情報漏洩に繋がる「不注意」とは？実際の事例や対策を解説

メールの誤送信やWebページでの誤公開、重要情報が保管された端末の置き忘れなど、不注意によるミスが原因で情報漏洩が発生するケースが後を断ちません。実際に、IPA（独立行政法人情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威（組織編）」には、「不注意による情報漏えい等」という脅威が7年連続でランクインしています。本記事では、こうした「不注意」の具体例や実際のインシデント事例を紹介し、情報漏洩の発生を防ぐための対策についても解説します。

情報漏洩に繋がる「不注意」の具体例

では早速、具体的にはどのような「不注意」が情報漏洩に繋がり得るのかを見てみましょう。

代表的な5つの例

前述の「情報セキュリティセキュリティ10大脅威（2025年版）」の中で、IPAは「不注意」の例として以下を挙げています。

1, メールの誤送信

【考えられるシナリオ】

• 宛先誤り
• To/CC/BCC の設定間違い
• 添付ファイル間違い

など

【実際の事例】

新潟県の創業・イノベーション推進課において、80社の企業に対してメールを送付した際、本来「BCC」で送信すべきところを「CC欄」にメールアドレスを入力して送信したため、メールアドレス89件が漏洩。（公表時期：2025年1月）

2, Webサイトの設定不備

【考えられるシナリオ】

• 重要情報のマスキングの不備
• 公開ファイルや参照権限の誤り
• クラウドの設定の誤り

など

【実際の事例】

ある大学が学内で利用するクラウドサービス「Microsoft Teams」において、チーム内関係者のみで共有すべき情報（要配慮個人情報を含む資料）が、チーム外の大学教職員や学生にも閲覧可能な状態になっていた。同校は原因が「Teams におけるプライバシー設定についての知識が不十分であった」ためだと説明。具体的には、一部のチームで「プライバシー設定を『プライベート』と設定すべきところを『パブリック』として設定」してしまったとされる。（公表時期：2025年1月）

3, 外部サイトへの安易な機密情報の入力

【考えられるシナリオ】

• ネット上の掲示板やSNSへの情報の書き込みや投稿
• フィッシングサイトへのクレジットカード情報や銀行口座情報、パスワード等の入力

など

【実際の事例①】

ある市立病院において、職員が業務の参考にするために担当患者1名の電子カルテの内容を印刷したものを自らのスマートフォンで撮影し、その写真データを保存する目的で自身のInstagramへ投稿。投稿する際、当該職員は患者に関連する個人情報をすべて消去したつもりだったが、写真の一部分に当該患者の氏名とIDが残っていたため、個人情報が漏洩する形となった。（公表時期：2024年5月）

【実際の事例②】

ある大学の教員がフィッシングサイトでMicrosoft365のメールアドレスとパスワードを入力したところ、第三者がこれを窃取して当該アカウントへ不正にログインし、この教員を騙るフィッシングメールをほかの教員や学生、一部取引先へ送信。メールを受け取った学生のうち、約30名はメールの内容を信用して自身のメールアドレスとパスワードを入力してしまうというフィッシング被害に遭った。（公表時期：2024年6月）

4, 紛失

【考えられるシナリオ】

• PCやスマートフォン等、重要情報を保存した情報端末の紛失や移動時の置き忘れ
• USBメモリー等、重要情報を保存した記録媒体の紛失や移動時の置き忘れ

など

【実際の事例】

格闘技関連のある企業が運営するファンクラブにおいて、ファンクラブ会員に関する個人情報を保存したUSBメモリを紛失する事故が発生し、個人情報漏洩の恐れが生じた。（公表時期：2024年4月）

5, 重要書類（紙媒体）の紛失

【考えられるシナリオ】

• 契約書の紛失
• 個人情報が記載された書類の紛失

など

【実際の事例】

ある都立高校において、生徒の顔写真・氏名・出席番号などの情報を含む、教員が指導のために個人的に作成したファイルが行方不明に。この資料の紛失は、生徒から担任に対して、同校生徒の顔写真や氏名等を記載した資料の一部を撮影した画像が、同校生徒間で受け渡しされているとの申し出があったことで発覚した。当該ファイルには、一部生徒の服装や言動等に関する文言も記載されていた。（公表時期：2024年7月）

