監修 山口卓也(NTT東日本)
編集 NTT東日本編集部
情報漏えい事故の件数は年々増加傾向にあり、組織的なセキュリティ対策の整備が求められています。
情報漏えいを防ぐためには、まず「なぜ起きるのか(原因)」と「起きるとどうなるのか(リスク)」を正確に把握することが不可欠です。
本記事では、実際に発生した情報漏えいの事例を交えながら、人的ミスと外部攻撃の両面に備える実践的な解決策をご紹介します。自社の安全性を守ることを目指し、強固なセキュリティ体制を構築するためのガイドとして役立ててみてください。
Summary
自社に最適な情報漏えい対策をご提案。まずは資料でサービス概要をチェック
おまかせサイバーみまもり セキュリティパッケージ パンフレット
Index
情報漏えいとは、個人情報や機密情報などが何かしらの原因で、意図せず外部に流出したり、第三者がアクセスできる状態を指します。原因は主に社員の「人為的ミス」または、敵意のある「外部からの攻撃」です。
あらかじめ、情報漏えいによる損害額を予測することは困難です。賠償金額などは計算可能ですが、顧客の信用失墜や業務停止などによる機会損失は計り知れません。
2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、189件にのぼります。前年と比較して8.0%も増加しており、2021年から過去最多を更新し続けています。
出典:2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分|株式会社東京商工リサーチ
2026年現在、デジタル化の浸透により企業が保有するデータ量が増加しています。デジタル化は業務の利便性を高める一方で、同時に情報漏えいのリスクも高めていると考えてよいでしょう。
外部に自社業務の一部を委託するBPO(Business Process Outsourcing)や、オフィスでの直接的な管理下にないテレワークの導入が、情報漏えいにつながる危険性があることも否定できません。
情報漏えいには複合的な原因がありますが、大きくは「人為的ミス」と「外部からの攻撃」に分けられます。
参考:2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分|株式会社東京商工リサーチ
上記の図を見ると、情報漏えいが起きる原因の約6割は「ウイルス感染・不正アクセス」によるものであることがわかります。これは「外部からの攻撃」にあたりますが、情報資産の認識や管理が甘く「システムの設定不備」があるために狙われる可能性もあります。
「システムの設定不備」の具体的な原因は、大きく以下の4つに分けられるため、確認してみてください。
セキュリティ対策に対する社員の意識が低い状態だと、個人情報や機密情報を不特定多数の人が閲覧でき、データのコピーや改ざんが容易なICT環境を放置することにつながります。また、社外や組織外でやり取りしている情報の中に、大切な情報資産が含まれている認識が低くなりやすいのも問題です。
意識の甘さを放置したままでは、テレワークの推進により新しい端末やクラウドサービスを利用することになった際も、セキュリティを後回しにしてしまうでしょう。
結果的に、メールの誤送信やファイル共有設定のミス、端末の紛失・置き忘れなどが発生し、情報漏えいの温床になります。
クラウドサービスは、自社にサーバーを設置する必要があるオンプレミスとは異なり、場所に縛られずサービスを利用できるのがメリットです。リモートワークの推進もあり、業務に取り入れる企業は多くなりました。
しかし、クラウドサービスをオンプレミスと同じ感覚で利用してしまうと、情報漏えいのリスクが高まります。なぜなら、社外から社内ネットワークに接続する端末や回線のセキュリティの脆弱性をついて攻撃してくるためです。
またクラウドサービスは、リソースの公開設定や認証が適切に設定できていないことによるインシデントの発生もリスクとして挙げられます。
クラウドサービスの運営会社もセキュリティ対策を実施していますが、利用者が認証情報を適切に管理していなかったり、人為的ミスで外部に漏らしたりしたことが原因で不正アクセスされた場合、検知することはできません。
クラウドサービスの利用によって情報漏えいが起きると、利用者側の業務に影響することを忘れてはいけません。
外部からの攻撃は、さまざまな手口を活用し、より組織化したプロフェッショナル集団としての犯罪が行われるようになりました。新型コロナウイルス感染症の蔓延以降、リモートワーク対応やDXの推進を急ぐあまり、セキュリティ対策が疎かになってしまっているケースも少なくありません。
また、社員の情報漏えいについての意識を高める施策が、外部からの攻撃の技術進化や手口の巧妙化に追い付いていないこともあります。それらが合わさった結果、不正アクセスなどの外部からの攻撃による被害が増えています。
