ヒューマンエラー 内部不正 |
中でも、近年の個人情報の流出の原因は、ウイルス感染や不正アクセスが約半数を締めています。
参考:東京商工リサーチ
東京商工リサーチによると、2021年に上場企業とその子会社で個人情報の漏洩・紛失事故を公表したのは120社、事故件数は137件、流出した個人情報は574万9,773人分にも及びました。
この数字は、2012年以降の10年間では過去最多に上ります。今後はより複雑なウイルスが開発され、いつ感染するか他人事ではありません。
しかし、近年リモートワークが進んで、上記のような情報を管理することが難しくなってきています。そこで、本記事ではさまざまな事例を通して以下の内容をお伝えします。
|
▶この記事でわかること
|
|
最後まで読むと、万が一漏洩してしまった場合の初期対策や個人情報の漏洩を防ぐ方法が分かり、会社を守ることができますよ。
1. 個人情報が流出した最新の13事例
本章では、2022年7月時点での最新の個人流出事例を、以下の3つの原因に分けて解説します。
|
個人情報流出の主な原因4つ
|
|
ひとつずつ説明します。
1-1. ヒューマンエラーが原因で個人情報が流出した事例4つ
ヒューマンエラー(人的ミス)が原因で個人情報が流出した事例は以下のとおりです。
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2022/07/02
|
地方の鉄道株式会社
|
1,408名
|
誤送信
|
2022年7月2日、同社の子会社が受託した関連会社の作業ミスで、ウェブサイト会員1,408名のメールアドレスが閲覧可能な状態のまま送信したと明らかにした。 |
|
2022/06/23
|
関西の自治体
|
個人情報46万517人分
|
USB紛失
|
住民税非課税世帯に対する臨時給付金支給事業の受託事業者関係者が、市から持ち出した全市民約46万人等が記録されたUSBメモリを外部に持ち出し、立ち寄った飲食店で酒に酔って紛失したと明らかにした。
|
|
2022/5/13
|
大手不動産株式会社
|
1,023件
|
誤送信
|
2022年5月13日、従業員が同社の展開する実証事業の会員ユーザー向けに発信した電子メールを誤送信し、対象者のメールアドレス1,023件が流出したと明らかにした。
|
|
2022/4/8
|
大手不動産系列のガス会社
|
1万2,418名
|
誤送信
|
2022年4月8日、緊急対応に備えるため委託先の保安会社とやり取りする際に誤送信が発生し、1万2,418名分の個人情報が流出したと明らかにしました。
|
ヒューマンエラーが原因で、個人情報が流出してしまう事例でよくあるのが「誤送信」です。例えば、上記の大手不動産会社の事例の詳細は、以下のようになっています。
【大手不動産会社の事例】
|
流出の原因
|
| メールの誤送信(メール発信前の送信形式の指摘ミス)によるもの。 |
|
流出が発覚した経緯
|
|
2022年5月12日、同社従業員が、会員ユーザーに外部一斉メールを発信する際、本来「Bcc」にすべきところを「宛先(To)」に設定するミスを起こした。 これにより、ユーザー間でお互いのメールアドレスが表示されてしまう事態が1,023件発生。送信から約90分後に受信者から指摘を受け、流出が明らかになった。 |
|
初期対応
|
| 対象となった会員ユーザーに向けて電子メールを発信し、謝罪とともに誤送信メールの削除を依頼した。 |
|
個人情報の流出で受けた可能性のある影響
|
|
上記の事件後、同社は事業にかかわる全従業員に対する周知や教育を通じて再発を防止すること、外部向けの電子メールを送信する際に遵守すべき事項を再整備することなどの対策を発表しています。
1-2. サイバー攻撃など外部からの攻撃で個人情報が流出した事例4つ
サイバー攻撃など外部からの攻撃が原因で個人情報が流出した事例も多いです。ハッキングやデータの改ざんの他、次から次へと出てくる新種のウイルスは後を絶ちません。
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2022/07/01
|
大手通信会社
|
2,312件
|
Emotet感染
|
2022年7月1日、同社が自治体向けに提供している電子申請サービスのヘルプデスク業務に使用しているパソコン1台がEmotetに感染した影響で、サービス利用者のメールアドレス26県・合計2,312件が流出したと明らかにした。 |
|
2022/06/15
