「個人情報漏洩が起こるとどうなるの?具体的なリスクが知りたい」
「個人情報漏洩を起こさないためには?どのような対策ができるの?」
昨今、日本企業で増えている個人情報の漏洩。企業が個人情報漏洩を起こすとどうなるのか、気になる方も多いのではないでしょうか?
企業が個人情報漏洩を起こすと、下記の3つのことが起こる可能性があります。
最悪の場合は刑事罰や民事訴訟の対象となり、罰金刑や損害賠償請求を受けるリスクがあります。このような処分を受けると企業のイメージダウンとなり、利益の縮小や顧客離れを起こします。企業によってデメリットでしかない個人情報漏洩を防ぐには、日頃から下記のような対策を行うことが欠かせません。
そこでこの記事では、個人情報漏洩の概要やリスク、個人情報漏洩が起きたときの対応を具体的に解説していきます。とくに個人情報漏洩を防ぐための防止策は詳しく解説しているので必見です。
【この記事を読むと分かること】
・個人情報漏洩とは
・個人情報漏洩の現状
・事例・個人情報が漏洩するとどうなる?起こり得る3つのリスク
・個人情報が漏洩する5つの原因
・個人情報漏洩が起きたらどうする?4つのステップ
・個人情報漏洩が起きたときに絶対にしてはいけないこと
・個人情報漏洩を起こさないための5つの対策
目次
1. 個人情報漏洩とは
個人情報漏洩とは、本来企業の外部に漏れてはいけない個人情報が何らかの原因により漏れてしまうことです。インターネット経由での情報のやり取りやパソコン、タブレットでの情報管理など個人情報の扱い方や管理方法が多様化した反面、情報漏洩のリスクが増しています。
個人情報漏洩の一例としては、下記のようなことが該当します。
・顧客リストの入ったUSBメモリーカードが紛失する
・パソコン内に保存していた顧客の氏名や住所が不正アクセスにより流出する
・複数人のメールアドレス
・氏名を含んだ重要なメールを誤って外部に送信する
1-1. 個人情報に該当する情報
個人情報漏洩の対象となる「個人情報」は、個人情報保護法で下記のように定義されています。
生存する個人に関する情報であり氏名、生年月日その他の記述等で作られる特定の個人を識別することができるもの。
分かりやすく言い換えると
・生存中の個人に関する情報であること
・特定の個人を識別できる情報や個人識別符号が含まれる情報
の2つの条件を満たすものが個人情報です。代表的な個人情報には、住所や電話番号、マイナンバーカードや保険証の識別番号が該当します。
【個人情報の代表例】
・氏名
・生年月日
・住所
・電話番号
・パスポートの番号
・マイナンバーカードや保険証、免許証などの識別番号
・クレジットカード番号
また、個人情報には「個人を識別できる個人識別符号」も含まれるため、個人が識別できるレベルの防犯カメラ映像や音声データ、写真も該当します。
企業で注意したいのは、メールアドレスです。個人の識別ができないメールアドレスなら個人情報に該当しませんが、企業の場合は「yamada taro@会社名co.jp」など社名や個人名を含むアドレスを設定しているケースがあります。この場合は、メールアドレスも個人を識別できる情報に含まれます。
2. 個人情報漏洩の現状・事例
東京商工リサーチが実施した「2022年上場企業の個人情報漏えい・紛失事故調査」によると、上場企業(子会社含む)で個人情報の漏洩・紛失事故を公表したのは150社となっています。漏洩した個人情報は592万7,057人分にのぼり、2019年より増加し続けています。
参考:東京商工リサーチ「2022年上場企業の個人情報漏えい・紛失事故調査」
2022年の個人情報漏洩・紛失事故の原因は、ウイルス感染や不正アクセスが過半数を占めており、次いで誤送信や紛失などの人的ミスが個人情報漏洩を引き起こしています。
参考:東京商工リサーチ「2022年上場企業の個人情報漏えい・紛失事故調査」
個人情報漏洩の原因となった媒体は社内システムやサーバーが多く、セキュリティ対策や社内ルールの策定と遵守が必要です。