情報資産は、規模に関係なく漏えいすれば損害が出ます。情報のセキュリティレベルは関係なく、また直接的・間接的に限らず影響することになり、主に以下の3つのリスクにつながるおそれがあります。
一度情報漏えいすると、実害が確認できなくとも顧客や取引先からの信頼を失いかねません。ここでは上記の3つのリスクについて詳しく説明します。
個人情報を悪用されると、顧客の住所や氏名などは名簿化され、迷惑メールや詐欺などの標的となったり、クレジットカードなどを不正利用されたりする原因になります。
機密情報を悪用されると、社外秘のノウハウがライバル企業に流れ、優位性が失われてしまうでしょう。さらに、新商品やサービスの情報が公式発表より前に流れることがあれば、販売戦略や広告の計画にも影響が出ます。
個人情報の漏えいが原因で、迷惑メールを第三者によって送信されるなどの実害が発生すれば、損害賠償の支払いが必要です。それだけでなく、個人情報保護法の罰金も発生します。
さらに、個人情報が漏えいしたことを取引先や顧客に通知・公表するための費用や、再発防止のための原因究明・対策のための経費も発生するでしょう。
情報漏えいの原因に関係なく、顧客離れが起きることは重大なリスクの一つです。漏えいによって自社への信頼が失われてしまいます。また、問題が解決するまでオンラインサービスや事業そのものが停止することになり、投資家に問題のある企業だと判断されると、今後の株価上昇にも影響が及ぶ可能性があります。
自社に最適な情報漏えい対策をご提案。まずは資料でサービス概要をチェック
おまかせサイバーみまもり セキュリティパッケージ パンフレット
企業の情報漏えいの実態を見ていきましょう。以下は、不正アクセスにより情報漏えいしてしまった企業の一例です。
| 組織名 | 件数・人数 | 概要 |
|---|---|---|
| 大手出版社 | 約20万人 | ランサムウェアを含むサイバー攻撃を受け、子会社を含め同社が保有する一部の情報が漏えい。攻撃者は、盗んだデータを情報漏えいさせない見返りに多額の身代金を要求 |
| 製菓会社 | 約160万人 | 運営サイトがサイバー攻撃され個人情報が流出 |
| 生命保険会社 | 最大200万件程度 | 外部委託事業者がサイバー攻撃を受け、保険加入者および過去加入者の個人情報が流出 |
| CtoC事業会社 | 約270万件 | フリマアプリのデータベースにサイバー攻撃を受け、登録されていた顧客情報および金融機関情報10件が流出した可能性あり |
| リユース会社 | 最大70万件程度 | オンラインショップの関連サーバー1台にセキュリティ上の脆弱性があることが発覚し、第三者が不正アクセス可能な状況であった |
不正アクセスによる情報漏えいは、誤送信や紛失などの人為的ミスと比べて、被害が大きくなります。理由として、外部からの攻撃による情報漏えいは、事業停止の期間が長くなる可能性があるためです。さらに、事業停止が長ければ機会損失も増えることになります。
なお、昨今の不正アクセスなどのサイバー攻撃は、意図的に特定の組織を狙っている「標的型」が主流となっています。「標的型」は日々進化しており、突破できる脆弱なセキュリティがないかを常にチェックしているため、完全に防ぐ方法がありません。
また、急激に変化する市場ニーズに対応するための「端末やシステム」や、リモートワークのための「ネットに関連するインフラ」など、全てに対して完璧にセキュリティ対策を施すことは難しいでしょう。
しかしながら、情報漏えい対策は企業にとって避けて通れない重要課題です。事例を参考にして、不正アクセスなどの外部からの攻撃対策を考えることが大切です。
もし情報漏えいが発生してしまった場合には、初動が大切です。情報漏えいの発覚に社員が気付いた場合でも、外部からの指摘の場合でも、対応は同じです。
法的に義務化されているフローではないものの、顧客の信頼回復や事業再開のためにも、実施しなければいけないといっても過言ではありません。
情報漏えいは、しっかりとした対策を実施すればリスクを大幅に低減できます。しかし幅広く対策を講じているからといって、個々の対策が不十分だとそこが脆弱性となり攻撃の標的となるため注意が必要です。
ここでは、外部要因への対策と人的要因への対策に分け、それぞれ説明します。
| 情報漏えいの種類 | 主な原因 | 対策 |
|---|---|---|
| 外部要因 |
|
|
| 人的要因 |
|
|
前述の通り、情報漏えいが起きる原因の約6割はウイルス感染や不正アクセスなど、外部要因によるものです。ここでは外部要因による情報漏えいへの対策を紹介します。
サイバー攻撃はセキュリティの脆弱性をつく技術的な攻撃だけではなく、フィッシングメールやフィッシングサイトを利用して人を騙すものもあります。あらかじめ手口を知っていれば、十分防げる攻撃もあるでしょう。
