【2022年最新】個人情報の流出12事例！原因と対策を徹底解説

• 2023.3.13 (月)
  Posted by コワークストレージ窓口

個人情報が流出すると、会社は大きな損害を被ることになり、経営も危ぶまれるような事態に追い込まれる可能性があります。なぜなら、個人情報の流出の対応には莫大な費用がかかることもあるからです。

【個人情報を流出した場合の損害賠償例】

そのため、会社レベル・個人レベルの両方でしっかりと管理しなければなりません。

近年起こった個人情報流出の事例をピックアップすると、以下の通りです。

※2014年の事例は8年前のものですが、いまだ記憶に新しい大きな事例のため、あえて取り上げました。

これを見ると、実際に多い原因は下記3つだとわかります。

中でも、近年の個人情報の流出の原因は、ウイルス感染や不正アクセスが約半数を締めています。

参考：東京商工リサーチ

東京商工リサーチによると、2021年に上場企業とその子会社で個人情報の漏洩・紛失事故を公表したのは120社、事故件数は137件、流出した個人情報は574万9,773人分にも及びました。

この数字は、2012年以降の10年間では過去最多に上ります。今後はより複雑なウイルスが開発され、いつ感染するか他人事ではありません。

しかし、近年リモートワークが進んで、上記のような情報を管理することが難しくなってきています。そこで、本記事ではさまざまな事例を通して以下の内容をお伝えします。

最後まで読むと、万が一漏洩してしまった場合の初期対策や個人情報の漏洩を防ぐ方法が分かり、会社を守ることができますよ。

本章では、2022年7月時点での最新の個人流出事例を、以下の3つの原因に分けて解説します。

ひとつずつ説明します。

ヒューマンエラー（人的ミス）が原因で個人情報が流出した事例は以下のとおりです。

参考：CyberSecurity.com

ヒューマンエラーが原因で、個人情報が流出してしまう事例でよくあるのが「誤送信」です。例えば、上記の大手不動産会社の事例の詳細は、以下のようになっています。

【大手不動産会社の事例】

上記の事件後、同社は事業にかかわる全従業員に対する周知や教育を通じて再発を防止すること、外部向けの電子メールを送信する際に遵守すべき事項を再整備することなどの対策を発表しています。

サイバー攻撃など外部からの攻撃が原因で個人情報が流出した事例も多いです。ハッキングやデータの改ざんの他、次から次へと出てくる新種のウイルスは後を絶ちません。

参考：CyberSecurity.com

ウイルス感染では、ランサムウェア感染やEmotet感染などのウイルス攻撃の被害による個人情報流出が目立ちます。ハッカーなどによるサイバー攻撃やシステム改ざんも多く発生しています。

大手和食メーカーの事例の詳細を例に挙げてみましょう。

【大手和食メーカーの事例】

同社は公表までに、調査会社からの報告およびカード会社との連携など、被害者対応準備を進めていたため、発生から公表に至るまで期間が経過してしまったという経緯があります。

早めに公表していれば、ユーザー各個人でクレジットカードの使用を止めるなどの対策もできたと思われます。

調査では、個人情報が格納されたフォルダにも外部からのアクセスが可能な状態だったことが分かっており、同企業は社会的信用をかなり失ってしまったと言えるでしょう。

故意の持ち出しなど、内部不正が原因で個人情報が流出した事例は以下のとおりです。

参考：CyberSecurity.com

悪用目的はもちろんですが、個人情報を別の目的で利用するために故意に持ち出すことは禁止されています。たとえ社外に持ち出していなくても、契約内容以外で得た個人情報を他の業務目的で使用することも禁止されています。

大手自動車メーカーの事例を詳しく見てみましょう。

【大手自動車メーカーの事例】

同社では、上記の前月にも同じことが起こっており、ニュースを賑わせ社会的信用が低下してしまいました。同社では顧客の同意がなければ登録できないよう、費用を投入してシステム自体を改修しました。

※本章に記載されている会社名、サービス名、商品名は、各社の商標または登録商標です。

1章ではおおまかな原因別に個人情報の流出事例を紹介しましたが、例えばヒューマンエラー1つとっても、細かく見ると「誤送信」「紛失」など、個人情報の流出の原因はひとつではないことがおわかりいただけたかと思います。

そこで、本章では原因をより詳しく解説します。原因が分かれば事前に個人情報の流出防止の対策が立てられるからです。

細かな原因は、以下の通りです。

ひとつずつ解説します。

ヒューマンエラーでもっとも多いのは、「メール誤送信」によるものです。なぜメール誤送信が発生したのかについては、以下の原因に分けられます。

宛先や添付ファイルに関するミスは、単なる宛先の誤りや、重要な添付ファイルがあるにもかかわらず関係のない人に送信してしまう、あるいは添付ファイルをつけたまま転送してしまうといったミスがあります。