参考:東京商工リサーチ「2022年上場企業の個人情報漏えい・紛失事故調査」
また、個人情報漏洩が発生している業界は製造業や情報・通信業、運輸業など幅広く、業種問わず個人情報漏洩が起こるリスクがあることが分かります。
2023年に入ってからも下記のように、立て続けに個人情報漏洩が発生しているのが現状です。
| 2023年上半期に発生した主な個人情報漏洩事件 | ||
| 1月 | 不正アクセス | 「アフラック生命保険」で業務委託先が利用しているサーバーが不正アクセスを受け、約130万人分の個人情報が漏洩 |
| 1月 | 不正アクセス | アパレルブランドを展開している「株式会社アダストリア」ではサーバーが第三者による不正アクセスを受け約104万件の個人情報が漏洩した可能性があると発表 |
| 2月 | 不正アクセス | ソフトウェアの開発、販売をしている「ソースネクスト」では自社の電子商取引サイトが不正アクセスを受け約11万件のクレジットカード情報などの個人情報が漏洩した可能性があると発表 |
| 2月 | 不正アクセス | 通販サイトを運営する「三京商会」では不正アクセスにより約9,000人分のクレジットカード情報が流出した可能性があると発表 |
| 3月 | 不正アクセス | 「NTTドコモ」の業務委託先が利用しているパソコンから利用者約530万件の個人情報が流出した可能性があると発表 |
| 4月 | 不正アクセス | コンタクトレンズメーカー「株式会社シード」ではサーバーへの不正アクセスにより個人情報が最大約7万件流出した可能性があると発表 |
| 4月 | 不正アクセス | 化学メーカー「東邦化学工業株式会社」ではサーバーへの不正アクセスにより株主や採用試験応募者、取引関係者、元社員などの個人情報の一部が漏洩したと発表 |
| 4月 | 不正アクセス | 「小学館」の弊社取締役が使用する会社貸与スマートフォンから個人情報が漏洩した可能性があることを発表 |
| 4月 | 誤送信 | 「近鉄百貨店」では食品業者など79社分の卸価格などの情報がメールの誤送信により取引業者2社に漏洩したと発表 |
| 5月 | 不正アクセス | 製薬会社「エーザイ株式会社」では不正アクセスを受け取引先関係者最大約1万1000件分の氏名・メールアドレスが漏洩した可能性があると発表 |
| 5月 | 管理ミス | 「トヨタ自動車株式会社」では子会社であるトヨタコネクティッドが管理する国内顧客情報で新たに約26万人のデータが一部インターネット上で公開状態になっていたと発表 |
| 6月 | 紛失 | 「NHK放送文化研究所」では世論調査対象者1,200人分の個人情報を含む資料を紛失したと発表 |
| 6月 | ウイルス攻撃 | 事務用品を手掛ける「コクヨ株式会社」では解決処理システムにランサムウェア攻撃があり個人情報が漏洩した可能性があると発表 |
| 6月 | 管理ミス | 「WOWOW」では動画配信サービス「WOWOWオンデマンド」で最大約8万人の個人情報が漏洩したと発表 |
ここでは、2023年に発生した個人情報漏洩・個人情報漏洩した可能性がある4つの事例を詳しく解説していきます。
2-1. 事例①スマートフォンから個人情報が漏洩
2023年4月に「小学館」の取締役が使用する会社貸与スマートフォンから、個人情報が漏洩した可能性があると発表がありました。スマートフォンに登録されていた302件分の
・氏名
・電話番号
・メールアドレス
・住所や会社名(一部)
が個人情報に該当します。会社貸与スマートフォンに宅配業者を装ったSMSが届き、アカウントとパスワードを入力してしまったことが原因です。情報入力後にスマートフォンに表示された通知により、第三者による不正アクセスがあったことが判明したそうです。
今後の対策としてはアカウントの管理や個人情報の取扱いについて指導を徹底し、セキュリティの強化に努めるとのことです。
