監修 NTT東日本 コワークストレージ開発担当

個人情報を取り扱う立場にあると、

「個人情報が流出してしまうと、会社にどれだけの損害が生じるのだろう」

「個人情報の流出を防ぐためには、どのような対策を講じればいいのだろう」

というように、様々な悩みを抱えてしまいますよね。

実際、個人情報を流出させてしまうと、企業の経営を左右しかねない、甚大な損害が生じる可能性があります。

そのため企業としては、あらゆる対策を講じて個人情報の流出を防がなければなりません。

ただ、「個人情報流出」についてぼんやりとした知識はあっても、個人情報とはどういう情報のことをいうのか、これが流出するとどのような損害が生じるのかよくわからないと、具体的にどのような対策が必要なのか、イメージしにくいですよね。

そこでこの記事では、個人情報の流出に関する下記のようなポイントについて、詳しく解説します。

この記事が、個人情報の流出について調べているあなたのお役に立てることを願っています。

1. 個人情報流出とは？基本的な知識をおさらい

個人情報流出とは、「個人情報を保有している人」や「個人情報に該当する人」の意思に反して、その情報が第三者に漏洩してしまうことをいいます。

では、ここにいう「個人情報」とは、具体的にどのような情報を指すのでしょうか。また、個人情報を扱う事業者には、どのような義務があるのでしょうか。

この章では、個人情報流出に関する下記のようなポイントについて、わかりやすく解説します。

1-1. そもそも個人情報とは？

個人情報とは、「特定の個人を識別できる情報」のことをいいます。

具体的には、下記のような情報がこれにあたります。

また、これらの個人情報は、紙ベースで保管されているものに限定されません。
電子データとしてパソコンやWeb上、その他の記録媒体に保存されているものも、個人情報として扱われます。

1-2. すべての事業者に個人情報保護の義務がある

個人情報保護法では、個人情報を扱う「すべての事業者」に、その漏洩や滅失、既存を防止する義務があることを定めています。

• 個人情報保護法　第二十三条
  個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

  （引用）個人情報の保護に関する法律 | e-Gov法令検索

皆様の中には、

「うちは、小さい会社だから関係ない」

「扱う個人情報の量が少ないから、大丈夫」

「うちは、非営利団体だから関係ない」

と思われる方がいらっしゃるかもしれません。

しかしそれは間違いで、個人情報の保護義務は、業種や規模、営利・非営利の別を問わず、個人情報を取り扱う「すべての事業者」が負うものです。

この義務に反して個人情報を流出させてしまうと、刑事罰を受けたり、民事上の損害賠償責任を負ったりする可能性もあります。

そのため個人情報を取り扱う事業者は、これを流出させないよう、十分な対策を講じなければなりません。

2. 個人情報が流出した場合に事業者が負う責任とリスク

個人情報を流出させてしまった場合、下記のような責任やリスクを負う可能性があります。
ここでは、個人情報が流出した場合に事業者が負う責任とリスクについて、詳しく解説します。

2-1. 刑事罰

個人情報の取扱者がこれを流出させてしまった場合、下記のような刑事罰を受ける可能性があります。

2020年に改正、2022年4月より全面施行となった個人情報保護法では、個人情報の不正利用や個人情報保護委員会の措置命令に違反した者に対する法定刑が、引き上げられました。

法人が個人情報を不正な目的で流出させた場合、最高で1億円の罰金を科せられる可能性があります。

もちろん、個人情報を流出させたからといって直ちに刑事罰の対象となるわけではありませんが、事業者として、個人情報の取り扱いにはこれまで以上に慎重になることが求められます。

2-2. 民事上の損害賠償責任

個人情報保護法に違反し、個人情報を流出させた場合、非常に高額な損害賠償を伴う民事上の問題に発展するリスクがあります。

JNSAの調査によると、個人情報流出事件1件あたりの平均想定損害賠償額等は、下記の通りです。

▼個人情報流出事件1件あたりの想定損害賠償額

出典：JNSA『2018年 情報セキュリティインシデントに関する調査報告書』

個人情報が大量に流出してしまった場合、6億円以上もの損賠賠償責任を負う可能性があるのですね。

■損害賠償命令が下された個人情報流出事件

実際、過去に起きた個人情報流出事案では、以下のような損害賠償命令が下されています。

▼個人情報流出事件｜1人あたり3,300円の損場賠償

▼個人情報流出事件｜1人あたり15,000円の損害賠償
多額の損害賠償責任が生じた場合、それは事業者にとって非常に大きな負担となります。
最悪の場合は、損害賠償に伴う負担が経営を圧迫し、倒産してしまう可能性もあるでしょう。

