近年、「不正アクセスにより個人情報が漏洩」、「ランサムウェア感染で個人情報流出」、「個人情報が保管されたUSBを紛失」などといったニュースがよく報じられるようになりました。この、個人情報が外部へ流出するという「漏洩インシデント」は、なぜ発生してしまうのでしょうか?また、漏洩を起こした企業はどんなダメージを被ることになるのでしょう?そして、漏洩を防ぐためにはどうすればいいのでしょうか?本記事では、2023年に実際に公表された事例を紹介しながら、個人情報漏洩の原因や対策、漏洩時の対応などについて解説します。
- 個人情報漏洩を伴う2023年のインシデント事例
- 人的コストの発生
- 金銭的コストの発生
- 企業イメージや社会的信頼の低下
- 自社が保有している個人情報の把握
- 不正アクセス対策
- 個人情報の取り扱いや持ち出しに関するルールの整備
- 従業員教育
- 内部不正対策
- プライバシーマーク(Pマーク)の取得
- 対応マニュアルの作成
- 個人情報漏洩時の報告・公表
- 個人情報保護委員会への報告
1, そもそも個人情報とは?
個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。このほか、個人の身体のデータや、個人に割り振られる公的な番号も個人情報であるとみなされます。
なお、個人情報保護法はこれまでに3度にわたって大きく改正されており、2022年4月に施行されたものが最新版です。この法律は今後も3年ごとに見直されることになっており、より厳しい内容へ変わっていくことが予想されます。またそれに伴って「個人情報」の定義も変更される可能性があります。そうなれば、例えばIPアドレスなど、現時点で単独では個人情報とみなされていない情報も、個人情報に含まれるようになる可能性があります。
個人情報取扱事業者(個人情報の取得、加工、保管、第三者への提供などを行う事業者)には、個人情報の漏洩などが生じないように適切な保護・管理措置を講じることが、個人情報保護法によって義務付けられています。
※企業にとっての個人情報というと顧客から提供された情報を連想してしまいがちですが、従業員から集めた個人情報も保護対象に該当します。いずれの情報に対しても適切な保護・管理が求められるということを忘れないようにしましょう。
「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」(第二節第二十三条)
2, 個人情報が漏洩する原因と実際のインシデント事例
法律で適切な保護が義務付けられているとはいえ、ニュースでも度々報じられているように、個人情報の漏洩は頻繁に起こっています。こうした漏洩インシデント(事件)はなぜ発生するのでしょうか?考えられる原因としては、以下のようなものが挙げられます。
①不正アクセス
②マルウェアやランサムウェアへの感染
③人為的ミス(情報の誤掲載、データベースの設定ミス、メールの誤送付など)
④内部不正(従業員による不正な持ち出しなど)
⑤委託先での漏洩
⑥物理的な紛失や盗難(個人情報が保管されたデバイス、記録装置など)
⑦システムの障害や不具合
⑧セキュリティ対策の不備やセキュリティ意識の低さ
など。
個人情報漏洩を伴う2023年のインシデント事例
実際に、上記①〜⑧のいずれかを原因とする漏洩インシデントは複数発生しています。以下の表に、2023年に日本国内で公表された漏洩事例(※)をまとめました。
※以下の表には、漏洩が確定しているものだけでなく「漏洩の恐れがある」とされる事例も含まれています。また()内の年・月はインシデントの公表月または報道月を示しています。
原因 | 事例 |
①不正アクセス、⑤委託先 | 静岡県の温泉関連事業を受託する委託先事業者のストレージサービスに不正アクセスおよびノーウェアランサム被害があり、93件の個人情報が漏洩。(2023年12月) |
