個人情報漏洩はどの企業でも発生する可能性があります。個人情報漏洩が起これば、イメージ低下や風評被害にもつながり大きなダメージをもたらすでしょう。個人情報漏洩を防ぐためにはどのようなことが原因で起きてしまうのかを知ることが大切です。
そこで本記事では、個人情報漏洩の事例7選や個人情報漏洩の原因5選を紹介しています。さらに、個人情報漏洩による企業や個人のリスクをそれぞれ解説しています。ほかにも、個人情報の漏洩について知るにあたって、そもそも個人情報とは何なのかといった疑問を解消するべく、個人情報の定義を紹介しています。
記事の後半では、個人情報漏洩対策における3つのポイントについても解説していますので、ぜひ最後までご覧ください。
個人情報漏洩の事例7選
個人情報漏洩は、企業のみならず個人でも発生する可能性があります。以下で、個人情報漏洩の事例を紹介します。各事例の漏洩の原因を詳しく見ていきましょう。
株式会社ベネッセコーポレーション:不正な情報持ち出し
2014年7月、株式会社ベネッセコーポレーションは、顧客の個人情報が漏洩したと公表しました。漏洩の原因は、株式会社ベネッセコーポレーションのシステム開発・運用を行っていた企業の業務委託先の元社員による不正な情報持ち出しです。元社員は、不正に取得した情報を名簿業者3社へ売却しました。展開するサービスの登録者の氏名、性別、生年月日、住所、電話番号や、登録された子どもの氏名、性別、生年月日などの情報が流出しました。個人情報の流出件数は、約2,895万件と大規模な漏洩です。株式会社ベネッセコーポレーションは、本事例への対応に伴い、260億円の特別損失を計上しました。
参照元:株式会社ベネッセホールディングス|<お客様情報の漏えい> 弊社グループ会社の業務委託先の元社員の逮捕について
北海道国民健康保険団体連合会:データ誤送信
2021年7月、北海道国民健康保険団体連合会でデータの誤送信による個人情報漏洩が発生しました。市民の健康状態の分析作業を行っていた際に、システムから抽出したデータの格納先を誤って指定し、さらに確認作業を怠ったため誤送信を招きました。登別市の後期高齢者医療被保険者8,903人分の氏名等の基礎情報、2020年度の健診結果などの医療・健診・介護情報238項目が、佐呂間町と豊頃町の町役場に誤送信されました。
参照元:北海道のこくほ|個人情報等を含むデータの誤送信に関する報告とお詫び
株式会社メタップスペイメント:不正アクセス
2022年2月に、株式会社メタップスペイメントが大規模な個人情報の漏洩を発表しました。最大で460,395件ものクレジットカード情報が漏洩した可能性があるとのことです。さらに、コンビニ決済109件、ペイジー決済17件、電子マネー決済33件などの情報も流出しました。漏洩の原因は、決済データセンターサーバー内のアプリケーションの脆弱性を突いた不正アクセスが行われたことでした。
参照元:株式会社メタップスペイメント|不正アクセスによる情報流出に関するご報告とお詫び
森永製菓株式会社:不正アクセス
2022年3月には森永製菓株式会社が、展開する通信販売事業の顧客情報が漏洩した可能性があると発表しています。インターネット回線に設置していたネットワーク機器の脆弱性が悪用され、不正アクセスが行われた可能性が高いとのことでした。複数のサーバーに障害が発生したため、原因を調査したところ第三者による不正アクセスが判明しました。最大で1,648,922人もの個人情報が漏洩した可能性があるとのことです。
参照元:森永製菓株式会社|不正アクセス発生による個人情報流出の可能性のお知らせとお詫び
デジタル庁:システム不具合
2022年3月に、デジタル庁が運用する法人向け共通認証システム「GビズID」で、個人情報の漏洩が発生しました。「GビズID」の利用者が自社の利用者情報を取得しようとしたところ、他社利用者のメールアドレス、氏名、勤務先住所、電話番号、生年月日といった個人情報が取得される事象が発生しました。同じような事例は2件発生しており、合計262人の個人情報が他社によって取得されました。漏洩の原因は、「GビズID」の自社の利用者情報の取得機能システムに不具合が生じたためです。
