個人情報漏洩はなぜ起こる？実際の事例と併せて対策などを解説

近年、「不正アクセスにより個人情報が漏洩」、「ランサムウェア感染で個人情報流出」、「個人情報が保管されたUSBを紛失」などといったニュースがよく報じられるようになりました。この、個人情報が外部へ流出するという「漏洩インシデント」は、なぜ発生してしまうのでしょうか？また、漏洩を起こした企業はどんなダメージを被ることになるのでしょう？そして、漏洩を防ぐためにはどうすればいいのでしょうか？本記事では、2025年に実際に公表された事例を紹介しながら、個人情報漏洩の原因や対策、漏洩時の対応などについて解説します。

1, そもそも個人情報とは？

個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。このほか、個人の身体のデータや、個人に割り振られる公的な番号も個人情報であるとみなされます。

なお、個人情報保護法はこれまでに3度にわたって大きく改正されており、2022年4月に施行されたものが最新版です。この法律は今後も3年ごとに見直されることになっており、より厳しい内容へ変わっていくことが予想されます。またそれに伴って「個人情報」の定義も変更される可能性があります。そうなれば、例えばIPアドレスなど、現時点で単独では個人情報とみなされていない情報も、個人情報に含まれるようになる可能性があります。

個人情報取扱事業者（個人情報の取得、加工、保管、第三者への提供などを行う事業者）には、個人情報の漏洩などが生じないように適切な保護・管理措置を講じることが、個人情報保護法によって義務付けられています。

※企業にとっての個人情報というと顧客から提供された情報を連想してしまいがちですが、従業員から集めた個人情報も保護対象に該当します。いずれの情報に対しても適切な保護・管理が求められるということを忘れないようにしましょう。

「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」（第二節第二十三条）

2, 個人情報が漏洩する原因と実際のインシデント事例

法律で適切な保護が義務付けられているとはいえ、ニュースでも度々報じられているように、個人情報の漏洩は頻繁に起こっています。こうした漏洩インシデント（事件）はなぜ発生するのでしょうか？考えられる原因としては、以下のようなものが挙げられます。

①不正アクセス

②ランサムウェアなどのマルウェアへの感染

③人為的ミスや不注意（情報の誤掲載、データベースの設定ミス、メールの誤送付など）

④内部不正（従業員による不正な持ち出しなど）

⑤委託先での漏洩

⑥物理的な紛失や盗難（個人情報が保管されたデバイス、記録装置など）

⑦システムの障害や不具合

⑧セキュリティ対策の不備やセキュリティ意識の低さ

など。

個人情報漏洩を伴う2025年のインシデント事例

実際に、上記①〜⑧のいずれかを原因とする漏洩インシデントは複数発生しています。以下に、2025年に日本国内で公表された漏洩事例（※）をまとめました。

※以下の事例には、漏洩が確定しているものだけでなく「漏洩の恐れ（可能性）がある」とされる事例も含まれています。

①不正アクセス

• ある出版社が運営するWebサイトのサーバーがSQLインジェクションによる不正アクセスを受け、同社運営の模擬試験に関連する塾の関係者や、模擬試験受験者の個人情報が漏洩した可能性が発覚した。（公表月：2025年6月）
• ある婚活系サービス企業が運営するサイトのプログラムが不正アクセスを受け、顧客52名の個人情報が漏洩。漏洩の可能性が発覚しているものも含めると、影響を受ける顧客の人数は最大910,795名に上る。（公表月：2025年7月）
• あるシステム開発企業の社内ネットワークが、ソフトウェアの脆弱性を原因とする不正アクセス（ゼロデイ攻撃）を受け、同社が保有する顧客やパートナー、同社従業員の個人情報等の一部が外部に漏洩した可能性があることが判明した。（公表月：2025年7月）

②ランサムウェアなどのマルウェアへの感染

• 建設、重機、物流などの事業を展開する企業のサーバーが第三者による不正アクセスを受けてランサムウェア感染被害が発生し、各種業務データの一部が暗号化されたほか、同社が管理している取引先等の個人情報および秘密情報が一部外部へ漏洩した可能性が判明した。（公表月：2025年4月）
• ある総合包装メーカーが、ネットワーク機器の脆弱性を突かれたことによりランサムウェア攻撃の被害に遭った。これによりシステム障害が発生したほか、従業員の個人情報や業務関連情報が漏洩した可能性がある。（公表月：2025年5月、7月）
• コンクリートの防食工事などを行う企業の複数サーバーがランサムウェア攻撃の被害を受け、個人情報を含む同社保有の情報が漏洩した可能性が発覚した。（公表月：2025年5月、6月、7月）