①不正アクセス | 中古車販売企業のWebサイトに不正アクセスがあり、2016年11月から2023年8月にお問い合わせフォームを利用した顧客の個人情報が漏洩。(2023年10月) |
電子機器の製造・開発・販売企業が手がけるICT教育アプリの開発環境データベースに不正アクセスがあり、国内外の同アプリ登録者の個人情報が漏洩。(2023年10月) | |
②マルウェア、ランサムウェア | 関東の国立大学大学院の保有するPCが標的型攻撃メールによりマルウェアに感染し、PCに保管されていた教職員や学生などの個人情報を含む情報が漏洩した恐れがある。(2023年10月) |
精密機器などを扱う企業の一部サーバーがランサムウェア攻撃を受け、顧客や取引先担当者、採用応募者、従業員および退職者に関する約60,000件の個人情報が漏洩。(2023年8月) | |
③人為的ミス | 富山市のテレビ局が、番組で収集した63人分の個人情報を誤って公式アプリ上で閲覧可能な状態にしていた。(2023年10月) |
関東の私立大学が、学内ネットワークシステムに教職員5,261名の個人情報を誤って掲載。掲載期間中に12名が対象情報をダウンロードしていた。(2023年7月) | |
④内部不正 | 鹿児島県水道局の職員が、市民の個人情報を業務外で不適切に閲覧したため戒告処分となった。(2023年10月) |
④内部不正、⑤委託先 | 東京都のパスポートセンターで窓口業務を担当していた委託業者の従業員が、申請者など1,920名分の個人情報を付せん紙へ書き写して不正に持ち出していた。(2023年11月) |
国内大手の電気通信事業者が同社のブランド2種に関する業務を委託している企業において、この委託先で業務を行っていた派遣社員が、個人情報を含む顧客情報約596万件を不正に持ち出していた。(2023年7月) | |
近畿地方の大学病院が受付業務を委託する企業の社員が、患者1名の個人情報を含む診療情報を故意に外部に流出させた。(2023年2月) | |
⑥紛失や盗難 | 千葉県の小学校教諭が同校在籍の児童約90名分の個人情報を含むSDカードを紛失(2023年9月) |
神奈川県の医療施設に勤務する医師の自宅で盗難事件が起こり、患者20人分のカルテ情報が保存されたUSBメモリが持ち去られた。(2023年9月) | |
⑦障害や不具合 | 古本や中古ゲーム販売を行う企業のWebサイトで、不具合により顧客約770名分の個人情報を本人以外の顧客が閲覧できる状態になった。(2023年10月) |
キャラクターグッズ販売などを行う企業のオンラインショップで障害が発生し、顧客が他人の個人情報を閲覧できる状態になった。最大145名の情報が漏洩したか、漏洩した恐れがある。(2023年10月) | |
⑧対策不備/意識の低さ | 人材派遣企業の社員が、新規顧客向けの営業DMに求職者2,259名分の個人情報が含まれたファイルを添付して送付。同社は、本来個人情報が開示されないようファイルを加工するプロセスになっていたが、当該社員の個人情報の取扱いに対する意識不足と送付時のチェック不足などによりこれが行われなかったと説明。(2023年9月) |
⑧対策不備/意識の低さ、⑥紛失や盗難 | 北海道の大学病院の臨床検査技師が、患者178名分の個人情報を含むUSBメモリを紛失。同院では個人情報管理に関するガイドラインを策定し、要機密情報をUSBメモリ等に保存する場合には当該デバイスまたは当該情報を暗号化するルールを定めていたが、紛失したUSBメモリは暗号化されていなかった。 |
(複数の情報源を参考に作成。情報源一覧はページ下部に記載)
3, 個人情報漏洩による企業へのダメージ