2-2. 事例②個人情報を含む資料を紛失
「NHK放送文化研究所」では、2022年に実施した世論調査の対象者1,200人分の個人情報を記した資料が紛失したと発表しました。
資料は施錠された棚で保管をしていましたが、保管期限が切れる前に棚を確認したところ紛失が発覚しました。紛失した資料には調査対象者の
・氏名
・住所
・生まれた年
・性別
といった個人情報が含まれていたそうです(回答内容は含みません)。紛失の対象者にはお詫びや経緯を示す文面を発送しただけでなく、再発防止が徹底されるまでは調査を停止することになりました。
参考:NHK「NHK放送文化研究所 世論調査の対象1200人分の個人情報資料紛失」
2-3. 事例③不正アクセスにより取引先個人情報が漏洩
「エーザイ株式会社」では、2023年4月に不正アクセスを受けて取引先の個人情報が漏洩した可能性があると発表しました。外部者が海外法人の社員アカウントを不正使用し、クラウドプラットフォーム上の一部の情報に不正なアクセスをしたことが原因です。
漏洩した可能性がある個人情報は、エーザイ株式会社及び子会社、関連会社の取引先関係者の氏名とメールアドレスでした。
不正アクセスを受けて直ちにネットワークを遮断し、監視強化しました。また、被害状況や原因の解明や流出した可能性がある情報のモニタリングを継続しているとのことです。
参考:EAファーマ「不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告」
2-4. 事例④業務委託先のパソコンから個人情報が漏洩
「NTTドコモ」では、2023年3月に個人情報が漏洩した可能性があることが分かりました。NTTドコモが業務委託している企業先のパソコンが通常はアクセスできないサイトに繋がっていることをネットワーク監視で把握し、すぐに該当のパソコンはネットワークから隔離したそうです。
漏洩した可能性がある個人情報は約529万件にのぼり、該当サービスを利用している顧客情報の
・氏名
・住所
・生年月日
・メールアドレス
・電話番号
・利用サービスのIDや顧客番号
が含まれています。現在も調査を継続しており、再発防止処置を行っています。
参考:ドコモからのお知らせ「【お詫び】「ぷらら」及び「ひかりTV」などをご利用のお客さまの個人情報流出の可能性のお知らせとお詫び」
3. 個人情報が漏洩するとどうなる?起こり得る3つのリスク
ここまで読み、個人情報漏洩は起こり得ることだと理解できたでしょう。では、個人情報が漏洩すると、どのようなリスクがあるのでしょうか?ここでは、個人情報漏洩で起こり得る3つのリスクをご紹介します。
| 個人情報が漏洩すると起こり得る3つのリスク |
| ①刑事罰や損害賠償の対象となる可能性がある ②社会的な信用を失う ③業務に支障が出る |
3-1. 刑事罰や損害賠償の対象となる可能性がある
1つ目は、刑事罰や損害賠償の対象となる可能性があることです。個人情報を1件でも取り扱っている会社は、個人情報保護法で定められている「個人情報取扱事業者」に該当します。
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。
個人情報取扱事業者は法律に沿って、個人情報を適切に収集し管理することが求められます。個人情報の管理については
・安全な方法で管理をする
・本人の同意なしで第三者に個人情報を渡さない
など明確なルールが設けられています。個人情報漏洩は個人情報の管理に反する行為なので、個人情報漏洩が起きていると判断された場合は個人情報保護委員会が勧告や命令を行います。
個人情報漏洩が起きたときの刑事罰の流れ | |
| ①指導・助言 | 違法とまでは言えない場合や望ましい対応を求める場合は委員会の知見を伝える |
| ①勧告・命令 | 法令違反があり勧告(情報漏洩を止めるために必要な措置を求める)や命令(措置よりも強く情報漏洩を止めるために必要な措置を命ずる)を行う |