2-3. 原因の調査や顧客対応などに伴うコストの発生

個人情報を流出させた場合、罰金や民事上の損賠賠償だけでなく、下記のようなコストが発生する可能性もあります。

▼各費用の内容と金額の目安

• 費用の目安については、JNSA『インシデント損害額調査レポート2021』を参照。

■ 初動対応・調査費用
個人情報が流出した場合、初動対応としてネットワークを遮断したり、証拠を保全したりする必要があります。
また、流出した個人情報の内容や個人情報が流出した原因について、調査を実施しなければなりません。

■ コンサルティング費用
個人情報を流出させてしまった場合、対外的な発言には、かなり慎重になる必要があります。

顧客や取引先、世間の感情を害して二次被害を招くことがないよう、専門家にコンサルティングを依頼しなければならないケースもあるでしょう。

■ 法律相談費用
個人情報流出事件が発生すると、今後の対応について、法律事務所に相談する必要が生じる場合があります。

■ 広告・宣伝費用
顧客に被害が発生していることが判明した場合、その事実や経緯、今後の対応等について案内する文書を作成し、送付しなければなりません。
その方法としては、ホームページに掲載する、電子メールやDMを送付する、といった方法が一般的ですが、流出の規模が大きい場合、新聞やテレビCM等へのお詫び広告出稿を検討する必要があります。

■ コールセンター費用
一般消費者向けの事業を行っている企業で個人情報が流出した場合、被害者本人以外からの問い合わせにも対応する必要があります。

これらを自社で行うのが難しい場合、コールセンター事業者にその対応を委任するのが一般的です。

■ 見舞金・見舞品費用
個人情報が流出した場合、日本では、民事上の損害賠償とは別に、顧客に対するお詫びの一環として、見舞金や見舞品を送付することがあります。
見舞品はプリペイドカードであることが多く、券面額は500円程度が一般的です。

ここまでの考察から、個人情報流出の規模が大きい場合、莫大な費用が発生する可能性があることがわかります。

実際、約3,504万件の個人情報が流出した株式会社ベネッセコーポレーションの事案において、同社は見舞品にかかる費用を1人500円とし、最大200億円を特別損失として計上しました。

個人情報の流出は、企業の経営を左右しかねない、重大なリスクであると言えるでしょう。

2-4. 企業の社会的信用の低下

個人情報を流出させてしまった場合に避けられないのが、企業の社会的信用の低下です。

近年は、多くの消費者が「プライバシー保護」に関心を持っています。

経済産業省が実施した調査では、「あなたはプライバシー保護にどの程度関心がありますか」という質問に対し、73.6%の人が「関心がある」と回答しています。

• 経済産業省『プライバシーガバナンスに関する調査結果』をもとに作成

プライバシー保護に対する世間の意識が高まっている中で個人情報を流出させてしてしまうと、企業の信用低下は避けられません。

個人情報流出の原因によっては、「セキュリティ対策が脆弱な企業」というレッテルを貼られてしまう可能性もあるでしょう。

以下は、株式会社サイバーセキュリティクラウドが2022年に発表した調査結果をもとに作成したグラフです。

• 株式会社サイバーセキュリティクラウド『個人情報漏洩被害公表と株価の変化に関する調査レポート』をもとに作成

個人情報流出を公表した上場企業の株価の変化に関する調査において、全体の77.7%において、公表直後に株価が下落したことが明らかになりました。

この調査結果からも、個人情報の流出が企業にとってどれほど大きなリスクになるのか、よくわかります。

2-5. 顧客減少に伴う業績の悪化

個人情報が流出し、企業の社会的信用が低下すると、一定数の顧客離れは免れません。

そして顧客離れが進むと業績が悪化し、最悪の場合は倒産してしまう可能性もあります。

実際、約3,504万件の顧客情報を流出させた株式会社ベネッセコーポレーションでは、倒産こそしなかったものの、その年の4～6月の連結決算が136億円の最終赤字となりました。