考え得るその他の例

上記のほかにも、以下のような「不注意」によって情報漏洩が発生する可能性が考えられます。

安易なパスワード設定や使い回し

デバイスやWebサービスなどのパスワードを推測しやすいものに設定していたり、デフォルトのまま変更していなかったり、ほかのサービスと同じものを使い回していたりすると、第三者に破られる可能性が高くなります。その結果、保存されていた情報が漏洩する恐れがあります。

【実際の事例】

ある資産運用会社の社員のクラウドEメールサービスへ第三者が不正にアクセスし、メールサーバーに保存されていたメール約2年分をダウンロード。これにより、同社顧客や取引先などの個人名やメールアドレス、電話番号といった個人情報が漏洩した。同社はインシデント発生の原因が、「定期的なパスワードの変更がなされていなかったこと、二段階認証の導入を検討するものの対応せずにいたことで弊社のセキュリティ対策が脆弱な状態となっていたこと」だったと説明している。（公表時期：2024年12月）

ソフトウェア更新の漏れ

OSやソフトウェアのアップデートには大抵、それまでのバージョンに見つかった脆弱性を修正するプログラムが組み込まれています。このため、アップデートの適用を忘れたり後回しにしていたりすると脆弱性が未修正のまま放置され、悪意ある第三者に脆弱性を突かれて情報を盗み取られるリスクが生じることになります。

【実際の事例】

ある建設会社のサーバーへ第三者が不正にアクセスし、サーバーに記録されていた情報の一部をランサムウェアによって暗号化。一部の個人情報を含む同社の取引情報を、ランサムウェアグループ（攻撃者）が運営するダークウェブ上のリークサイトへ掲載した。同社はこのランサムウェア攻撃を防ぐことができなかった主因が、当該サーバーのセキュリティ機器が「最新版へ更新されていなかったこと」にあったと発表している。（公表時期：2025年1月）

誤廃棄

PCやスマートフォン、USBメモリー、紙の書類などを誤って廃棄したり、内部に保存された情報を適切に削除しないまま処分したりすると、情報の漏洩に繋がる恐れがあります。

【実際の事例】

ある医療センターが医事会計窓口業務を委託している会社において、診療費入金に係る書類の一部を誤って廃棄する事案が発生。当該書類には、同センターにて支払いを行った患者の要配慮個人情報（患者氏名等）が4,334名分記載されており、そのうち、クレジットカード支払を利用した患者については、カード会社名およびカードの名義が記載されていたことから、個人情報の漏洩等（漏洩の恐れ）に該当する状況が生じた。（公表時期：2024年8月）

委託先や再委託先の従業員の不注意もリスクに

自組織の従業員だけでなく、自組織の情報を保有する委託先や再委託先企業の従業員による不注意も、情報漏洩の原因となる場合があります。

【実際の事例】

ある賃貸管理会社と関連会社のサーバー機器がランサムウェアに感染し、顧客の個人情報が外部へ流出した恐れがあることが判明。直接の原因は、同社のシステム保守を委託している委託先会社によりセキュリティ機器の設定変更が行われた際に、委託先担当者が「設定上のミス」を犯してセキュリティの不備が発生した点にあると報告されている。（公表時期：2024年8月）

「不注意」が情報漏洩等のインシデントに繋がったその他の事例

※「情報が漏洩した恐れがある」という事例も含みます

＜情報漏洩以外のインシデントも＞

不注意によって情報が漏洩するとどうなる？企業への影響

レピュテーションへのダメージ

不注意による情報漏洩の影響として、特に重大なのがレピュテーションへのダメージです。「不注意」が原因となると世間の心象が悪くなりがちであることから、漏洩を起こした組織の信用や信頼は大きく揺らぐ恐れがあります。ひいては、ビジネス機会の喪失といった二次的な影響も生じかねません。