野村不動産株式会社:メール誤送信
2022年5月、野村不動産株式会社で、メール誤送信による個人情報の漏洩が発生しました。社員がメールを送信する際に、BCCにメールアドレスを入力すべきところを誤って宛先に入力し、送信したことが原因です。メールの受信者からの指摘で、メール誤送信の発生が判明しました。展開するサービスの会員1,023件のメールアドレスが流出し、メールの受信者から他の会員のメールアドレスが見られる状態となっていました。
参照元:野村不動産株式会社|電子メール誤送信による個人情報の流出に関するお詫び
株式会社JTB:アクセス権限の誤設定
2022年10月、株式会社JTBが観光庁の補助事業者として行うクラウドサービスの管理・運用業務において、アクセス権限の誤設定による個人情報漏洩が発生したと発表しました。本来申請する間接補助事業者は自社の申請書にのみアクセスできる仕様とすべきところ、アクセス権限の誤設定により、ログイン権限を有する間接補助事業者が相互に閲覧できる状態となっていました。最大で11,483人分の個人情報が含まれる1,698件の申請書類及び補助金交付申請書などが漏洩しました。
参照元:国土交通省観光庁|株式会社JTBが管理・運用する情報共有ツールにおけるアクセス権限の誤設定による個人情報等の漏洩について
そもそも個人情報とは?【生存する個人に関する情報】
個人情報保護法において、個人情報とは「生存する個人に関する情報で、氏名、生年月日などによって特定の個人を識別できるもの、個人識別符号が含まれるもの」のことを指します。具体的には以下の情報が個人情報に該当します。
氏名、生年月日などによって、特定の個人を識別できるもの
- 氏名、生年月日、性別、住所、電話番号、メールアドレス、職業、会社の職位などの情報
個人識別符号が含まれるもの
- DNA情報、指紋、虹彩の模様、声帯の振動、手の甲の静脈、歩行の態様などの情報
- 旅券番号、基礎年金番号、マイナンバー、運転免許証番号、健康保険の保険者番号、住民票コードなどの情報
個人情報保護法における個人識別符号とは、番号や記号、符号などからその情報単体で個人の特定が可能な情報のことです。個人情報が漏洩すると悪意のある第三者に悪用され、犯罪に利用される可能性があります。漏洩を防ぐためにも個人情報の安全な管理体制が求められています。
個人情報漏洩の原因5選
個人情報漏洩が発生する原因はどのようなものなのでしょうか。以下で、個人情報漏洩の原因5選を解説します。
紛失・置き忘れ
紛失・置き忘れは、誰でも引き起こしてしまう可能性がある原因の一つです。USBメモリなどに個人情報が含まれるデータを外部に持ち出した際に紛失してしまうケースです。具体的には、会社から貸与されたスマートフォンやパソコンが入った鞄を電車やタクシーに置き忘れてしまったり、個人情報が記載された書類を外出先で紛失してしまったりなどのケースが考えられます。また、社会情勢の変化に伴い、テレワークなどで利用したコワーキングスペースや飲食店へデバイスや書類を置き忘れるケースも考えられるでしょう。
誤操作
メールの誤送信やシステムの誤操作による漏洩もあります。メールの送信先を間違える、他の送信先メールアドレスが表示される形でメールを送信する、システムに個人情報が含まれるデータを誤ってアップロードするといったケースが考えられます。メールの誤送信は、名前が似ている人のメールアドレスに誤って送信したり、「TO」「CC」「BCC」の宛先設定を間違えたりなどのヒューマンエラーです。
以下にクラウド型のメール誤送信防止サービス「Active!vaultSS」の資料をご用意しております。メールの誤送信による情報漏洩を7つのアプローチで防ぎます。メール誤送信防止サービスをお探しの方はぜひご覧ください。