個人情報の漏洩を起こすと、事後対応や顧客対応に追われたり、原因調査に費用がかかったり、場合によっては損害賠償を支払わなければならなかったりなど、企業は多大な打撃を被る可能性があります。これに加え、対外的な企業イメージや信頼が低下してしまうことも考えられます。
人的コストの発生
漏洩事件が起きた後は事後対応や顧客対応に時間を割かねばならなくなるため、社員の業務負担が増加します。日本ネットワークセキュリティ協会(JNSA)が漏洩被害組織に対して行ったアンケート調査によると、例えばWebサイトから個人情報が漏洩した場合、対応に要した組織の内部工数平均はひと月あたり13.5人だったそうです。
金銭的コストの発生
個人情報の漏洩が起きると、社員の負荷が増えるだけでなく、金銭面でも打撃を受けることになります。具体的には、以下のような金銭的コストが生じることが予想されます。
- 外部セキュリティ企業への委託費用(原因・影響範囲の調査やコンサル費用など)
- 法律相談費用
- システム復旧費用
- 再発防止費用
- 損害賠償
- 罰金
- (ランサムウェア被害などの場合)身代金
など
同じくJNSAの調査によれば、Webサイトから個人情報が漏洩した場合の平均被害金額は2,955万円だったとのことです。
企業イメージや社会的信頼の低下
「漏洩を起こした企業」だと世間に認識されると、企業イメージが低下したり、顧客や取引先からの信頼を失ってしまう可能性があります。また、漏洩開示後に株価の下落を経験した企業も少なくないことなども踏まえると、個人情報の漏洩は業績の低下にも繋がり得ると言えます。
4, 個人情報漏洩を防ぐための対策
では、企業にとって大きな痛手となり得る個人情報の漏洩を起こさないためには、どのような対策を講じれば良いのでしょうか?
自社が保有している個人情報の把握
まず大前提として、自社がどんな情報をどれくらいの量保有しているのかを把握しておく必要があります。この際、冒頭でもお伝えした通り、顧客の個人情報だけでなく、自社の従業員の個人情報についても棚卸しを行う必要があります。
個人関連情報の洗い出し
個人情報と併せて洗い出しておきたいのが、2022年4月の改正個人情報保護法で新たに設けられた「個人関連情報」です。個人関連情報とは、生存する個人に関する情報のうち、個人情報、仮名加工情報(※)、匿名加工情報(※※)のいずれにも該当しないものをいい、具体的には以下のような情報が想定されます。
- ある個人の属性情報(性別・年齢・職業等)
- Cookie等の端末識別子を通じて収集された、Webサイト閲覧履歴や商品購買履歴、サービスの利用履歴、あるいは個人の位置情報など
個人関連情報を第三者に提供する場合、提供先が所有するIDなどによって当該情報を「個人データ」として使用することが想定される際は、本人に第三者提供についての同意を得ることが義務づけられています。このため、企業は自社がどんな個人関連情報を保有しているのかを把握しておく必要があります。
(※)仮名加工情報とは、他の情報と照らし合わせない限り特定の個人を識別できないように、個人情報を加工して得られる個人に関する情報のことをいい、例えば元の個人情報の一部を削除したり、IDなどのように記号で置き換えたりしたものが該当します。
(※※)匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。
不正アクセスやマルウェアへの対策
先ほど紹介した通り、不正アクセスやマルウェアは個人情報漏洩の原因となり得ます。以下のような対策(※)を実施し、こうした脅威から組織を守ることが重要です。
- IDやパスワードなどを適切に管理する
- 容易に推測できるパスワードの使用やパスワードの使い回しを禁じる
- 多要素認証を導入する