個人情報の流出は、企業にとって非常に大きなリスクであることがよくわかりますね。

3. 個人情報が流出する原因5つ

個人情報が流出する原因には、下記のようなものがあります。
この章では、どうして個人情報が流出してしまうのか、その原因について解説します。

3-1. 不正アクセス・ウイルス感染

個人情報流出の原因として最も多いのが、「不正アクセス」や「ウイルス感染」です。

東京商工リサーチの調査によると、2021年に起きた上場企業における個人情報流出・紛失事故のうち、46.7%が、不正アクセスもしくはウイルス感染によるものでした。

• 東京商工リサーチ『上場企業の個人情報漏洩・紛失事故 調査(2021年)』をもとに作成

サイバー攻撃など、外部からの不正アクセスやウイルス感染が原因で個人情報が流出した場合、その被害は紙媒体で起きる事故よりはるかに甚大なものになります。

これからの時代、より強固なサイバーセキュリティ対策を講じることは、個人情報を取り扱う企業にとって最重要課題といっても過言ではないでしょう。

3-2. 人為的ミス（誤操作・誤送信など）

個人情報流出の原因として意外と多いのが、人為的なミスです。

具体的には、下記のような行為がこれにあたります。

2021年に上場企業で発生した個人情報漏洩・紛失の原因としては、「誤送信・誤廃棄」が第2位となっており、全体の31.3%を占めています（東京商工リサーチ『上場企業の個人情報漏洩・紛失事故 調査(2021年)』より）。

3-3. デバイスの紛失・誤廃棄

個人情報流出は、デバイスの紛失や誤廃棄が原因で発生することもあります。

「デバイスの紛失や誤廃棄」とは、パソコンやスマートフォンを始めとするデジタル端末やUSBメモリなどの記録媒体を紛失したり、誤って廃棄したりして、その所在がわからなくなってしまう状態のことを言います。

最近は、テレワークが広がっていることも影響し、カフェやコワーキングスペースで会社貸与のデバイスを使用した後、これを置き忘れて紛失してしまうケースが増えつつあります。

「個人情報が入った大切なデバイスをなくしたりするわけがない！」

と思いがちですが、デバイスの紛失や誤廃棄を原因とする個人情報流出事件は少なくありませんので、油断しないよう注意しましょう。

3-4. 盗難

個人情報の流出は、「盗難」によって引き起こされることもあります。

金銭目的で盗難に入った場合でも、個人情報を含むデバイスを見つけた犯人が、換金目的で業者に売ってしまうケースもあります。

個人情報の流出を防ぐためには、情報面に対するセキュリティ対策だけでなく、物理的なセキュリティ対策を講じることも大切です。

3-5. 内部不正（職員によるデータ持出しなど）

個人情報の流出は、内部不正によって引き起こされることもあります。

内部不正とは、組織の従業員や元従業員、という立場を悪用して個人情報を持出し、これを悪用したり、業者に売却したりすることをいいます。

内部不正が原因で個人情報が流出すると、企業の社会的信用が著しく低下してしまいます。

最悪の場合は、顧客離れの加速が止まらず経営赤字に転落したり、倒産してしまったり、といった可能性もあるでしょう。

4. 【2022年】実際に起きた個人情報流出事例

2022年も、様々な原因により、かなり規模の大きい個人情報流出事件が発生しています。
この章では、2022年に起きた個人情報流出事件の中でも特に規模の大きい事例について、いくつかご紹介します。