「Bcc」「To」に関しては、「Bcc」にすれば他のメール受信者のメールアドレスは表示されません。しかし、「To」にするとメール受信者に全ての宛先が表示されてしまいます。この違いをよく理解していないと、メールアドレスという個人情報が流出してしまうのです。

メールの誤送信をしないよう、社内教育をもう一度見直すべきです。

USBやパソコンの紛失も時折事例があり、ニュースを騒がせていますね。USBやパソコンに重要なデータを記憶させると、個人レベルで管理できてしまい危険です。

【該当する事例】

顧客情報などの個人情報に限らず、大切な情報はたとえ重役クラスであっても、個人で管理できないように工夫・徹底することが重要です。

具体的な方法は、「5. 【事例から分かる】個人情報の流出を防ぐ8つの対策」で解説します。

設定ミスによる個人情報流出とは、以下のようなものです。

※CDNとは、世界中のネットワーク上のサーバーにコンテンツをコピーし、サービス利用者にもっとも近いサーバーが代理でリクエストを返す仕組みのこと です。

上記のような設定ミスは、CDNやホームページを簡単に作成できるCMSなどのツールの使い方をよく理解していない人が作業したことによって発生したものです。設定を自社で行うツールの場合は、チェックボタン1つで重大な設定ミスが発生してしまいます。

ツールを導入する際は、どこまでが委託会社の作業範囲で、自社で設定する必要があるものは何か、詳しく説明を聞くことが大切です。

【該当する事例】

社員の教育不足や知識不足によるものは、そもそも個人情報に対しての認識不足が招くと言って良いでしょう。

社員の教育不足や知識不足は、「2-1. メール誤送信によるもの」や「2-2. USBやパソコンなどの紛失によるもの」「2-3. 設定ミスによるもの」にも共通します。

【該当する事例】

個人情報とは何を指すのか、個人情報が流出するとどのような実害が起こるのかを把握していないと、上記のようなミスを犯してしまいます。

個人情報が流出することで起こる実害については、「3.【事例から分かる】 個人情報の流出で企業側におよぶ実害」と「4. 【事例から分かる】個人情報の流出でユーザー側におよぶ実害」で詳しく解説します。

セキュリティの脆弱性による個人情報の流出は、サイバー攻撃や不正アクセスなどに弱いシステムやセキュリティ対策不足を指します。

冒頭でもお話したように、個人情報の流出は過去最多に上りますが、そのうち約5割はセキュリティの脆弱性が原因というデータがあります。

参考：東京商工リサーチ

次々と新たなウイルスが発生するので、セキュリティ対策と外部からの攻撃がいたちごっこです。個人情報を流出させないようにするには、セキュリティ対策をこまめに強化するしかありません。

セキュリティの強化の具体的な方法については、「5-1. 企業でできる4つの対策」で解説します。

【該当する事例】

さまざまな事例からおわかりいただいたように、個人情報が流出すると企業にはさまざまな実害があります。企業におよぶ主な実害は以下のとおりです。

1つずつ詳しく解説します。

個人情報が流出すると、損害賠償に問われる可能性があります。なぜなら、個人情報の流出は「プライバシーの損失」にあたり、民事上で法的責任（損害賠償責任）が発生するからです。

賠償金額はケースによって異なりますが、1人あたり3000円から5000円という例がもっとも多く、被害者全員に支払う分を合計すると数千万円以上になることもあります。

例えば、1万人分の個人情報を流出してしまったとします。1人あたり3500円の賠償金額を支払うように裁判所に命じられた場合、合計で3500万円を費やすことになります。

【個人情報を流出した場合の損害賠償例】

実際、2014年に起こった以下の事例では、訴訟を起こした計622人に対し、1人当たり3300円（合計200万円）を支払うよう東京裁判所から判決が下されています。

個人情報が流出してしまうと、社会的信用が低下します。なぜなら、個人情報は受け取る企業を信用して預けるからです。

もしも個人情報が流出して悪用されれば、悪用された個人もクレジットカードを無断で使われるなど甚大な被害が及ぶ可能性があります。

個人情報を流出させてしまった企業が以前と変わらない信用と信頼を取り戻すには、長い時間と努力、場合によっては代償が必要になります。

例えば、3-1の事例では、刑事上の罰則の他に企業側の謝罪の意として、個人情報を持ち出された約3500万人に対して独自に500円分の金券（合計175億円）を送っています。