- OSやソフトウェアを最新の状態に保つ
- ファイアウォールを設置する
- 許可されていないインターネットサービスや私物デバイス(シャドーIT※※)の使用を禁じる
- 不正アクセスを検知するためのシステム(IDSやIPS等)を導入する など。
※不正アクセスについて詳しくは、こちらの記事もご覧ください:不正アクセスとは?事例や対策を関連法と併せて解説
※※シャドーITについては、こちらの記事で詳しく解説しています:シャドーITとは?リスクや事例、対策などについて解説
個人情報の取り扱いや持ち出しに関するルールの整備
先ほど紹介した通り、紛失や盗難、悪意による持ち出しなど、「人」が原因となって個人情報が漏洩してしまうケースもあります。このため、個人情報が保管されているPCやUSBメモリといったデバイスの取り扱いや持ち出しに関するルールを整備しておくことも求められます。
<例>
- 個人情報が記載されている書類や、保管されているデバイスを許可なく持ち出すことを禁じる
- 業務のために持ち出したPCを公共Wi-Fiに接続したり、業務外の目的で使用したりすることを禁じる
- 個人情報が記載されている書類や、保管されているデバイスを未対策のまま廃棄しない
- ルール違反時の罰則を定める
など
従業員教育
「事例」のところで紹介したように、セキュリティ意識の低さが漏洩を招いてしまうこともあります。このため、従業員教育を実施して危機感を持ってもらうことも大切です。
<従業員教育の目的>
- 従業員のセキュリティ意識を向上させる
- 個人情報取り扱いルールの周知、徹底
- 個人情報漏洩時のリスクについて伝え、危機感を共有
内部不正対策
内部不正による個人情報の漏洩を防ぐためには、以下のような対策が有効だと考えられます。
- 自社が保有している個人情報の重要度に応じた、取り扱い可能な内部者の範囲の決定
- 情報システム利用者IDおよびアクセス権の適切な設定・管理
- 個人情報の格納場所や取り扱う領域などの物理的な保護策実施(入退室管理など)
- PC等の情報機器やUSBメモリ等の携帯可能な記録媒体の管理・保護(持ち出し制限、盗難防止、廃棄時のデータ完全削除など)
- 個人情報へのアクセス履歴および利用者の操作履歴等のログや証跡の記録・保存
プライバシーマーク(Pマーク)の取得
プライバシーマーク(Pマーク)とは、適切な個人情報保護措置を講じていることが審査で認められた企業に対して付与される認証マークのことを言います。プライバシーマークを取得するためには個人情報を安全に管理するための仕組み・体制(個人情報保護マネジメントシステム/PMS)を確立する必要があるため、取得を目指すこと自体が個人情報漏洩リスクへの対策につながります。
※プライバシーマークについて詳しくは、こちらの記事もご覧ください:プライバシーマーク(Pマーク)とは?意義やメリット、制度概要について解説!
対応マニュアルの作成
「漏洩を防ぐための対策」とは少し異なりますが、実際に漏洩が発生した時に迅速な対応を行えるよう、予めマニュアルを策定することも重要です。マニュアル作成にあたっては、各担当者の役割分担、指揮命令系統・責任者、および連絡系統・方法を明確化し、インシデントへの具体的な対処方法や対応ルールを明確に記載します。
5, 個人情報漏洩時の対応
実際に個人情報が漏洩してしまった時の対応は、上の図のように大きく分けて検知・初動対応⇨報告・公表⇨復旧・再発防止の3段階の流れで行われますが、ここでは主に、「報告・公表」の部分について解説します(※)。
※以下の記事では、個人情報漏洩にかかわらず、インシデント対応全般の流れについて解説していますのでこちらも併せてご覧ください:インシデント対応の4ステップとは?初動から事後までの流れをわかりやすく解説!