|
スニーカーやハイブランド商品を扱う大手フリーマーケット会社
|
約275万件
|
サイバー攻撃
|
同社が運営するマーケットプレイスが何者かのサイバー攻撃を受けた影響で、被害サービスのデータベースに登録されていた顧客情報約275万件および金融機関情報10件が流出した可能性があると明らかにした。
|
|
2022/5/26
|
大手酒造会社
|
約2万7,700件
|
ランサムウェア感染
|
2022年5月26日までに、同社の運用するサーバーがランサムウェアに感染した影響から、同社や子会社の保有する顧客や取引先等の情報データ約2万7,700件が外部流出した可能性があると明らかにした。
|
|
2022/5/24
|
大手和食メーカー
|
1万4,127件
|
システム改ざん
|
2022年5月24日、同社が運営するオンラインショップのシステムに脆弱性があり、過去被害サイトにてクレジットカード決済したユーザーのカード情報1万4,127件が流出した可能性があると明らかにした。
|
ウイルス感染では、ランサムウェア感染やEmotet感染などのウイルス攻撃の被害による個人情報流出が目立ちます。ハッカーなどによるサイバー攻撃やシステム改ざんも多く発生しています。
大手和食メーカーの事例の詳細を例に挙げてみましょう。
【大手和食メーカーの事例】
|
流出の原因
|
| 何者かによるシステムの改ざんによる。 |
|
流出が発覚した経緯
|
|
同社は2022年3月7日、一部クレジットカード会社より被害サイトからカード情報が流出している可能性について連絡を受けていた。このため、同社が2022年3月14日に第三者調査機関に調査を依頼したところ、被害サイトに内在していた脆弱性を何者かが利用し、情報を窃取していた事実が判明した。 |
|
初期対応
|
|
公表日より、対象者に個別に連絡を取り謝罪。流出および不正利用について注意を促した。 |
|
個人情報の流出で受けた可能性のある影響
|
|
同社は公表までに、調査会社からの報告およびカード会社との連携など、被害者対応準備を進めていたため、発生から公表に至るまで期間が経過してしまったという経緯があります。
早めに公表していれば、ユーザー各個人でクレジットカードの使用を止めるなどの対策もできたと思われます。
調査では、個人情報が格納されたフォルダにも外部からのアクセスが可能な状態だったことが分かっており、同企業は社会的信用をかなり失ってしまったと言えるでしょう。
1-3. 故意の持ち出しなど内部不正で個人情報が流出した事例4つ
故意の持ち出しなど、内部不正が原因で個人情報が流出した事例は以下のとおりです。
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2021/9/15
|
大手自動車株式会社
|
5,797件
|
目的外使用
|
顧客から収集した個人情報を目的外使用し、同意を得ていないにもかかわらず同社提供のウェブサイト(系列の販売会社を含め合計27社)に会員登録していた事実を明らかにした。 |
|
2021/6/23
|
大手不動産株式会社
|
7,000件
|
不正持ち出し
|
顧客リストが外部企業に流出したことにより、過去東海エリアで物件を購入した顧客に対して、流出情報を利用した形での勧誘行為が確認されたと明らかにした。
|
|
2021/3/29
|
大手不動産株式会社
|
5,000件
|
不正持ち出し
|
元従業員が、業務管理システムにアクセスし、顧客約5,000名分の氏名やマンション名等の個人情報を不正に持ち出し、外部流出させたと明らかにした。
|
|
2014/6/27
|
大手教育事業会社
|
約3,504万件分
|
内部不正
|
業務委託先元社員が、弊社お客様情報を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却していたことが判明したことを発表した。
|
悪用目的はもちろんですが、個人情報を別の目的で利用するために故意に持ち出すことは禁止されています。たとえ社外に持ち出していなくても、契約内容以外で得た個人情報を他の業務目的で使用することも禁止されています。
大手自動車メーカーの事例を詳しく見てみましょう。
【大手自動車メーカーの事例】
|
流出の原因
|
| 顧客から収集した個人情報を目的外使用した。 |
|
流出が発覚した経緯
|
|