4-1.不正アクセスにより最大約46万件のカード情報が流出

クレジットカードの決済システムを扱うシステムに対する不正アクセスにより、カード情報が流出しました。
▼個人情報流出の概要

システム診断ツールによるチェックで「脆弱性が高い」という結果が複数出ていたにも関わらず、監査機関への報告書を改ざんし、問題がない旨の報告をしていました。

経済産業省は、「システムの脆弱性を改善するための対策を適切に行っていれば、今回の不正アクセスを防げた可能性がある」と指摘しています。

4-2. USB紛失により全市民の個人情報流出の可能性

個人情報を記録したUSBメモリを紛失する事故が発生しました。

USBメモリは見つかったが、現在は個人情報流出の有無を調査中です。

▼個人情報流出の概要

USBメモリを紛失したのは、委託していた業者の再委託先の社員です。 同社員は飲酒して帰宅した際、USBメモリを入れていた鞄を紛失していることに気付きました。

幸い、鞄は見つかり中に入っていたUSBメモリも無事でしたが、データが抜き取られていた場合、個人情報が流出した可能性があります。

4-3. 内部不正により全市民の個人情報が流出

内部不正により、多くの個人情報が流出しました。

▼個人情報流出の概要

内部不正をした2人を懲戒免職とし、刑事告訴しています。

実際に起きた事例を見てみると、不正アクセスやデバイスの紛失、内部不正など、様々な原因によって個人情報が流出していることがわかります。

• 個人情報流出の事例については「【2022年最新】個人情報の流出12事例！原因と対策を徹底解説」で詳しくご紹介していますので、ぜひご参照ください。

5. 個人情報の流出を防ぐために実践したい10の対策

ここまで考察してきたように、個人情報を流出させてしまうと、企業の経営を揺るがしかねない、甚大が損害が生じます。
そこで実践したいのが、下記の対策です。
この章では、個人情報の流出を防ぐために実践すべき対策について、解説します。

5-1. セキュリティソフトの導入

「3. 個人情報が流出する原因5つ」で解説したように、現在、個人情報流出の原因として最も多いのが不正アクセスやウイルス感染です。

そこでまず取り組みたいのが、セキュリティシステムの導入です。

なお、不正アクセスの方法やウイルスの種類は日々変化しています。
そのため、セキュリティシステムを導入した後は、これを定期的に最新バージョンへアップデートすることが重要です。

5-2. 不正アクセス検知システムの導入

不正アクセスに起因する個人情報の流出を防ぐには、「不正アクセス検知システム」の導入も効果的です。

不正アクセス検知システムとは、外部からの不正アクセスを検知・記録し、システム管理者に通知するシステムのことをいいます。

アクセス元からサーバーへの通信を解析し、不正な通信と判断した場合は、そのアクセスをブロックします。

不正アクセスは一度起こると甚大な被害が発生するため、こういったシステムを上手に活用することにより、未然にブロックすることが大切です。

5-3. 二段階認証システムの導入

個人情報の流出を防ぐには、「二段階認証システム」の導入も効果的です。

二段階認証システムとは、異なる2つの要素を組み合わせて認証をする仕組みのことをいいます。

例えば、「パスワードを入力後、SMSで送信された認証コードを入力する」というように2種類の異なる要素の入力による認証をすることで、不正なログインを防止する効果が期待できます。

二段階認証システムは、ログイン時の手間が増える、というデメリットこそあるものの、パスワードの総当たりによる不正ログインの防止にはかなり効果的です。

情報セキュリティ対策をより強固なものにしたい方は、こういったシステムの導入を検討してみてはいかがでしょうか。

5-4. パスワードの定期更新の義務化

個人情報の流出を防ぐには、パスワードの定期的な更新を義務化する、という対策も有効です。

例えば、会社のデータベースにアクセスするためのパスワードを何年も変更していない場合、退職した社員が既知のパスワードの不正に使用し、データベースにログインするリスクがあります。