| ②個人情報保護委員会からの命令への違反 | 個人情報保護委員会の命令に従わない場合は1年以下の懲役又は100万円以下(法人等の場合は1億円以下)の罰金 |
| ③虚偽報告等の罰則 | 50万円以下の罰金 |
参考:個人情報保護委員会「令和2年改正個人情報保護法について」
勧告や命令に従わない場合は、1年以下の懲役又は100万円以下(法人等の場合は1億円以下)の懲役刑や罰金刑となる可能性があります。個人情報保護委員会に虚偽の報告をした、虚偽の資料やデータを提出したなど個人情報漏洩を隠そうとした場合は、50万円以下の罰金が課せられます。
また、刑事罰だけでなく民事(個人や企業間の争いを解決する)でも責任を問われるリスクがあります。例えば、個人情報が漏洩して不正利用されるなどの二次被害が発生した場合に、損害賠償を請求される可能性があります。
1人当たりの損害賠償額が少なくても、数万人の情報漏洩が起きた場合にはまとまった賠償額を支払うことになります。過去にはファミリーマートが個人情報を漏洩した際に、18万2,780名を対象にお詫びとして1,000円相当のクオカードを送付しています。
このように、個人情報漏洩は刑事罰や民事での損害賠償に繋がり、企業にとって大きなダメージを与える可能性があります。
参考:ファミリーマート「ファミマ・クラブ会員情報流出に関する調査結果報告について」
3-2. 社会的な信用を失う
2つ目は、社会的な信用を失うことです。個人情報は信頼関係が築けているからこそ、渡すことができる情報です。
想像してみてください。あなたは信頼をして氏名や住所、メールアドレスなどの個人情報を渡したのにも関わらず、知らないところで悪用や流出されていたとします。この事実を知ったときに「もうこの企業とは関わりたくないな」「安心して取引ができないな」と不信感や不満を抱くかと思います。
つまり、個人情報漏洩が起こると、世間が企業に対して不信感や不満などのネガティブな感情を抱くようになるのです。実際に個人情報漏洩を起こしたことが一因で、業績が悪化し一次的な休業を余儀なくされた事例があります。
個人情報漏洩により業績に影響が出た事例 | |
| ベネッセホールディングス | 2014年に通信講座などの個人情報漏洩を起こしたときにおわびにかかる費用など260億円の特別損失を計上当時の会長と取締役が引責辞任した |
京都薬品ヘルスケア「キレイネット」 | クレジットカード情報が流出しECサイトを休業せざるを得なくなった |
参考:産経新聞「狙われる中小企業、従業員10人なのに「標的」に…甘いセキュリティ突き大企業の機密情報も!?」
日本経済新聞「ベネッセHD最終赤字136億円 情報漏洩で特損260億円」
ベネッセホールディングスの場合は個人情報漏洩が発生したことで顧客補償に200億円、セキュリティ対策などに60億円が必要となり、60億円の特別損失を計上しました。それだけでなく、在籍会員数が減り営業利益も減少する事態に陥りました。
個人情報漏洩が起こることで「個人情報の取り扱いができていない企業」「安心して取引できない企業」だと捉えられてしまい、社会的な信用を失うリスクがあります。
3-3. 業務に支障が出る
3つ目は、企業が行っている業務に支障が出ることです。個人情報が漏洩した原因によっては
・パソコンがロックされてしまう
・必要な情報にアクセスできなくなってしまう
・業務に必要な顧客情報がなくなってしまう
など、日常業務が行えなくなる可能性があります。例えば、個人情報を1箇所にまとめて管理していた場合、情報にアクセスできなくなると業務が止まります。顧客や取引先に連絡をする、新規顧客を創出するなどの業務に支障が出るでしょう。
また、個人情報漏洩が起きると現状把握と原因解明を行わなければなりません。そのため、通常業務を行うことが難しく、利益の減少や業務の遅延につながるリスクもあります。