個人情報漏洩時の報告・公表
個人情報保護委員会への報告
個人情報が漏洩した場合または漏洩した恐れがある場合、多くのケース(※)で個人情報保護委員会への報告が必要になります。
※具体的にどんな条件下で報告が必要になるのかについては、個人情報保護委員会のページをご覧ください。
速報
個人情報が漏洩した、または漏洩した恐れがあることが発覚した場合、発覚日から3〜5日以内に当該事案を報告する(速報)必要があります。報告は原則として、個人情報保護委員会のホームページの報告フォーム(※)に入力するという形で行います。
速報には、以下の(1)〜(9)の事項を記入することが求められます。ただしすべてを報告する必要はなく、速報を出す時点において把握している内容のみでも構わないとされています。
(1) 概要
(2) 漏えい等が発生し、又は発生したおそれがある個人データの項目
(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4) 原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項
※なお、漏洩した情報にマイナンバーが含まれているかどうかによって使用する報告フォームは異なります。
確報
速報に加えて、発覚日から30日以内(不正な目的で行われたおそれがある場合は、発覚日から、60日以内)に確報を出さねばなりません。これも、個人情報保護委員会のホームページの報告フォームから行います。報告する内容は速報と同様の9事項ですが、確報時点では全事項の入力が求められます。
6, 個人情報漏洩時の罰則
個人情報が漏洩したこと自体に対する罰則があるわけではありませんが、場合によっては刑事罰が科されます。個人情報の漏洩が生じると、個人情報保護委員会により報告徴収や立入検査、勧告・命令などが行われることがありますが、立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合、命令に違反した場合などは刑事罰の対象となり得ます。また、個人情報の提供や盗用が不正な利益を得る目的で実施された場合も、刑事罰の対象となる可能性があります。なお法人に対して科され得る罰金の最高額は、1億円です。
最後に
上述のように、個人情報漏洩によって企業が被るダメージは大きく、場合によっては刑事罰を科されることもあり得ます。個人情報が漏洩する原因は複数考えられるため、それに応じて今回紹介したような対策を講じ、漏洩を未然に防止できるようにすることが重要です。
また、IPAが提供している資料「中小企業の情報セキュリティ対策ガイドライン」などを参考に組織の情報セキュリティ体制を強化することも、情報漏洩の防止に繋がります。さらに、個人情報保護に関する認証マークであるプライバシーマークの取得を目指すことも、漏洩対策として有効です。
弊社マキナレコードでは、プライバシーマークをはじめ、ISMSやISMSクラウドセキュリティ認証といった各種セキュリティ認証の取得支援を行っております。サービスについて詳しくは、弊社ホームページをご覧ください。
情報源
https://b2b-ch.infomart.co.jp/news/detail.page?IMNEWS1=4520682
https://scan.netsecurity.ne.jp/article/2024/01/09/50431.html
https://scan.netsecurity.ne.jp/article/2023/11/07/50194.html
https://www.bigmotor.co.jp/lib/news/news_list.php?id=703
https://scan.netsecurity.ne.jp/article/2023/10/26/50152.html
https://www.casio.co.jp/release/2023/1018-incident/
https://www.u-tokyo.ac.jp/focus/ja/press/z0109_00952.html
https://scan.netsecurity.ne.jp/article/2023/10/30/50167.html
https://www.seikowatches.com/jp-ja/news/20231025
https://www3.nhk.or.jp/lnews/toyama/20231004/3060014513.html
https://cybersecurity-jp.com/news/85788
https://www.city.satsumasendai.lg.jp/soshiki/1035/1/2/2/11894.html
https://www3.nhk.or.jp/news/html/20231124/k10014268121000.html
https://scan.netsecurity.ne.jp/article/2023/12/21/50383.html
https://scan.netsecurity.ne.jp/article/2023/07/27/49731.html
https://www.plala.or.jp/support/info/2023/0721/index.html
https://www.med.kindai.ac.jp/notice/2023_0202_5695.html
https://www.city.chiba.jp/somu/shichokoshitsu/hisho/hodo/documents/230908-8.pdf
https://kcmc.kanagawa-pho.jp/info/news/20221005_copy_copy.html
https://www.nikkei.com/nkd/disclosure/tdnr/20231010564355/
https://scan.netsecurity.ne.jp/article/2023/10/13/50078.html
https://scan.netsecurity.ne.jp/article/2023/10/18/50108.html
https://contents.xj-storage.jp/xcontents/AS02450/ac2814a6/79e0/469b/87bf/b414a667e7cf/20231014132158177s.pdf
https://scan.netsecurity.ne.jp/article/2023/10/16/50090.html
https://www.ut-g.co.jp/id3neq81fx/wp-content/uploads/2023/09/news_0919.pdf
https://scan.netsecurity.ne.jp/article/2023/08/01/49753.html
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。