同社は車両を購入したユーザーやアンケートに回答したユーザーから個人情報を収集し、同意を得ていないにもかかわらず同社提供のウェブサイトに無断で入力し会員登録をしていた。 行っていたのは系列の販売会社を含め合計27社で、被害人数は合計5,797人にも及ぶ。同社では2021年8月にも同様の事例が発生していた。 |
|
初期対応
|
|
対象となった会員ユーザーに謝罪のうえ登録を削除。今後は顧客の同意がなければ登録できないようにシステムを改修すると発表した。 |
|
個人情報の流出で受けた可能性のある影響
|
|
同社では、上記の前月にも同じことが起こっており、ニュースを賑わせ社会的信用が低下してしまいました。同社では顧客の同意がなければ登録できないよう、費用を投入してシステム自体を改修しました。
※本章に記載されている会社名、サービス名、商品名は、各社の商標または登録商標です。
2. 【事例から分かる】個人情報の流出の原因5つ
1章ではおおまかな原因別に個人情報の流出事例を紹介しましたが、例えばヒューマンエラー1つとっても、細かく見ると「誤送信」「紛失」など、個人情報の流出の原因はひとつではないことがおわかりいただけたかと思います。
そこで、本章では原因をより詳しく解説します。原因が分かれば事前に個人情報の流出防止の対策が立てられるからです。
細かな原因は、以下の通りです。
|
個人情報の流出の原因
|
|
ひとつずつ解説します。
2-1. メール誤送信によるもの
ヒューマンエラーでもっとも多いのは、「メール誤送信」によるものです。なぜメール誤送信が発生したのかについては、以下の原因に分けられます。
|
メール誤送信による個人情報流出の詳しい内容
|
|
宛先や添付ファイルに関するミスは、単なる宛先の誤りや、重要な添付ファイルがあるにもかかわらず関係のない人に送信してしまう、あるいは添付ファイルをつけたまま転送してしまうといったミスがあります。
「Bcc」「To」に関しては、「Bcc」にすれば他のメール受信者のメールアドレスは表示されません。しかし、「To」にするとメール受信者に全ての宛先が表示されてしまいます。この違いをよく理解していないと、メールアドレスという個人情報が流出してしまうのです。
メールの誤送信をしないよう、社内教育をもう一度見直すべきです。
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2022/07/02
|
地方の鉄道株式会社
|
1,408名
|
誤送信
|
2022年7月2日、同社の子会社が受託した関連会社の作業ミスで、ウェブサイト会員1,408名のメールアドレスが閲覧可能な状態のまま送信したと明らかにした。 |
2-2. USBやパソコンなどの紛失によるもの
USBやパソコンの紛失も時折事例があり、ニュースを騒がせていますね。USBやパソコンに重要なデータを記憶させると、個人レベルで管理できてしまい危険です。
|
紛失による個人情報流出の詳しい内容
|
|
【該当する事例】
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2022/06/23
|
関西の自治体
|
個人情報46万517人分
|
USB紛失
|
住民税非課税世帯に対する臨時給付金支給事業の受託事業者関係者が、市から持ち出した全市民約46万人等が記録されたUSBメモリを外部に持ち出し、立ち寄った飲食店で酒に酔って紛失したと明らかにした。 |
顧客情報などの個人情報に限らず、大切な情報はたとえ重役クラスであっても、個人で管理できないように工夫・徹底することが重要です。
具体的な方法は、「5. 【事例から分かる】個人情報の流出を防ぐ8つの対策」で解説します。
2-3. 設定ミスによるもの
設定ミスによる個人情報流出とは、以下のようなものです。
|
紛失による個人情報流出の詳しい内容
|
|
※CDNとは、世界中のネットワーク上のサーバーにコンテンツをコピーし、サービス利用者にもっとも近いサーバーが代理でリクエストを返す仕組みのこと です。
上記のような設定ミスは、CDNやホームページを簡単に作成できるCMSなどのツールの使い方をよく理解していない人が作業したことによって発生したものです。設定を自社で行うツールの場合は、チェックボタン1つで重大な設定ミスが発生してしまいます。
ツールを導入する際は、どこまでが委託会社の作業範囲で、自社で設定する必要があるものは何か、詳しく説明を聞くことが大切です。
【該当する事例】
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2022/5/13