4. 個人情報が漏洩する5つの原因
個人情報が漏洩する主な原因には、次の5つがあります。
個人情報が漏洩する5つの原因 | |
| 不正アクセスによる情報の抜き出し | アクセス権限のない第三者がサーバーやパソコンなどに侵入して個人情報を漏洩させる |
| コンピューターウイルス感染 | コンピューターウイルスに感染して個人情報の漏洩、悪用が起こる |
| 社外への情報の持ち出し | 個人情報を含む書類やUSB、パソコンなどを外部に持ち出し漏洩、紛失が起こる |
| 誤操作・誤送信 | メールやハガキの誤送信や作業の誤操作で個人情報が漏洩する |
| 社内不正 | 個人情報を故意に紛失させる、個人情報を第三者に渡すなどの社内不正が起こる |
それぞれ個人情報漏洩が起こる原因や事例を踏まえて解説していくので、参考にしてみてください。
4-1. 不正アクセスによる情報の抜き出し
不正アクセスとは、本来アクセス権限のない第三者がサーバーやパソコン、システムなどに侵入を行う行為です。2023年現在不正アクセスによる顧客情報漏洩は多く、注意が必要です。
不正アクセスにより、個人情報漏洩が起こる主なパターンは次の3つです。
不正アクセスにより個人情報漏洩が起こるパターン | |
| 個人情報があるサーバーやパソコンに直接アクセスする | サーバー内やパソコン内にある個人情報に直接アクセスをして情報を盗む |
| コンテンツを改ざんする | ホームページやWebサイトを改ざんしアクセスした顧客情報を盗む |
| 踏み台として使用する | 不正アクセスしたサーバーを踏み台にして個人情報がある他のシステムにアクセスする |
主流となっているのは、個人情報があるサーバーやパソコン、クラウドに直接侵入し情報を盗む方法です。例えば、パソコンで顧客情報を管理している場合に、不正アクセスでパソコンに侵入し顧客情報を引き出します。
また、コンテンツを改ざんして顧客情報を盗む方法もあります。ECサイトのデータベースに忍び込みデータベースを改ざんします。ユーザーから見るといつもと変わらないECサイトなのですが、悪質な改ざんによりECサイトで利用するクレジットカード番号や住所などを収集します。
他にも、不正アクセスできるサーバーを踏み台にして、被害を拡大する方法があります。例えば、社内にセキュリティが不十分なサーバーがあったとしましょう。まずはセキュリティが不十分なサーバーに侵入し、このサーバーを踏み台にして顧客情報を保管しているサーバーへの侵入を試みます。
4-1-1. 個人情報漏洩の原因
不正アクセスの原因は特定できないことがあるので一概には言えませんが、下記の3つが考えられます。
不正アクセスの主な原因 | |
| IDやパスワードの盗難 | ・想像しやすいIDやパスワードを使用している ・IDやパスワードを盗難されている |
| 総当たり攻撃 | ・考え得るIDやパスワードをランダムに送信し突破しようとする |
| セキュリティホール攻撃 | ・プログラムやソフトウェアの不具合、設計ミスにより発生したセキュリティの欠陥から不正アクセスを行う |
不正アクセスの原因として多いのは、IDやパスワードの盗難や総当たり攻撃です。生年月日や名前など検討のつくIDやパスワードを使用していた場合、他人のIDやパスワードを使い不正アクセスができてしまう可能性があります。
総当たり攻撃は考え得るIDやパスワードをひたすら送信し、不正アクセスを試みます。この2つの方法は「7-4. 安全性の高いパスワード・IDを使用する」で予防ができます。第三者が簡単に理解できないIDやパスワードを設定しましょう。
セキュリティホール攻撃は、プログラムやソフトウェアの不具合を狙い不正アクセスを試みます。セキュリティホールは使用中のOSやソフトウェアを更新することで防げるケースがあるので、常にOSやソフトウェアを最新の状態にしておくことが大切です。
4-1-2. 不正アクセスの事例