パスワードの更新頻度としては3か月に1回程度のペースが理想的ですが、実際の更新頻度は、業務内容や従業員数を鑑みたうえで決めるといいでしょう。

5-5. Webサイト・システムの脆弱性チェックと改善

個人情報の流出を防ぐには、Webサイトやシステムの脆弱性を定期的にチェックし、問題が見つかった場合はこれを改善することも大切です。

Webサイトやシステムは基本的に、脆弱性がない状態でそのサービスが開始されます。

ただ、時間の経過とともにインターネット上の環境が変化したり、新しいサービスが開発されたり、システムがアップデートされたりすると、脆弱性が産まれる場合があります。

そのためWebサイトやシステムをリリースした後は、定期的にその脆弱性をチェックし、問題点が見つかった場合には速やかに改善しなければなりません。

WordpressをはじめとするオープンソースのCMSを使用している場合は、プログラムの仕組みが公開されているため、特に注意が必要です。

5-6. 従業員教育の徹底

個人情報流出を防ぐには、従業員教育を徹底し、個人情報の取り扱いに関する社内のリテラシーを高めることも重要です。

プライバシーポリシー（個人情報の取り扱いなどに関する基本方針を定めたもの）を策定するとともに、これをすべての社員に周知徹底しましょう。

また、定期的な研修を実施し、以下のような点についてしっかり教育することも大切です。

近年は、テレワークが普及によりやむを得ず個人情報を社外に持ち出すケースが少なくありません。
そのため今後は、テレワークなど社外で業務をする際に個人情報を取り扱う場合のルールについて、これまで以上に厳しい社員教育を実施することが求められます。

5-7. 秘密保持義務に関する書面を交わす

個人情報の流出は、内部不正によって引き起こされることも少なくありません。

そこでおすすめしたいのが、従業員との間で秘密保持義務に関する書面を交わす、という方法です。

秘密保持義務に関する契約書面は、入社時に取り交わすことをおすすめします。
これにより、社員の個人情報保護に対する意識を高められるのはもちろん、「個人情報の流出」が会社にとってどれほど重大なことなのか、理解・イメージしやすくなるからです。

5-8. 個人情報の持ち出しに関するルールを定める

個人情報流出を防ぐには、個人情報の社外持ち出しに関するルールを定め、その順守を徹底することも大切です。
まずは、下記のような資料や記録媒体などを社外に持ち出す際のルールを定めましょう。

• 個人情報を含む書類や資料
• 個人情報が保存されたパソコンやタブレット、スマートフォン
• 個人情報が保存された記録媒体（USBメモリなど）
• 個人情報が保存された記録媒体にアクセスするためのIDやパスワードが記載された書類

ルールを作る際は、これを形骸化させないよう、業務フローの実態を踏まえた内容にすることが大切です。
そして、策定したルールの運用にあたっては社外持ち出し管理簿を作り、以下のような点について明確に分かるようにしておくことも大切です。

• 個人情報を社外に持ち出した日時
• 個人情報を社外に持ち出した人
• 持ち出した資料等の内訳
• 社内に持ち帰った日時

たとえルールを厳守していても、個人情報を社外に持ち出す以上、これを紛失したり盗難されたりするリスクは、ゼロではありません。

そのため、個人情報の社外持ち出しは必要最小限にするよう、社員に周知徹底することも大切です。

5-9. 職員間におけるメール等での個人情報送受信を禁止

個人情報流出を防ぐには、職員間におけるメールやFAX等での個人情報のやり取りを禁止する、という対策も効果的です。

「3-2. 人為的ミス（誤操作・誤送信など）」で解説したように、誤送信をはじめとする人為的ミスによる個人情報流出事案は、少なくありません。

誤送信等による個人情報の流出を防ぐには、メールやFAXを使った個人情報のやり取りを禁止することが、最も根本的な解決策と言えるでしょう。

やむを得ずメールやFAXで個人情報のやり取りをしなければならない場合は、

• 送信先に間違いがないかダブルチェックを徹底する
• メールの誤送信防止システムを導入する

といった対策をおすすめします。

5-10. 個人情報を安易に放置しない

個人情報流出を防ぐには、個人情報を含む書類やデバイスを安易に放置しないことも大切です。

具体的には、下記のような対策をおすすめします。

社内でこれらの対策を徹底すると、盗難などによる個人情報の流出を防ぎやすくなるでしょう。

6.クラウドストレージに個人情報を保存している企業の2つの注意点

データをクラウドストレージに保存している企業も少なくないと思います。

そんな企業に2つの注意点を解説していきます。

クラウドストレージに個人情報を保存すれば、メールで情報を共有する必要はありませんし、物理的な記録媒体を使わないため、紛失のリスクもありません。

また、クラウドストレージを活用すれば、デバイスに個人情報を保存する必要がないため、サイバー攻撃や盗難による個人情報流出を抑える効果も期待できます。

ただし、クラウドストレージに個人情報を保存する際は、下記の点に注意しましょう。

6-1. 第三者による不正アクセスに注意する

クラウドストレージに個人情報を保存する際は、第三者による不正アクセスに注意しなければなりません。

ウイルス感染や盗難などによってクラウドストレージのログインIDとパスワードが流出した場合、第三者がこれを悪用して不正アクセスし、クラウド上に保存している個人情報が流出するリスクがあります。