③人為的ミスや不注意（情報の誤掲載、データベースの設定ミス、メールの誤送付など）

• 100円ショップなどを運営する企業の業務で利用されていた「Google グループ」の閲覧権限に設定不備があり、顧客、取引先、中途採用応募者、従業員等と同社がやりとりしたメールの一部が外部から閲覧可能な状態であったことが外部からの指摘により判明。これにより、1万件超の個人情報が漏洩した可能性がある。（公表月：2025年6月）
• ある自治体の産業立地・IT振興課の職員が、助成金交付企業A社の情報が入力されたエクセルデータを誤って別の企業14社に送信。これには、A社従業員186名分の個人情報が含まれていた。（公表月：2025年4月）

④内部不正（従業員による不正な持ち出しなど）

• 九州のある金融機関の職員が、取引先および同機関の関係者等の氏名や電話番号等約500件を流出させていたことが発覚。この職員は現金200万円の着服行為も行っており、懲戒解雇されている。（公表月：2025年3月）
• 生命保険会社A社から同一の生命保険代理店B社へ転職した元従業員4名が、当時自身が担当していた顧客の契約情報を持ち出していた疑いがある。またこれら4名のうち3名が所属していたA社営業所の事務社員が、顧客の契約情報の一部を同3名へ漏洩していた恐れがあることも発覚。当該事務社員はその後懲戒解雇されている。（公表月：2025年4月）

⑤委託先での漏洩

• ある医療法人がホームページへの情報掲載作業を委託している業者が、誤って患者の個⼈情報や病名等を含む情報を10日間ほどにわたりホームページに掲載。これにより、同院で手術を受けた患者の個人情報114件が漏洩した可能性がある。（公表月：2025年3月）
• ある国立法人の委託先B社の取引先企業C社が不正アクセスを受け、情報漏洩の可能性が否定できない事態に。B社の報告により、漏洩した恐れのある情報には、同国立法人の職員等の個人情報も含まれていたことが判明した。（公表月：2025年5月）

⑥物理的な紛失や盗難（個人情報が保管されたデバイス、記録装置など）

• 関東のある高等学校において、生徒の個人情報を含む学年末考査の解答用紙を職員が紛失。校内を捜索するも見つけ出すことができなかった。（公表月：2025年3月）
• ある一般財団法人の職員が、業務用に同法人から貸与されたPCの入ったカバンを出勤時に紛失。このPCには、要配慮個人情報を含む個人情報が保存されていた。（公表月：2025年3月）

⑦システムの障害や不具合

• ある社会福祉法人が運営するホームページが、数名分の個人情報が含まれた状態で公開されていた。原因は、ホームページのシステムの調整を行った際に使用したソフトウェアの予期せぬ誤作動だったとされている。（公表月：2025年1月）
• ある情報システム開発業者が実施したシステム改修の不具合により、特定の条件下で、顧客にほかの顧客の情報が表示される個人情報漏洩事案が発生した。（公表月：2025年6月）

⑧セキュリティ対策の不備やセキュリティ意識の低さ

• あるテーマパークの運営企業のネットワークがランサムウェアによる不正アクセスを受け、個人情報および機密情報が漏洩した可能性が発覚。同社は攻撃を防げなかった原因について、「通信ネットワークのセキュリティ体制に一部不備があったため、リモートアクセス機器の脆弱性を狙った不正アクセスに対処できなかったこと」であると発表している。（公表月：2025年1月、8月）

3, 個人情報漏洩による企業へのダメージ

個人情報の漏洩を起こすと、事後対応や顧客対応に追われたり、原因調査に費用がかかったり、場合によっては損害賠償を支払わなければならなかったりなど、企業は多大な打撃を被る可能性があります。これに加え、対外的な企業イメージや信頼が低下してしまうことも考えられます。

人的コストの発生

漏洩事件が起きた後は事後対応や顧客対応に時間を割かねばならなくなるため、社員の業務負担が増加します。日本ネットワークセキュリティ協会（JNSA）が漏洩被害組織に対して行ったアンケート調査によると、例えばWebサイトから個人情報が漏洩した場合、対応に要した組織の内部工数平均はひと月あたり9.2人（※）だったそうです。

※1人が1か月間働いた作業量を「1」とするもので、例えば10人が業務時間の半分を3か月間費やした場合、10人✖︎50%✖︎3か月＝15人（月）となる。（参考：JNSA「インシデント損害額調査レポート 別紙 2025年版」）

金銭的コストの発生

個人情報の漏洩が起きると、社員の負荷が増えるだけでなく、金銭面でも打撃を受けることになります。具体的には、以下のような金銭的コストが生じることが予想されます。

• 外部セキュリティ企業への委託費用（原因・影響範囲の調査やコンサル費用など）
• 法律相談費用
• システム復旧費用
• 再発防止費用
• 損害賠償
• 罰金
• （ランサムウェア被害などの場合）身代金