「アフラック生命保険株式会社」は2023年1月に外部委託先が利用しているサーバーが不正アクセスを受け、自社保険に加入している約130万人分の個人情報が漏洩する可能性があると発表しました。漏洩した個人情報は
・氏名
・年齢
・性別
・証券番号
・加入している保険の種類や保険料
その後、一部の個人情報が情報漏洩サイトに掲載される被害を受けましたが、不正利用の報告はない状態です。すぐにサーバー内の個人情報を削除し、情報漏洩が拡大しないように対策を取ったそうです。
どのような経緯で不正アクセスに至ったのかは調査中とのことで、不正アクセスにより大きな被害が出た事例だと言えます。
参考:アフラック生命保険株式会社「個人情報流出によるお詫びとお知らせ」
4-2. コンピューターウイルス感染
コンピューターウイルスとは、第三者のコンピューターやデータベースに何らかの危害を加えるように作られたプログラムのことです。
・不正なプログラムが送付されたメールやファイルを開く
・USBなどの外部媒体に不正なプログラムが仕込まれている
・改ざんされたWebサイトを閲覧する
・ネットワークやソフトウェアなどの脆弱性を利用する
など、コンピューターウイルスの感染経路は多岐に渡ります。コンピューターウイルスには身代金を要求するウイルスやコンピューターを使用できなくするウイルスなど多様な種類がありますが、中には個人情報の抜き取りや漏洩を目的としているウイルスがあります。
コンピューターウイルスに感染し、個人情報漏洩が起こる主なパターンは下記のとおりです。
コンピューターウイルス感染により個人情報漏洩が起こるパターン | |
| 個人情報を外部に送信する | サーバー内やパソコン内にある個人情報を外部に送信し個人情報を盗む |
| ランサムウェア攻撃 | 個人情報の暗号化や個人情報を含むパソコンをロックし人質にして身代金を要求する |
| バックドアの作成 | コンピューターの内部に侵入できるバックドアを作成。コンピューターを遠隔操作できるようにして個人情報を盗む |
例えば、個人情報漏洩や個人情報を抜き取ることを目的としたコンピューターウイルスに感染すると、サーバー内やパソコン内にある個人情報を知らぬ間に収集してしまうケースがあります。収集した個人情報は、悪質なWebサイトに公開されることも少なくありません。
また、 ウイルスに感染したコンピューターの内部に潜伏して外部から侵入できるバックドアを作成しパソコンを自由に操り、個人情報の収集や編集、削除を行う悪質なケースもあります。
4-2-1. 個人情報漏洩の原因
個人情報漏洩につながるコンピューターウイルスの感染経路は多岐に渡るため一概にはいえませんが、主に下記のようなことが原因となります。
【コンピューターウイルスの主な感染経路】
・メールに添付されたファイルやURLを開く
・コンピューターウイルスに感染しているパソコンとネットワークでつながっている
・Webサイト経由で悪質なプログラムやファイルをダウンロードする
・USBなどの外部媒体に不正なプログラムが仕込まれている
・ネットワークやソフトウェアなどの脆弱性を利用する
例えば、不審なメールにファイルが添付されていたとします。このファイルを開いてしまうと、コンピューターウイルスに感染し不正なプログラムがパソコン内に侵入して個人情報漏洩が起こります。
また、コンピューターウイルスに感染しているパソコンとLANケーブルでつながっていると、ネットワーク経由で感染が拡大し個人情報漏洩被害が大きくなる可能性があります。
コンピューターウイルスへの感染を防ぐには「7-2. セキュリティ対策ソフトを導入する」や「7-3. 個人情報を持ち出すときのルールを決める」を実践し、コンピューターウイルスに感染するリスクがある行動を起こさないことが大切です。
4-2-2. コンピューターウイルスによる情報漏洩の事例