クラウドストレージを利用する際は下記のような対策を講じ、不正アクセスのリスクを回避しましょう。

6-2. セキュリティ対策のレベルを確認しておく

個人情報の管理にクラウドストレージを活用する際は、セキュリティ対策のレベルについて、必ず確認しておきましょう。

クラウドストレージを提供する事業者がサイバー攻撃を受けた場合、預けているデータが外部に流出するリスクがあります。

クラウドストレージを利用する際は、事前に下記のような点について確認しておきましょう。

事業者によっては、契約するプランによってセキュリティレベルが異なる場合がありますので、その点についても必ず確認しておくことが重要です。

7. 個人情報を安全に保管するならコワークストレージがおすすめ

• 画像はイメージです。

クラウドストレージを活用して個人情報を安全に保管したいならば、コワークストレージをおすすめします。

というのもコワークストレージには、情報流出を防ぐためのセキュリティ対策に関して下記のような特徴があるのです。

この章では、個人情報を安全に管理したい方にコワークストレージをおすすめする理由について、ご紹介します。

7-1. 預けたデータを自動で暗号化して情報の流出を防ぐ

コワークストレージでは、情報の流出や喪失のリスクを徹底的に排除すべく、すべてのファイルデータを自動的に暗号化しています。

暗号化されるのは、クラウドプラットフォームや通信経路、端末上にいたるまで、そのすべてに存在するファイルです。

このシステムにより、コワークストレージに保管するファイルはその機密性が厳重に保護されるため、ユーザーは個人情報をはじめとする重要な情報を、安全に保管することができます。

7-2. 二段階認証システムによりなりすましを防止

コワークストレージでは、なりすましによる不正なログインを防止するため、二段階認証システムを導入しています。

［ID＋パスワード］による認証だけでなく、認証アプリやSMSを使った二段階認証を取り入れることで、セキュリティをより強固なものにし、第三者による不正なログインを防止します。

また、コワークストレージでは回線認証の利用も可能で、この機能を活用すれば、より安全なデータ管理が可能になります。

• 回線認証とは？

  回線認証とは、クラウドストレージに、契約回線からのみアクセスできるようにする認証システムのことをいいます。
  これによりユーザーはコワークストレージにダイレクトに接続できるため、より安全なデータ管理が可能になります。

7-3. システム全体で高水準の安全性と堅ろう制を実現

コワークストレージでは、「イレブンナイン（99.999999999％）」というシステムを構築・運用しています。

これは、厳しいグローバル基準に準拠したシステムで、これを構築・運用することにより、システム全体における高水準の安全性と堅ろう制を実現しました。

コワークストレージには強固なセキュリティ対策が実装されているうえ、優れたデータ保護機能や高い堅ろう制、運用性を実現していますので、個人情報の流出防止にはもちろん、企業のBCP対策にも最適です。

• ご利用にはインターネット接続環境が必要です｡

• コワークストレージの機能やプランを詳しく見てみる

まとめ

個人情報流出とは、個人情報を保有している人や、個人情報に該当する人の意思に反し、その情報が流出してしまう状態のことをいいます。

個人情報保護法では、個人情報を取り扱うすべての事業者にその流出を防止する義務があることが定められており、これに反して個人情報を流出させてしまった場合、事業者は以下のような責任を負う可能性があります。

個人情報の流出は下記のように様々な原因によって引き起こされますので、事業者としてはあらゆる場面を想定し、様々な対策を講じなければなりません。
具体的には、下記のような対策を講じてみてはいかがでしょうか。

個人情報を保護するための対策は、企業にとって非常に重要な課題です。

現状の体制に不安を抱えておられる方は、自社にとって必要な対策とは何なのか、リストアップすることから始めてみてはいかがでしょうか。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む