メール誤送信防止サービス「Active! vault SS」の資料ダウンロードはこちら
不正アクセス
悪意のある第三者によるコンピューターへの不正アクセスも漏洩の原因の一つとなっています。システムの脆弱性を突いて外部から侵入し、コンピューターを乗っ取ります。不正アクセスの内容で多いのは、IDとパスワード(識別符号)の窃盗です。パスワード管理の甘さに付け込み不正入手し、サーバーに保存されている個人情報を盗みます。さらに、盗んだ個人情報を利用し、インターネットバンキングの不正利用などにつながるケースも発生しています。
盗難
パソコンが盗難されたり、USBメモリでデータを抜き取られたりといった盗難による漏洩もあります。パソコンを置いたまま離席するなど、誰もが出入りできる場所に無施錠で個人情報を含んだデータを保管している場合に発生します。自宅以外の場所でのテレワークなど社外での業務中にちょっとした油断で、スマートフォンやパソコン、USBメモリなどが置き引きの被害に遭うケースも珍しくありません。また、車上荒らしの被害に遭い、車内に保管していた個人情報を含むデバイスが盗まれるケースも考えられるでしょう。
内部不正行為・情報持ち出し
個人情報漏洩は、企業の社員や元社員、業務提携先の社員といった内部の人間による不正行為が原因となるケースもあります。個人情報の転売、企業への報復などを目的として意図的に情報を外部へ持ち出します。個人情報と引き換えに金銭を得たり、待遇などの不満から個人情報を悪用し企業に甚大な被害をもたらすことで報復を果たしたりします。
内部の人間による不正行為・情報持ち出しは、高度なITスキルがなくても実行しやすく、企業に大きな被害を与えられる点が特徴です。監視の目がないタイミングを見計らって、データを個人のメールアドレスに送信したり、データをUSBメモリにコピーしたりと不正を働きます。
個人情報漏洩による企業・個人のリスク
具体的なセキュリティ対策を検討するためには、どのようなリスクがあるかを十分に理解する必要があります。個人情報漏洩による企業・個人のリスクを詳しく見ていきましょう。
企業の場合
企業の個人情報漏洩のリスクは、とても高いといえます。個人情報を漏洩してしまうと、被害者への損害賠償金が発生します。被害者への損害賠償額は、漏洩した情報にセンシティブな内容が含まれているかや、二次被害の有無などの観点から1人当たりの損害賠償額が算定されます。損害賠償金は、1人当たりの損害賠償額と、漏洩した個人情報の件数が大きいほど高額になるでしょう。
また、個人情報保護法の監督機関である個人情報保護委員会の措置命令に違反すると、刑事罰の罰金が科される可能性があります。そのほか、裁判費用、原因究明費用、再発防止策やセキュリティ対策にかかる費用、事業停止の損失などが発生します。さらに、個人情報漏洩はユーザーの不信感を生み、企業のイメージ低下や風評被害にもつながるでしょう。
個人の場合
個人レベルの個人情報漏洩であっても大きなリスクがあるでしょう。クレジットカードの不正利用や架空請求、なりすましによるローン契約、詐欺といった金銭的被害が考えられます。また、個人情報が転売され、頻繁に勧誘電話がかかってきたり、ダイレクトメールが送られてきたりするケースもあります。さらには、SNSやWebサイトのIDとパスワードを盗まれ、アカウントを乗っ取られてしまうなどの被害も考えられるでしょう。
そのほかにも、自分だけでなく家族など周囲の人を巻き込む恐れのある、窃盗や空き巣被害に遭う可能性も否定できません。
個人情報漏洩対策における3つのポイント
個人情報漏洩対策における3つのポイントを解説します。大切なポイントをまとめましたのでぜひご参考になさってください。
情報セキュリティ教育を実施する
個人情報漏洩は、ヒューマンエラーが原因となる場合もあります。そのため、社員一人ひとりが情報セキュリティの正しい知識と、高いセキュリティ意識を持つことが大切です。情報セキュリティ講習の開催や、定期的なメールやチャットツールでの注意喚起などを実施しましょう。