従業員の負荷増大

情報が漏洩したり、漏洩の恐れが発覚すると、担当部署の従業員には大きな負荷がかかることになります。インシデント対応や事後対応、再発防止策の実施はもちろんのこと、被害者や関係各所への通知・問い合わせ対応、プレスリリースの発行といった不可的な業務も生じます。また、場合によっては個人情報保護委員会や警察への報告・通報が必要になることもあります。

金銭的ダメージ

不注意による過失が不正アクセスへ発展して情報が漏洩したケースでは、影響範囲の特定、インシデント内容の分析・調査、フォレンジック調査などが必要になることがあります。これらを外部のセキュリティ企業などに委託する場合はその費用がかかるほか、セキュリティコンサル費用や法律相談費用が必要になることもあり得ます。

また、不正アクセスなどのサイバー攻撃を伴わない場合（紛失や誤公開などによる漏洩等）でも、被害者への損害賠償の支払いや、個人情報保護法やGDPRなどデータ保護法をめぐる罰金/制裁金の支払いが発生することも考えられます。さらに、レピュテーションの低下や事業の中断が利益の喪失に繋がる恐れもあります。

不注意が発生する原因

情報セキュリティポリシーやルールの不在

守るべき情報セキュリティポリシーや具体的な運用ルールがきちんと定められていないと、不注意を招きかねない悪習が野放しになってしまう恐れがあります。例えば情報記録端末や重要書類の管理に関するルールが決まっていない場合、こうした端末/書類を無断で持ち出す従業員や、USBメモリの入ったカバンを持って宴席の場などに出向く従業員が出てきてもおかしくありません。

ルールへの違反・無知

一方で、ルールが明確に決まっていたとしても、従業員がこれに違反したりルール自体をよく把握していなかったりすると、不注意による情報漏洩が発生する可能性があります。

意識やモラルの低さ

社内の情報セキュリティに対する意識やモラルが低かったり、社内カルチャーがルーズだったりすると、情報漏洩への危機感が薄くなり、軽率な行動を取りやすくなることが考えられます。また、これらは前述のルール違反を招く要因にもなり得ます。

うっかりミス・勘違い・慣れ

逆に普段どれほど高い意識を持って情報を取り扱っていたとしても、人間である以上「ついうっかり」して情報漏洩を引き起こすようなミスを犯してしまうことがあり得ます。また、業務に慣れているが故に確認が疎かになり、例えばメールの送信時、宛先のCCとBCCを間違えたまま送信してしまうなどの事態を招くことも考えられます。

情報取扱い時の状況（体調不良や多忙等）

体調を崩している際や業務が忙しい時には注意が散漫になったり集中力が落ちたりすることが考えられます。例えば情報のアップロード時や共有時、普段であればアクセス権限の設定が正しいかをきちんとチェックできている従業員であっても、体調不良時には気が回らなくなってチェックを失念し、「権限のない人物が機密性の高い情報を閲覧できる」という状態を作り出してしまうかもしれません。

💡実際に最近、著名なセキュリティ専門家が体調不良によりフィッシングメールに騙されて認証情報を入力してしまうというケースが報告されました。被害に遭ったのは、メールアドレスを入力するとデータ漏洩の有無を調べられるサイト「Have I Been Pwned?」を運営することで知られるTroy Hunt氏で、同氏は自身のブログの中で、フィッシングに引っ掛かってしまった主因は「時差ボケ」と「疲労」にあると述べています。

関連記事：情報セキュリティ専門家のTroy Hunt氏がフィッシング被害、Mailchimpのメーリングリストを盗まれる

誤送信を当て込んだ偽のドメインの存在

不注意自体の原因というわけではありませんが、宛先メールアドレスの入力誤りの発生を見込んだ偽ドメインの存在も認識しておくことが重要です。攻撃者は、実在する組織の正規ドメインに似せたドッペルゲンガードメインを前もって用意していることがあります。このドッペルゲンガードメイン宛にメールが送られれば、記載された情報は攻撃者の手に渡ってしまうことになるのです。実際に国内でも、「gmail」とすべきところを「gmeil」と打ち間違えたために個人情報が流出した事例が報告されています。