|
大手不動産株式会社
|
1,023件
|
誤送信
|
2022年5月13日、従業員が同社の展開する実証事業の会員ユーザー向けに発信した電子メールを誤送信し、対象者のメールアドレス1,023件が流出したと明らかにした。 |
2-4. 社員の教育不足・知識不足によるもの
社員の教育不足や知識不足によるものは、そもそも個人情報に対しての認識不足が招くと言って良いでしょう。
社員の教育不足や知識不足は、「2-1. メール誤送信によるもの」や「2-2. USBやパソコンなどの紛失によるもの」「2-3. 設定ミスによるもの」にも共通します。
【該当する事例】
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2022/07/02
|
地方の鉄道株式会社
|
1,408名
|
誤送信
|
2022年7月2日、同社の子会社が受託した関連会社の作業ミスで、ウェブサイト会員1,408名のメールアドレスが閲覧可能な状態のまま送信したと明らかにした。 |
|
2022/06/23
|
関西の自治体
|
個人情報46万517人分
|
USB紛失
|
住民税非課税世帯に対する臨時給付金支給事業の受託事業者関係者が、市から持ち出した全市民約46万人等が記録されたUSBメモリを外部に持ち出し、立ち寄った飲食店で酒に酔って紛失したと明らかにした。 |
|
2022/5/13
|
大手不動産株式会社
|
1,023件
|
誤送信
|
2022年5月13日、従業員が同社の展開する実証事業の会員ユーザー向けに発信した電子メールを誤送信し、対象者のメールアドレス1,023件が流出したと明らかにした。 |
|
2022/4/8
|
大手不動産系列のガス会社
|
1万2,418名
|
誤送信
|
2022年4月8日、緊急対応に備えるため委託先の保安会社とやり取りする際に誤送信が発生し、1万2,418名分の個人情報が流出したと明らかにしました。 |
個人情報とは何を指すのか、個人情報が流出するとどのような実害が起こるのかを把握していないと、上記のようなミスを犯してしまいます。
個人情報が流出することで起こる実害については、「3.【事例から分かる】 個人情報の流出で企業側におよぶ実害」と「4. 【事例から分かる】個人情報の流出でユーザー側におよぶ実害」で詳しく解説します。
2-5. セキュリティの脆弱性によるもの
セキュリティの脆弱性による個人情報の流出は、サイバー攻撃や不正アクセスなどに弱いシステムやセキュリティ対策不足を指します。
冒頭でもお話したように、個人情報の流出は過去最多に上りますが、そのうち約5割はセキュリティの脆弱性が原因というデータがあります。
参考:東京商工リサーチ
次々と新たなウイルスが発生するので、セキュリティ対策と外部からの攻撃がいたちごっこです。個人情報を流出させないようにするには、セキュリティ対策をこまめに強化するしかありません。
セキュリティの強化の具体的な方法については、「5-1. 企業でできる4つの対策」で解説します。
【該当する事例】
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2022/07/01
|
大手通信会社
|
2,312件
|
Emotet感染
|
2022年7月1日、同社が自治体向けに提供している電子申請サービスのヘルプデスク業務に使用しているパソコン1台がEmotetに感染した影響で、サービス利用者のメールアドレス26県・合計2,312件が流出したと明らかにした。 |
|
2022/06/15
|
スニーカーやハイブランド商品を扱う大手フリーマーケット会社
|
約275万件
|
サイバー攻撃
|
同社が運営するマーケットプレイスが何者かのサイバー攻撃を受けた影響で、被害サービスのデータベースに登録されていた顧客情報約275万件および金融機関情報10件が流出した可能性があると明らかにした。 |
|
2022/5/26
|
大手酒造会社
|
約2万7,700件
|
ランサムウェア感染
|
2022年5月26日までに、同社の運用するサーバーがランサムウェアに感染した影響から、同社や子会社の保有する顧客や取引先等の情報データ約2万7,700件が外部流出した可能性があると明らかにした。 |
|
2022/5/24
|
大手和食メーカー
|
1万4,127件
|
システム改ざん
|
2022年5月24日、同社が運営するオンラインショップのシステムに脆弱性があり、過去被害サイトにてクレジットカード決済したユーザーのカード情報1万4,127件が流出した可能性があると明らかにした。 |