など

同じくJNSAの調査によれば、Webサイトから個人情報が漏洩した場合の平均被害金額は2,407万円だったとのことです。

企業イメージや社会的信頼の低下

「漏洩を起こした企業」だと世間に認識されると、企業イメージが低下したり、顧客や取引先からの信頼を失ってしまう可能性があります。また、漏洩開示後に株価の下落を経験した企業も少なくないことなども踏まえると、個人情報の漏洩は業績の低下にも繋がり得ると言えます。

4, 個人情報漏洩を防ぐための対策

では、企業にとって大きな痛手となり得る個人情報の漏洩を起こさないためには、どのような対策を講じれば良いのでしょうか？

自社が保有している個人情報の把握

まず大前提として、自社がどんな情報をどれくらいの量保有しているのかを把握しておく必要があります。この際、冒頭でもお伝えした通り、顧客の個人情報だけでなく、自社の従業員の個人情報についても棚卸しを行う必要があります。

個人関連情報の洗い出し

個人情報と併せて洗い出しておきたいのが、2022年4月の改正個人情報保護法で新たに設けられた「個人関連情報」です。個人関連情報とは、生存する個人に関する情報のうち、個人情報、仮名加工情報（※）、匿名加工情報（※※）のいずれにも該当しないものをいい、具体的には以下のような情報が想定されます。

• ある個人の属性情報（性別・年齢・職業等）
• Cookie等の端末識別子を通じて収集された、Webサイト閲覧履歴や商品購買履歴、サービスの利用履歴、あるいは個人の位置情報など

個人関連情報を第三者に提供する場合、提供先が所有するIDなどによって当該情報を「個人データ」として使用することが想定される際は、本人に第三者提供についての同意を得ることが義務づけられています。このため、企業は自社がどんな個人関連情報を保有しているのかを把握しておく必要があります。

（※）仮名加工情報とは、他の情報と照らし合わせない限り特定の個人を識別できないように、個人情報を加工して得られる個人に関する情報のことをいい、例えば元の個人情報の一部を削除したり、IDなどのように記号で置き換えたりしたものが該当します。

（※※）匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。

不正アクセスやマルウェアへの対策

先ほど紹介した通り、不正アクセスやマルウェアは個人情報漏洩の原因となり得ます。以下のような対策（※）を実施し、こうした脅威から組織を守ることが重要です。

• IDやパスワードなどを適切に管理する
• 容易に推測できるパスワードの使用やパスワードの使い回しを禁じる
• 多要素認証を導入する
• OSやソフトウェアを最新の状態に保つ
• ファイアウォールを設置する
• 許可されていないインターネットサービスや私物デバイス（シャドーIT※※）の使用を禁じる
• 不正アクセスを検知するためのシステム（IDSやIPS等）を導入する　など。

※不正アクセスについて詳しくは、こちらの記事もご覧ください：不正アクセスとは？事例や対策を関連法と併せて解説

※※シャドーITについては、こちらの記事で詳しく解説しています：シャドーITとは？リスクや事例、対策などについて解説

個人情報の取り扱いや持ち出しに関するルールの整備

先ほど紹介した通り、紛失や盗難、悪意による持ち出しなど、「人」が原因となって個人情報が漏洩してしまうケースもあります。このため、個人情報が保管されているPCやUSBメモリといったデバイスの取り扱いや持ち出しに関するルールを整備しておくことも求められます。

＜例＞

• 個人情報が記載されている書類や、保管されているデバイスを許可なく持ち出すことを禁じる
• 業務のために持ち出したPCを公共Wi-Fiに接続したり、業務外の目的で使用したりすることを禁じる
• 個人情報が記載されている書類や、保管されているデバイスを未対策のまま廃棄しない
• ルール違反時の罰則を定める

など

従業員教育

「事例」のところで紹介したように、セキュリティ意識の低さが漏洩を招いてしまうこともあります。このため、従業員教育を実施して危機感を持ってもらうことも大切です。

＜従業員教育の目的＞

• 従業員のセキュリティ意識を向上させる
• 個人情報取り扱いルールの周知、徹底
• 個人情報漏洩時のリスクについて伝え、危機感を共有

内部不正対策

内部不正による個人情報の漏洩を防ぐためには、以下のような対策が有効だと考えられます。

• 自社が保有している個人情報の重要度に応じた、取り扱い可能な内部者の範囲の決定
• 情報システム利用者IDおよびアクセス権の適切な設定・管理
• 個人情報の格納場所や取り扱う領域などの物理的な保護策実施（入退室管理など）
• PC等の情報機器やUSBメモリ等の携帯可能な記録媒体の管理・保護（持ち出し制限、盗難防止、廃棄時のデータ完全削除など）
• 個人情報へのアクセス履歴および利用者の操作履歴等のログや証跡の記録・保存