不注意やヒューマンエラーによる情報漏洩への対策

①ルールの整備・徹底

まずは、情報の取り扱いに関する手順を明確に定めるなど、不注意による情報漏洩のリスクを最小限に抑えられるようにするためのルール作りが必要です。この際、従業員が確実に遵守できるよう、チェックすべき項目をリスト化するなど、運用しやすい体制を整えることも大切になります。

②外部に持ち出す情報や端末の制限

①のルールの整備とも重複しますが、情報漏洩を招く不注意の中でも特に紛失や置き忘れ、盗難を避けるためには、外部に持ち出す情報や端末を制限することや、持ち出す場合には必ず記録を取るようにするなどの厳格な運用・管理が求められます。また、あらかじめ扱う情報の重要度を分類し、それに応じた運用ができるようにしておくことが重要です。

関連記事：セキュリティポリシーとは？策定目的や記載事項の具体例までわかりやすく解説

③従業員教育

不注意によるミスを防ぐためには、従業員に日頃から情報漏洩への危機感を持って業務に臨んでもらうことが肝心です。そのためには、教育やトレーニングを実施して従業員の情報セキュリティに対する意識や情報リテラシーを高め、セキュリティに関する知識をつけさせる必要があります。

関連記事：情報セキュリティ教育はなぜ必要？「人」が原因のリスクや教育内容について解説

④メールの誤送信対策等の導入

メールの誤送信を防止する対策としては、メール送信時のルールや確認手順の作成などが重要なほか、誤送信対策用ツール/システムを導入することも一つの手です。このようなツールには、主に以下のような機能が備わっています。

• 送信時の宛先確認機能：メール送信前に「このアドレスで本当に正しいか？」と確認を促す画面を表示させる機能
• 送信保留機能：送信後一定時間は送信を取り消すことができる機能
• 自動BCC機能：大量のメールを一斉に送信する際に、宛先を自動でBCCに指定する機能
• 上長承認機能：メールの送信を一時的に保留し、上長が確認・承認した後に送信されるようにする機能

など

⑤適切な報告／連絡／相談

不注意による問題やインシデントが発生した場合に備えて体制を整えておくことも重要です。

• 問題発生時の内部報告体制を整備する
• 自組織に対する外部からの連絡向けに窓口を設置する
• 有事に社外の関係組織や公的機関等と連携を取ったり相談したりできるよう、コネクションを作ったり連絡体制を整えたりしておく
• インシデント対応計画を策定し、対応体制を整備する

関連記事：インシデント対応の4ステップとは？初動から事後までのフローをわかりやすく解説！

その他の対策

• 業務運用の自動化やシステム化により、作業負荷やヒューマンエラーの回避に努める
• 特定の担当者に業務を集中させない体制を整備する
• DLP（情報漏えい対策）製品を導入する
• 業務委託先に対するセキュリティ基準、選定基準を定め、委託先の情報管理を徹底させる

など

関連記事：委託先管理とは？情報セキュリティで重要な理由と実施方法

最後に

ここまで見てきた通り、「不注意」を大元の原因とする情報漏洩は頻繁に発生しており、どの組織でも起こり得る身近な脅威です。一方で、しっかりと「注意」できていれば防ぐことができるものでもあります。実際にインシデントが発生するリスクを軽減するために、今回紹介したような対策を取り入れることが重要です。特に、不注意は人間の心理や体調に関わるものであることから、適切な情報セキュリティ教育の実施や明確で守りやすいルールの整備が鍵となります。

こうした対策について考える際には、先ほども触れたIPAの「情報セキュリティ10大脅威」や、同じくIPAの「中小企業の情報セキュリティ対策ガイドライン」といった公開ガイドライン/資料を参考にするのもおすすめです。

一方で、自社だけで十分な対策や体制作りを実施できるか不安がある、どこから始めればいいのかわからない、セキュリティに詳しい社員がいない、といった課題を抱えている場合には、外部のセキュリティ企業に相談するのも1つの手です。

株式会社マキナレコードでも、情報セキュリティ教育やポリシー/ルールの整備、セキュリティ体制構築など、幅広くお客様をサポートしています。弊社サービスについて詳しくは、ホームページをご覧いただくか、以下のバナーより無料の資料をご請求ください。