3.【事例から分かる】 個人情報の流出で企業側におよぶ実害
さまざまな事例からおわかりいただいたように、個人情報が流出すると企業にはさまざまな実害があります。企業におよぶ主な実害は以下のとおりです。
|
個人情報の流出により企業が受ける実害
|
|
1つずつ詳しく解説します。
3-1. 損害賠償に問われる
個人情報が流出すると、損害賠償に問われる可能性があります。なぜなら、個人情報の流出は「プライバシーの損失」にあたり、民事上で法的責任(損害賠償責任)が発生するからです。
賠償金額はケースによって異なりますが、1人あたり3000円から5000円という例がもっとも多く、被害者全員に支払う分を合計すると数千万円以上になることもあります。
例えば、1万人分の個人情報を流出してしまったとします。1人あたり3500円の賠償金額を支払うように裁判所に命じられた場合、合計で3500万円を費やすことになります。
【個人情報を流出した場合の損害賠償例】
|
対象者数
|
1人あたりの支払額
|
合計
|
|
10000人
|
3500円
|
3500万円
|
実際、2014年に起こった以下の事例では、訴訟を起こした計622人に対し、1人当たり3300円(合計200万円)を支払うよう東京裁判所から判決が下されています。
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2014/6/27
|
大手教育事業会社
|
約3,504万件分
|
内部不正
|
業務委託先元社員が、弊社お客様情報を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却していたことが判明したことを発表した。 |
|
2022/06/15
|
スニーカーやハイブランド商品を扱う大手フリーマーケット会社
|
約275万件
|
サイバー攻撃
|
同社が運営するマーケットプレイスが何者かのサイバー攻撃を受けた影響で、被害サービスのデータベースに登録されていた顧客情報約275万件および金融機関情報10件が流出した可能性があると明らかにした。 |
|
2022/5/26
|
大手酒造会社
|
約2万7,700件
|
ランサムウェア感染
|
2022年5月26日までに、同社の運用するサーバーがランサムウェアに感染した影響から、同社や子会社の保有する顧客や取引先等の情報データ約2万7,700件が外部流出した可能性があると明らかにした。 |
|
2022/5/24
|
大手和食メーカー
|
1万4,127件
|
システム改ざん
|
2022年5月24日、同社が運営するオンラインショップのシステムに脆弱性があり、過去被害サイトにてクレジットカード決済したユーザーのカード情報1万4,127件が流出した可能性があると明らかにした。 |
3-2. 社会的信用が低下する
個人情報が流出してしまうと、社会的信用が低下します。なぜなら、個人情報は受け取る企業を信用して預けるからです。
もしも個人情報が流出して悪用されれば、悪用された個人もクレジットカードを無断で使われるなど甚大な被害が及ぶ可能性があります。
個人情報を流出させてしまった企業が以前と変わらない信用と信頼を取り戻すには、長い時間と努力、場合によっては代償が必要になります。
例えば、3-1の事例では、刑事上の罰則の他に企業側の謝罪の意として、個人情報を持ち出された約3500万人に対して独自に500円分の金券(合計175億円)を送っています。
たとえ法的な損害賠償の支払いが思ったより少ない額であったとしても、社会的信用を失わないためには、そのくらいの対応が必要だと言えるでしょう。
3-3. 機会損失になる
個人情報の流出は、取引先や顧客獲得の機会損失となります。なぜなら、社会的信用が低くなってしまうからです。
プライバシーをきちんと管理できない企業は、企業は取引を躊躇するし、個人も自分の大切な情報を預けるわけにはいきません。
場合によっては国から業務改善や、最悪の場合一定期間の業務停止命令が下されることもあります。業務停止期間が長引けば、それだけ機会損失も大きくなるでしょう。
3-4. 対策費用がかかる
個人情報が流出してしまうと、対策費用がかかります。「3-2. 社会的信用が低下する」でも説明したように、刑事罰以外にもお詫び金を支払うなどの対策を講じて誠意を表さなければならない場合があるからです。