なお、社員が与えられた権限の範囲で不正を行う場合、情報セキュリティ教育の実施で防ぐことは難しいです。常に社員を疑いながら業務を行う必要はありませんが、適切な権限を付与し、社員ができることの範囲は管理・把握しておきましょう。
適切なセキュリティ製品を導入する
個人情報漏洩対策に有効な手段として、適切なセキュリティ製品の導入が挙げられます。適切なセキュリティ製品を導入するためには、自社のセキュリティ状況を正確に把握することが大切です。現状や目的に応じて、どのような製品やサービスが必要か検討しましょう。
セキュリティ製品は大きく分けると、スマートフォンやパソコン、サーバーを守る「エンドポイント系」、社内ネットワークを守る「ネットワーク系」、一般犯罪から会社を守る「物理セキュリティ系」の3種類です。自社のセキュリティ状況や目的に合うか、自社のIT機器に対応しているか、統合管理ができるか、コストに見合っているかなどをポイントに選ぶとよいでしょう。
緊急時の対策方針を決めておく
個人情報漏洩対策において、緊急時の対応方針を決めておくことが重要です。外部からの不正アクセスやサイバー攻撃を受けた際や、社員の過失や内部不正によって個人情報漏洩が発生した際の対応方針をあらかじめ決めておきましょう。どのような事象の発生が緊急時なのかや緊急時の連絡体制、緊急時の初動対応、緊急時の解決方法などの対策方針をマニュアルにまとめておくとスムーズに報告・処置できます。企業自らが情報セキュリティ対策に取り組むことに加えて、緊急時の相談窓口があるとよいでしょう。
メールの誤送信を防ぐなら「Active! vault SS」がおすすめ
メール誤送信対策に有効なセキュリティ製品「Active! vault SS」がおすすめです。「Active! vault SS」は、Google Workspaceをはじめとした代表的なグループウェアと連携し、メールを保存するクラウド型メールアーカイブサービスです。送信メールの一時保留、添付ファイルの暗号化、添付ファイルのWebダウンロード、添付ファイルのWebダウンロード、送信拒否、時間差配信、上司承認の7つの機能でメール誤送信を阻止します。
メールアーカイブ機能では、送受信メールをリアルタイムでクラウドに保存します。メールの保存期間は、1年間、3年間、5年間から選べ、ニーズに合わせて利用することが可能です。また、日本語対応の高度な検索機能を備えており、細かく条件を設定しメールを的確に検索できます。検索ユーザーは付与された権限内でメールを検索したり、検索結果をダウンロードしたりすることが可能です。
メール検索の操作を行えるユーザーを制限することも可能で、3人まで作成できます。システム管理者は、すべてのユーザーのログイン履歴、システム履歴、検索履歴を参照できるので、アクセスコントロールできます。さらに、アーカイブしたデータを毎月自動的に送付する「データのメディア送付サービス」を提供しており、メディアを有効活用すればローコストでデータを長期保管できます。保存1年間の場合は1年後からです。
以下にメール誤送信防止サービス「Active! vault SS」の資料をご用意しております。ぜひご覧ください。
メール誤送信防止サービス「Active! vault SS」の資料ダウンロードはこちら
専用のセキュリティサービスを使って個人情報漏洩を防ごう
個人情報漏洩は、誰にでも、どの企業でも発生する可能性があります。個人情報漏洩が起これば、企業は大きなダメージを受けます。損害賠償金の支払いだけでなく、企業のイメージ低下にもつながります。どんなに気を付けていてもヒューマンエラーを完全に防ぐことはできません。専用のセキュリティサービスを活用すれば、個人情報漏洩を可能な限り軽減できます。メール誤送信防止サービスの導入を検討されている方は、ぜひ「Active! vault SS」をぜひご利用ください。