たとえ法的な損害賠償の支払いが思ったより少ない額であったとしても、社会的信用を失わないためには、そのくらいの対応が必要だと言えるでしょう。

個人情報の流出は、取引先や顧客獲得の機会損失となります。なぜなら、社会的信用が低くなってしまうからです。

プライバシーをきちんと管理できない企業は、企業は取引を躊躇するし、個人も自分の大切な情報を預けるわけにはいきません。

場合によっては国から業務改善や、最悪の場合一定期間の業務停止命令が下されることもあります。業務停止期間が長引けば、それだけ機会損失も大きくなるでしょう。

個人情報が流出してしまうと、対策費用がかかります。「3-2. 社会的信用が低下する」でも説明したように、刑事罰以外にもお詫び金を支払うなどの対策を講じて誠意を表さなければならない場合があるからです。

3-1の事例では、合計175億円もの対策費用がかかっています。企業としては、社会的信用を失った上に莫大な費用まで失うことになるため、個人情報の管理は徹底的に行わなければなりません。

個人情報を流出させると、莫大な費用がかかることも社員全員で意識する必要があるでしょう。

3章では企業側からみた実害を解説しましたが、本章ではユーザー側におよぶ実害について解説します。

個人情報の流出により個人が受ける実害は以下のとおりです。

1つずつ解説します。

自分の個人情報が流出されると、自分の個人情報が知らないところで売買される可能性が高いです。なぜなら、個人情報はさまざまな用途に使える「価値のあるもの」だからです。

個人情報は、一般的にはアクセスできない闇のウェブ（ダークウェブ）で取引されます。ダークウェブでは、氏名とメールアドレスのセットで1000円以上などの高値で売買されます。

そのため、個人情報はダークウェブに高く売るために盗まれたり、二次的三次的にと犯罪に使い回されたりするのです。

実際、以下のような事例もあります

クレジットカード情報や銀行口座番号が流出すると、身に覚えのない請求書が来る可能性があります。なぜなら、4-1で解説したように、売買された個人情報は使い回される可能性があるからです。

個人情報を入手した他人が、勝手にクレジットカード情報を使って高額な買い物をすると、身に覚えのない請求書がきます。

メールアドレスや電話番号が流出すると、突然勧誘メールや勧誘の電話が来ることがあります。なぜなら、流出した個人情報を買った事業者が、個人情報を使ってセールスを行うからです。

突然勧誘のメールや電話が頻繁に来るようになったら、個人情報がどこからか流出している可能性があります。

メールアドレスやIDアカウントが流出した場合、パソコン内にウイルスが侵入する可能性があります。

ウイルス感染すれば、以下のような被害を被る可能性が高いです。

データが奪われたり改ざんされたりすれば、自社の業務だけでなく個人や社会へも大きな影響を及ぼすことになります。

3章・4章では、企業や個人が個人情報流出によって被る実害について解説しました。個人情報の流出の怖さを改めて確認できたのではないでしょうか。

本章では、個人情報の流出を防ぐための以下の対策を解説します。

1つずつ解説します。

企業でできる個人情報流出防止の対策は以下の4つです。

1つずつ詳しく説明します。

5-1-1. セキュリティの導入・強化

企業が一番に考えなければならないことは、セキュリティの導入・強化です。なぜなら、ウイルスやハッカーは、セキュリティが低いパソコンやサーバーから順に狙うからです。

【該当する事例】

もし、今お使いのパソコンのセキュリティ機能が低ければ、今、この瞬間も狙われているかもしれません。すでに個人情報が奪われている可能性すらあります。

セキュリティの導入・強化には、以下のような手段があります。

企業は、もともと各社員のパソコンにセキュリティソフトを入れていると思いますが、セキュリティソフトは定期的に更新しなければ新しいウイルスに対応することができません。

今よりセキュリティ機能の高い記憶媒体・サービスを導入することも視野に入れるのがおすすめです。セキュリティ機能の高い記憶媒体・サービスにはオンラインクラウドサービスがあります。

詳細については、「5-1-5. 持ち歩けない記録媒体にする」で解説します。

▶NTT東日本のクラウド導入・運用サービス

5-1-2. 不正検知システムを導入し、Webサイトやソフトの脆弱性対策を行う

Webサイトやソフトの脆弱性対策をするには、不正検知システムを導入するのがおすすめです。なぜなら、不正アクセスは、Webサイトやソフトの脆弱性を狙って行われるからです。

不正感知システムとは、カード決済の際に不正を感知するシステムです。主に、クレジットカード会社や通販会社、ECサイトなどが導入しています。

不正検知システムはさまざまな会社が開発しています。さまざまな不正検知システムサービスについては、以下の記事が参考になります。

▶通信販売ECMO　クレジットカードなどの不正検知サービスとは？シェア比較

※記載されている会社名、サービス名、商品名は、各社の商標または登録商標です。

5-1-3. 個人情報保護について社内教育を行う

個人情報の流出を防ぐには、個人情報保護について社内教育を行うことも重要です。なぜなら、個人情報保護について知ることは、社員の意識を高めて個人譲歩の取り扱いに注意が向くようになるからです。