3-1の事例では、合計175億円もの対策費用がかかっています。企業としては、社会的信用を失った上に莫大な費用まで失うことになるため、個人情報の管理は徹底的に行わなければなりません。
個人情報を流出させると、莫大な費用がかかることも社員全員で意識する必要があるでしょう。
4. 【事例から分かる】個人情報の流出でユーザー側におよぶ実害
3章では企業側からみた実害を解説しましたが、本章ではユーザー側におよぶ実害について解説します。
個人情報の流出により個人が受ける実害は以下のとおりです。
|
個人情報の流出により個人が受ける実害
|
|
1つずつ解説します。
4-1. 自分の個人情報が知らないところで売買される
自分の個人情報が流出されると、自分の個人情報が知らないところで売買される可能性が高いです。なぜなら、個人情報はさまざまな用途に使える「価値のあるもの」だからです。
|
流出した個人情報の用途
|
|
個人情報は、一般的にはアクセスできない闇のウェブ(ダークウェブ)で取引されます。ダークウェブでは、氏名とメールアドレスのセットで1000円以上などの高値で売買されます。
そのため、個人情報はダークウェブに高く売るために盗まれたり、二次的三次的にと犯罪に使い回されたりするのです。
実際、以下のような事例もあります
|
2014/6/27
|
大手教育事業会社の業務委託先元社員が、弊社お客様情報を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却していたことが判明した。 |
|
2009/3〜
|
大手証券会社のシステム部の部長代理だった元社員が顧客情報約148万人分を不正に取得し、約5万人の情報を名簿業者に売却したことが発覚した。 |
4-2. 身に覚えのない請求書が来る
クレジットカード情報や銀行口座番号が流出すると、身に覚えのない請求書が来る可能性があります。なぜなら、4-1で解説したように、売買された個人情報は使い回される可能性があるからです。
個人情報を入手した他人が、勝手にクレジットカード情報を使って高額な買い物をすると、身に覚えのない請求書がきます。
4-3. 勧誘メールや電話が来る
メールアドレスや電話番号が流出すると、突然勧誘メールや勧誘の電話が来ることがあります。なぜなら、流出した個人情報を買った事業者が、個人情報を使ってセールスを行うからです。
突然勧誘のメールや電話が頻繁に来るようになったら、個人情報がどこからか流出している可能性があります。
4-4. パソコン内にウイルスが侵入する
メールアドレスやIDアカウントが流出した場合、パソコン内にウイルスが侵入する可能性があります。
ウイルス感染すれば、以下のような被害を被る可能性が高いです。
|
【パソコンがウイルス感染した場合の実害例】
|
|
データが奪われたり改ざんされたりすれば、自社の業務だけでなく個人や社会へも大きな影響を及ぼすことになります。
5. 【事例から分かる】個人情報の流出を防ぐ8つの対策
3章・4章では、企業や個人が個人情報流出によって被る実害について解説しました。個人情報の流出の怖さを改めて確認できたのではないでしょうか。
本章では、個人情報の流出を防ぐための以下の対策を解説します。
|
個人情報の流出を防ぐ8つの対策
|
【企業でできる4つの対策】
|
1つずつ解説します。
5-1. 企業でできる4つの対策
企業でできる個人情報流出防止の対策は以下の4つです。
|
企業でできる個人情報流出防止の対策
|
|
1つずつ詳しく説明します。
5-1-1. セキュリティの導入・強化
企業が一番に考えなければならないことは、セキュリティの導入・強化です。なぜなら、ウイルスやハッカーは、セキュリティが低いパソコンやサーバーから順に狙うからです。
【該当する事例】
|
日付
|
法人・団体
|
件数・人数
|
漏洩原因
|
漏洩内容・詳細・二次被害(悪用)など
|
|
2022/07/01
|
大手通信会社
|
2,312件
|
Emotet感染
|
2022年7月1日、同社が自治体向けに提供している電子申請サービスのヘルプデスク業務に使用しているパソコン1台がEmotetに感染した影響で、サービス利用者のメールアドレス26県・合計2,312件が流出したと明らかにした。 |
|
2022/06/15
|
スニーカーやハイブランド商品を扱う大手フリーマーケット会社
|
約275万件
|
サイバー攻撃
|
同社が運営するマーケットプレイスが何者かのサイバー攻撃を受けた影響で、被害サービスのデータベースに登録されていた顧客情報約275万件および金融機関情報10件が流出した可能性があると明らかにした。 |