プライバシーマーク（Pマーク）の取得

プライバシーマーク（Pマーク）とは、適切な個人情報保護措置を講じていることが審査で認められた企業に対して付与される認証マークのことを言います。プライバシーマークを取得するためには個人情報を安全に管理するための仕組み・体制（個人情報保護マネジメントシステム/PMS）を確立する必要があるため、取得を目指すこと自体が個人情報漏洩リスクへの対策につながります。

また、すでにISMS（ISO 27001）認証を取得済み、またはこれから取得を予定している場合は、プライバシー情報の管理・保護に特化したISMSのアドオン認証「ISMS-PIMS認証（ISO 27701）」の取得によっても、個人情報保護体制の強化が期待できます。

対応マニュアルの作成

「漏洩を防ぐための対策」とは少し異なりますが、実際に漏洩が発生した時に迅速な対応を行えるよう、予めマニュアルを策定することも重要です。マニュアル作成にあたっては、各担当者の役割分担、指揮命令系統・責任者、および連絡系統・方法を明確化し、インシデントへの具体的な対処方法や対応ルールを明確に記載します。

5, 個人情報漏洩時の対応

実際に個人情報が漏洩してしまった時の対応は、上の図のように大きく分けて検知・初動対応⇨報告・公表⇨復旧・再発防止の3段階の流れで行われますが、ここでは主に、「報告・公表」の部分について解説します（※）。

※以下の記事では、個人情報漏洩にかかわらず、インシデント対応全般の流れについて解説していますのでこちらも併せてご覧ください：インシデント対応の4ステップとは？初動から事後までの流れをわかりやすく解説！

個人情報漏洩時の報告・公表

個人情報保護委員会への報告

個人情報が漏洩した場合または漏洩した恐れがある場合、多くのケース（※）で個人情報保護委員会への報告が必要になります。

※具体的にどんな条件下で報告が必要になるのかについては、個人情報保護委員会のページをご覧ください。

速報

個人情報が漏洩した、または漏洩した恐れがあることが発覚した場合、発覚日から3〜5日以内に当該事案を報告する（速報）必要があります。報告は原則として、個人情報保護委員会のホームページの報告フォーム（※）に入力するという形で行います。

速報には、以下の(1)〜(9)の事項を記入することが求められます。ただしすべてを報告する必要はなく、速報を出す時点において把握している内容のみでも構わないとされています。

(1) 概要

(2) 漏えい等が発生し、又は発生したおそれがある個人データの項目

(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数

(4) 原因

(5) 二次被害又はそのおそれの有無及びその内容

(6) 本人への対応の実施状況

(7) 公表の実施状況

(8) 再発防止のための措置

(9) その他参考となる事項

※なお、漏洩した情報にマイナンバーが含まれているかどうかによって使用する報告フォームは異なります。

確報

速報に加えて、発覚日から30日以内（不正な目的で行われたおそれがある場合は、発覚日から、60日以内）に確報を出さねばなりません。これも、個人情報保護委員会のホームページの報告フォームから行います。報告する内容は速報と同様の9事項ですが、確報時点では全事項の入力が求められます。

6, 個人情報漏洩時の罰則

個人情報が漏洩したこと自体に対する罰則があるわけではありませんが、場合によっては刑事罰が科されます。個人情報の漏洩が生じると、個人情報保護委員会により報告徴収や立入検査、勧告・命令などが行われることがありますが、立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合、命令に違反した場合などは刑事罰の対象となり得ます。また、個人情報の提供や盗用が不正な利益を得る目的で実施された場合も、刑事罰の対象となる可能性があります。なお法人に対して科され得る罰金の最高額は、1億円です。

最後に

上述のように、個人情報漏洩によって企業が被るダメージは大きく、場合によっては刑事罰を科されることもあり得ます。個人情報が漏洩する原因は複数考えられるため、それに応じて今回紹介したような対策を講じ、漏洩を未然に防止できるようにすることが重要です。

また、IPAが提供している資料「中小企業の情報セキュリティ対策ガイドライン」などを参考に組織の情報セキュリティ体制を強化することも、情報漏洩の防止に繋がります。さらに、個人情報保護に関する認証マークであるプライバシーマークの取得を目指すことも、漏洩対策として有効です。

弊社マキナレコードでは、プライバシーマークをはじめ、ISMSやISMSクラウドセキュリティ認証といった各種セキュリティ認証の取得支援を行っております。サービスについて詳しくは、弊社ホームページをご覧ください。