そもそも個人情報とは何を指すのか明確に把握している人はあまり多くありません。個人情報は、個人情報保護法によって以下のように定義されています。

氏名だけでも個人を特定することができ、氏名に「住所」「勤務先」「顔写真」などが加われば、特定の個人を識別できます。

個人情報の対象となる情報は、以下のようなものです。

上記をしっかりと社員一人ひとりが認識することが重要です。

個人情報保護については、社内で月に1度など定期的に教育を行うのがおすすめです。

5-1-4. 個人情報や守秘義務について書面を取り交わす

個人情報や守秘義務について、全社員と書面を取り交わすのも有効な方法です。なぜなら、書面をかわせば、社員の意識も変わってくるからです。

契約内容に罰則を設ければ、契約内容に反した時に処罰の対象になるため社員の気も引き締まります。

5-1-5. 持ち歩けない記録媒体にする

業務全体に関わるような重要なデータは、個人が持ち歩けない記録媒体にするのがおすすめです。なぜなら、重要なデータを持ち歩けないようにすれば、ヒューマンエラーや内部不正を防ぐことができるからです。

そもそも、外部に記憶媒体があれば、ネットワーク環境があればどこからでもアクセスすることができるので、持ち歩く必要がありません。

「5-1-1. セキュリティの導入・強化」でも触れましたが、持ち歩けない記録媒体の代表的なものは、「シンクライアント」と「クラウドストレージサービス」です。

■シンクライアントとは

シンクライアントとは外部サーバーなどでデータを一括管理することです。

ただし、1つのサーバーでデータを一括管理するため、サーバーが不具合を起こすと業務全体がストップしてしまうというリスクがあります。

■クラウドストレージサービスとは

クラウドストレージサービスとは、インターネット上でデータを管理するサービスです。インターネット上に仮想のサーバーやソフトを作り、その中でデータを管理します。

出典：総務省　クラウドサービスとは？

従来はサーバー、ハードウェア、ソフトウェアなどの機器を管理しなければなりませんでしたが、クラウドを利用すればそれらの機器が不要になるため、管理にかける時間やコストの削減につながります。

個人レベルでも、個人情報の流出を防ぐことは可能です。個人でできる対策は以下のとおりです。

1つずつ詳しく説明します。

5-2-1. 二重要素認証を利用する

個人情報の流出防止には、二重要素認証の利用がおすすめです。なぜなら、通常のパスワードのみの認証よりも認証の精度が高くなるからです。

二重要素認証とは、性質の異なる2つの要素を組み合わせて認証を行うことです。例えば、銀行の「トークン」などがあてはまります。

トークンの場合は、IDとパスワードに加えて認証トークンによるワンタイムパスワードを入力します。認証トークンは個人に配布されるものなので、外部からアクセスすることができません。

5-2-2. パスワードを使い回さない

2つ目は、パスワードを使い回さないことです。なぜなら、1つのパスワードが暴かれると、使い回している他のサイトの情報も危険にさらされるからです。

例えば、1つのサイトで使っているパスワードが流出してしまうと、同じパスワードを使っている別サイトも閲覧できるようになってしまいます。

すると、複数のサイトから、クレジットカードや銀行口座番号、住所、電話番号などさまざまな個人情報が盗まれるリスクが高まります。

5-2-3. 定期的にアップデートを行う

セキュリティソフトの定期的なアップデートを行うことも重要です。会社で使用しているパソコンは、なんらかのセキュリティソフトを入れていると思います。

セキュリティソフトは定期的にアップデートを行わなければ、新しいウイルスに対応することができません。

会社の仕事を自宅のパソコンでリモートワークしている方で、もしもまだセキュリティソフトを入れていない場合は、すぐにセキュリティソフトを入れることをおすすめします。

個人情報が流出すると、自社にもユーザーにも甚大な悪影響が降りかかるため、今すぐ対策を講じる必要があります。個人情報の流出について、今一度おさらいしましょう。

個人情報の流出は、主に以下の3つが原因です。

上記3つに分けて、12の事例を取り上げて説明しました。

さらに原因を深堀りすると、以下のような原因が考えられます。

個人情報が流出すると、企業には以下のような実害が及びます。

企業だけでなく、ユーザー個人にも以下の実害があります。

ユーザーに実害が及べば、企業はさらに社会的信用を失い、機会損失も大きくなり、対策費用も莫大になります。

個人情報の流出を防ぐには、以下の方法があります。

リモートワークが増えた近年では、上記のような多角的な対策を施す必要があります。企業とそこに勤める個人の双方が高い意識を持って対策を講じることが重要です。

ページの先頭へ

コワークストレージのトップに戻る