|
2022/5/26
|
大手酒造会社
|
約2万7,700件
|
ランサムウェア感染
|
2022年5月26日までに、同社の運用するサーバーがランサムウェアに感染した影響から、同社や子会社の保有する顧客や取引先等の情報データ約2万7,700件が外部流出した可能性があると明らかにした。 |
|
2022/5/24
|
大手和食メーカー
|
1万4,127件
|
システム改ざん
|
2022年5月24日、同社が運営するオンラインショップのシステムに脆弱性があり、過去被害サイトにてクレジットカード決済したユーザーのカード情報1万4,127件が流出した可能性があると明らかにした。 |
もし、今お使いのパソコンのセキュリティ機能が低ければ、今、この瞬間も狙われているかもしれません。すでに個人情報が奪われている可能性すらあります。
セキュリティの導入・強化には、以下のような手段があります。
|
セキュリティの導入・強化の手段
|
|
企業は、もともと各社員のパソコンにセキュリティソフトを入れていると思いますが、セキュリティソフトは定期的に更新しなければ新しいウイルスに対応することができません。
今よりセキュリティ機能の高い記憶媒体・サービスを導入することも視野に入れるのがおすすめです。セキュリティ機能の高い記憶媒体・サービスにはオンラインクラウドサービスがあります。
詳細については、「5-1-5. 持ち歩けない記録媒体にする」で解説します。
5-1-2. 不正検知システムを導入し、Webサイトやソフトの脆弱性対策を行う
Webサイトやソフトの脆弱性対策をするには、不正検知システムを導入するのがおすすめです。なぜなら、不正アクセスは、Webサイトやソフトの脆弱性を狙って行われるからです。
不正感知システムとは、カード決済の際に不正を感知するシステムです。主に、クレジットカード会社や通販会社、ECサイトなどが導入しています。
不正検知システムはさまざまな会社が開発しています。さまざまな不正検知システムサービスについては、以下の記事が参考になります。
▶通信販売ECMO クレジットカードなどの不正検知サービスとは?シェア比較
※記載されている会社名、サービス名、商品名は、各社の商標または登録商標です。
5-1-3. 個人情報保護について社内教育を行う
個人情報の流出を防ぐには、個人情報保護について社内教育を行うことも重要です。なぜなら、個人情報保護について知ることは、社員の意識を高めて個人譲歩の取り扱いに注意が向くようになるからです。
そもそも個人情報とは何を指すのか明確に把握している人はあまり多くありません。個人情報は、個人情報保護法によって以下のように定義されています。
|
個人情報の定義
|
|
氏名だけでも個人を特定することができ、氏名に「住所」「勤務先」「顔写真」などが加われば、特定の個人を識別できます。
個人情報の対象となる情報は、以下のようなものです。
|
個人情報になる情報の例
|
|
上記をしっかりと社員一人ひとりが認識することが重要です。
個人情報保護については、社内で月に1度など定期的に教育を行うのがおすすめです。
| 例:月に一度、個人情報の取扱についてのテストを実施する |
5-1-4. 個人情報や守秘義務について書面を取り交わす
個人情報や守秘義務について、全社員と書面を取り交わすのも有効な方法です。なぜなら、書面をかわせば、社員の意識も変わってくるからです。
契約内容に罰則を設ければ、契約内容に反した時に処罰の対象になるため社員の気も引き締まります。
| 例:個人情報保護や守秘義務の契約に反した者には、損害賠償を求める |
5-1-5. 持ち歩けない記録媒体にする
業務全体に関わるような重要なデータは、個人が持ち歩けない記録媒体にするのがおすすめです。なぜなら、重要なデータを持ち歩けないようにすれば、ヒューマンエラーや内部不正を防ぐことができるからです。
そもそも、外部に記憶媒体があれば、ネットワーク環境があればどこからでもアクセスすることができるので、持ち歩く必要がありません。
「5-1-1. セキュリティの導入・強化」でも触れましたが、持ち歩けない記録媒体の代表的なものは、「シンクライアント」と「クラウドストレージサービス」です。
■シンクライアントとは
シンクライアントとは外部サーバーなどでデータを一括管理することです。
ただし、1つのサーバーでデータを一括管理するため、サーバーが不具合を起こすと業務全体がストップしてしまうというリスクがあります。