しかし、攻撃の手口は日々巧妙化しています。企業担当者としては常にアンテナを高くして、自社を守るための最新の情報を共有することが大切です。具体的には「不審なメールは開かない」ことを徹底したり、標的型攻撃メール訓練サービスを利用したりする方法が挙げられます。
不正アクセスや不正操作の足がかりになりやすいのは、IDやパスワードのずさんな管理体制です。昨今は、リモートワークにおいて「リモートデスクトップ」を導入する企業が増えており、不適切な認証情報の管理により不正アクセスされてしまうケースが増加しています。
「リモートデスクトップ」は、社外から社内の端末を遠隔操作できるのが特徴です。それゆえに、リモートデスクトップを介して悪質な第三者に不正アクセスされると、社内ネットワークにつながっている端末が不正操作を受け、マルウェアのダウンロードにつながってしまいます。
端末のOSや利用しているソフトウェアは、システム内の脆弱性が見つかった場合に、対処するためにアップデートを推奨してきます。しかし、業務に支障があるからと後回しにして最新ではない状態で使用を続けると、脆弱性を放置することになるため危険性が高まります。
脆弱性を見極めるには、常に最新の状態を維持することが重要です。
外的要因に対しては、いくら対策を講じても、完璧にセキュリティ対策を施すことは難しいのが現実です。一方、人的要因についてはルール化や管理の徹底などにより、情報漏えいのリスクを低減できる可能性があります。
まずは自社内の状況を把握し、適切な対策を講じることから始めましょう。ここでは人的要因に対する対策について紹介します。
社員のセキュリティに対する意識が低いと、さまざまな情報漏えいにつながります。研修やセミナーへ参加させ、セキュリティへの意識を高めてもらうことが大切です。
研修などは、あくまで定期的に行う必要があります。他の対策を組み合わせ、適切なセキュリティを導入していても、社員の意識が低ければ意味がないため注意しましょう。
業務に使用されるパソコンやスマートフォンなどの端末は、きちんと会社側で把握・管理するようにしましょう。端末が会社からの貸与されたものか、社員の私物かに関係なく、不正アクセスの足掛かりとなるためです。
会社が用意したものであれば、セキュリティの導入状況は把握できます。しかし、社員の私物は管理の対象になっておらず、セキュリティが不十分である可能性もあります。
基本的には、不要な端末の持ち出し及び持ち込みは禁止してください。また、社外から社内にネットワーク経由で接続する必要がある場合には、利用する回線のセキュリティについても把握することが必要になります。
セキュリティへの認識が低い社員に情報漏えいの危険性を説明しても、習慣的にずさんに扱ってしまう可能性があります。具体的には、個人情報はどのようなものを指すのか、機密情報はどのレベルのものを指すのかを明確にし、言語化しておくことが必須です。
情報資産をずさんに扱ってしまう社員は、重要な書類を放置したり、パソコンの画面を開いたまま離席したりすることがあるため、注意しなければなりません。
ビジネスシーンでメールを利用する際、「あわや誤送信」というヒヤリハットを経験した方は少なくないでしょう。たった一度の操作ミスが、企業の信頼を揺るがす深刻な情報漏えいに直結するリスクは常にあります。
特に大量の顧客データや機密書類を誤った宛先へ送ってしまった場合、法的な責任や損害賠償に発展する恐れもあります。「気をつける」といった精神論だけでは、ヒューマンエラーを完全に排除することは難しいため、組織として「ミスが起こり得ない仕組み」を構築することが重要です。
たとえば「個人情報を含む機密性の高いデータは、メールへの添付を原則禁止する」「送信ボタンを押した直後、一定時間はサーバー側にメールを留める設定を行う」などのルールを定めましょう。
自社に最適な情報漏えい対策をご提案。まずは資料でサービス概要をチェック
おまかせサイバーみまもり セキュリティパッケージ パンフレット
情報漏えいが発生した場合、損害賠償の支払いや会社としての信頼性の失墜など、多方面でのリスクがあります。情報漏えいの原因には主に外部要因と人的要因の2つがあり、両面から対策を行わなければなりません。
「おまかせサイバーみまもり セキュリティパッケージ」は、中小企業に必要なセキュリティ対策をパッケージ化したオールインワンサービスです。
ネットワークの出入口防御と端末の防御に加え、手厚い運用サポートをワンストップで提供。サイバー攻撃への対策で重要な多層防御を、「おまかせサイバーみまもり セキュリティパッケージ」一つで実現可能です。
本サービスは24時間365日専門家が監視※し、万が一の時も迅速にサポートするため、情報システム担当者不在の企業にもおすすめです。
「情報漏えい対策について、どこから手をつければよいかがわからない」「専任の担当者がおらず手が回らない」など、セキュリティ対策について課題を抱えている企業担当者の方は、まずはお気軽にご相談ください。