■クラウドストレージサービスとは
クラウドストレージサービスとは、インターネット上でデータを管理するサービスです。インターネット上に仮想のサーバーやソフトを作り、その中でデータを管理します。
従来はサーバー、ハードウェア、ソフトウェアなどの機器を管理しなければなりませんでしたが、クラウドを利用すればそれらの機器が不要になるため、管理にかける時間やコストの削減につながります。
|
安心・安全かつ使いやすいクラウドストレージを選ぶなら、「NTT東日本のクラウド導入・運用サービス」がおすすめです。 その理由は以下のとおりです。
【NTT東日本のクラウド導入・運用サービスの特徴】
※画像はイメージです。 NTT東日本のクラウド導入・運用サービスは、慎重かつ厳重に国内でデータ保管をしているためセキュリティ面で安心です。 エクスプローラーと同じ感覚で使うことができる操作性や、リーズナブルな料金体系も魅力です。
※5IDとは5つのIDのことです 上記のように、通常のオンラインストレージサービスは使用可能人数を無制限で月々の料金が高いサービスが一般的です。 それに対して、NTT東日本のクラウド導入・運用サービスは4つの料金プランがあり、中小企業やSOHOなども導入しやすい低価格なプランからあるのが特徴です。 ※ご利用にはインターネット接続環境が必要です。 |
5-2. 個人でできる4つの対策
個人レベルでも、個人情報の流出を防ぐことは可能です。個人でできる対策は以下のとおりです。
|
個人でできる個人情報流出防止の対策
|
|
1つずつ詳しく説明します。
5-2-1. 二重要素認証を利用する
個人情報の流出防止には、二重要素認証の利用がおすすめです。なぜなら、通常のパスワードのみの認証よりも認証の精度が高くなるからです。
二重要素認証とは、性質の異なる2つの要素を組み合わせて認証を行うことです。例えば、銀行の「トークン」などがあてはまります。
トークンの場合は、IDとパスワードに加えて認証トークンによるワンタイムパスワードを入力します。認証トークンは個人に配布されるものなので、外部からアクセスすることができません。
5-2-2. パスワードを使い回さない
2つ目は、パスワードを使い回さないことです。なぜなら、1つのパスワードが暴かれると、使い回している他のサイトの情報も危険にさらされるからです。
例えば、1つのサイトで使っているパスワードが流出してしまうと、同じパスワードを使っている別サイトも閲覧できるようになってしまいます。
すると、複数のサイトから、クレジットカードや銀行口座番号、住所、電話番号などさまざまな個人情報が盗まれるリスクが高まります。
5-2-3. 定期的にアップデートを行う
セキュリティソフトの定期的なアップデートを行うことも重要です。会社で使用しているパソコンは、なんらかのセキュリティソフトを入れていると思います。
セキュリティソフトは定期的にアップデートを行わなければ、新しいウイルスに対応することができません。
会社の仕事を自宅のパソコンでリモートワークしている方で、もしもまだセキュリティソフトを入れていない場合は、すぐにセキュリティソフトを入れることをおすすめします。
6. まとめ
個人情報が流出すると、自社にもユーザーにも甚大な悪影響が降りかかるため、今すぐ対策を講じる必要があります。個人情報の流出について、今一度おさらいしましょう。
個人情報の流出は、主に以下の3つが原因です。
|
個人情報流出の主な原因4つ
|
|
上記3つに分けて、12の事例を取り上げて説明しました。
さらに原因を深堀りすると、以下のような原因が考えられます。
|
個人情報の流出の原因
|
|
個人情報が流出すると、企業には以下のような実害が及びます。
|
個人情報の流出により企業が受ける実害
|
|
企業だけでなく、ユーザー個人にも以下の実害があります。
|
この記事のポイント
|
|
ユーザーに実害が及べば、企業はさらに社会的信用を失い、機会損失も大きくなり、対策費用も莫大になります。
個人情報の流出を防ぐには、以下の方法があります。
|
個人情報の流出を防ぐ8つの対策
|
【企業でできる4つの対策】
|
リモートワークが増えた近年では、上記のような多角的な対策を施す必要があります。企業とそこに勤める個人の双方が高い意識を持って対策を講じることが重要です。
-
-
ご相談・お問い合わせ
プランの選び方や料金詳細、導入にあたり不安なことなど、
いつでもお気軽にご相談ください!
フォームでのお問い合わせ
お電話でのお問い合わせ