「おまかせサイバーみまもり セキュリティパッケージ」について問い合わせをする
最後に、情報漏えいについてよくある疑問に答えます。
中小企業でも情報漏えい対策は必要です。サイバー攻撃は企業規模を問わず、被害に遭う可能性があります。最近は標的型攻撃の対象に中小企業が狙われるケースもあるため、対策が欠かせません。
情報漏えいが起きた場合、賠償金の支払い・業務停止による機会損失・再発防止対策への投資などが必要になるため、金額規模は一概には言えません。しかし、決して安く済むことはないため、被害に遭わないためにも対策が重要です。
情報漏えいに関連する主な法令は以下が挙げられます。
| 法令 | 概要 |
|---|---|
| サイバーセキュリティ基本法 | 国・地方公共団体・事業者が連携し、サイバー攻撃や情報漏えいから社会を守るための基盤となる法律 |
| 不正アクセス禁止法 | 他人のID・パスワードの悪用やシステムの脆弱性を突き、ネットワークを通じてコンピュータに不正侵入する行為を禁止し、処罰する法律 |
| 個人情報保護法 | 事業者が保有する個人データの漏えい・滅失・毀損を禁止する法律。重大な事案が発生した場合には、個人情報保護委員会への報告と本人通知が義務付けられている |
| マイナンバー法 | 個人番号(マイナンバー)の適切な管理・利用を定めた法律。情報漏えいした場合は個人情報保護法より厳格な刑事罰が適用される |
情報漏えいの原因には、主に外部要因と人的要因の2つがあり、それぞれに対して対策を講じる必要があります。
セキュリティ対策ソフトを導入して、情報漏えい対策を行ったつもりでいるだけでは不十分です。自社が使用している端末の種類や利用方法などによって、適切なセキュリティ対策ソフトは異なります。
特に、近年はリモートワークの推進やBPOの活用によって新たに多種の端末・ネットワークを導入したり、社外からインターネット回線を利用して接続したりすることが増えました。
新しいシステムの導入に気を取られ、セキュリティ対策ソフトの精査が後回しになっている企業担当者の方も少なくないでしょう。
「おまかせサイバーみまもり セキュリティパッケージ」には以下のような機能があり、クラウドサービスの利用におけるセキュリティ向上を図れます。情報漏えいへのリスクに危機感を抱いている方は、ぜひ導入を検討してください。
高度・複雑化するサイバー攻撃へ必要な最低限のセキュリティ対策をパッケージ化し、さらに運用・監視をまるっとすべてNTT東日本におまかせ可能!
「おまかせサイバーみまもり セキュリティパッケージ」の資料をダウンロードする
監修 山口 卓也(NTT東日本)
ビジネス開発本部 サイバーセキュリティビジネス部 セキュリティソリューション担当
2000年入社。法人営業SEとして大学・自治体向けシステム構築を経験後、2006年よりセキュリティ業務に従事。サービス開発や研究技術の事業化、社内システムのセキュリティ審査などを経て、現在は「おまかせサイバーみまもり」などのサービス開発PMを担当。グローバルな情報セキュリティ資格である、CISSP・CCSP保有。
編集 NTT東日本編集部
NTT東日本のサービス担当者が企画・監修を行う編集チームです。
中小企業の皆さまにとって身近で役立つ情報をお届けすることを目的に、サービスの特長や活用方法をわかりやすくご紹介しています。
日々の業務にすぐに活かせるヒントや、経営課題の解決につながるサービスの魅力を丁寧に発信しています。
関連サービス
おまかせサイバーみまもり セキュリティパッケージ
パソコン·スマートフォン100台以下のオフィスにおすすめの、法人·事業者さま向けネットワークセキュリティ対策です。不正アクセス、迷惑メール、有害メールなどの骨威から社内ネットワークを守るUTM機能に加え、有事の際に復旧支援します。
資料ダウンロード
【関連サービス】おまかせアンチウイルスEDRプラス/おまかせアン チウイルスパンフレット
おまかせアンチウイルスEDRプラス/おまかせアンチウイルスを導入することで、面倒な手間をかけずにウイルス対策ができるようになるポイントを紹介します!
個人情報保護法改正のポイントを途中経過からわかりやすく解説【2025年】
サイバー攻撃の手口とは?種類や事例、情報セキュリティ対策を紹介
マルウェアとは?企業が知っておきたい種類・感染経路・対策を解説
中小企業を脅かすサプライチェーン攻撃 事例から学ぶ対策の重要性
IDS・IPSなら不正侵入をリアルタイムで検知!それぞれの違いや防げる5つの攻撃
ダークウェブの危険性とは?会社の情報が漏れた時のリスクや対策法を解説
お電話でのお問い合わせ
0120-116-032
平日:9:00-17:00
年末年始(12/29~1/3)を除く
お気軽にお問い合わせください