自治会向けのコンサルティングを行っている「ランドブレイン株式会社」は、2021年3月にサーバーがコンピューターウイルスに感染しました。格納していたファイルが暗号化され2つのドキュメントファイルの閲覧が確認されたことから、情報漏洩の可能性がありました。
「ランドブレイン株式会社」は専門の相談窓口を設置して、個人情報漏洩の対処を行いました。同時に外部専門家も交えた対策検討会を設置し、再発防止に努めています。
参考:ランドブレイン株式会社「弊社サーバーのウイルス感染及び情報流出に関する調査結果のご報告」
4-3. 社外への情報の持ち出し
社外に個人情報を持ち出すときに、個人情報漏洩につながってしまうケースがあります。
・個人情報を記載した書類の持ち出し
・パソコンやUSBなど個人情報が入った機器の持ち出し
・個人情報の入ったスマートフォンの持ち歩き
などが該当します。例えば、出張時に顧客情報が入ったパソコンを携帯したとしましょう。このときにパソコンやUSBをどこかに置き忘れてしまったら、個人情報の紛失になります。
また、営業活動中に顧客情報を紛失したり許可なく第三者に渡したりすることも、個人情報漏洩に該当します。
4-3-1. 個人情報漏洩の原因
社外への情報の持ち出しが個人情報漏洩を招く大きな原因は、情報漏洩に対する認識不足です。企業にとって個人情報漏洩が重大な損失を招くと認識できていれば
・個人情報の取り扱いルールの策定
・情報リテラシーの向上
などに取り組んでいるでしょう。しかし、個人情報の漏洩に対する意識が低ければ「ちょっとくらいUSBやパソコンを放置しても大丈夫」「個人情報を他の業者と共有しても問題ないだろう」など、甘い認識が生まれます。その結果、個人情報漏洩が発生し重大なトラブルになってしまうのです。
社外への情報の持ち出しによる個人情報漏洩を防ぐには「7-1. 個人情報取り扱いのルールを策定・運用する」「7-5. セキュリティに関する教育を実施する」を実施し意識を高めるようにしましょう。
4-3-2. 社外への情報持ち出しの個人情報漏洩事例
神戸市の小学校では、2023年5月に生徒の個人情報を含む資料が紛失しました。教員が自宅で業務を行うために、個人情報を含む資料を鞄に入れて外出しました。
帰宅途中に飲食した後に帰宅途中で鞄を紛失したことに気づきましたが、捜索しても見つからなかったそうです。その後、説明や謝罪を行い、個人情報持ち出しの取り扱いについて改めて周知徹底に努めています。
4-4. 誤操作・誤送信
個人情報漏洩は、誤操作や誤送信などが引き金になることもあります。
・氏名や住所、メールアドレスなどの個人情報を含むメールを誤送信する
・ハガキの宛先、文面を間違えて送る
・メールに個人情報を含む資料を添付したまま誤送信する
などが該当します。例えば、メールマガジンを配信するときにメールマガジン会員のメーカーをBCCに入力すべきところをCCに入力して送信したとしましょう。メールマガジンを受け取った100人以上の会員にメールアドレスを知られてしまうので、個人情報が漏洩に該当します。
また、取引先に送付する書類に個人情報を含む関係のない資料が入り込み、情報漏洩が起こるケースもあります。誤操作や誤送信は個人情報漏洩を起こすだけでなく企業の信頼感の低下につながりやすいため、注意が必要です。
4-4-1. 個人情報漏洩の原因
誤送信や誤操作は、人的ミスが原因です。メールを操作する人が変わった、多忙や疲れで注意力が散漫したなど、下記のようなことが起因となる可能性があります。
・担当者が変わったときに引継ぎが上手にできていなかった
・多忙でメール送信前に確認をしないで送信してしまった
・書類作成時のダブルチェックを怠った
例えば、メールマガジン送付の担当者が変更になる際に、メール送付前のチェック方法を共有できておらず個人情報漏洩を起こしてしまうことが考えられます。
人的ミスは完全に防ぐことは難しいですがルールの策定やダブルチェック、情報共有など「7-5. セキュリティに関する教育を実施する」でも触れているセキュリティ教育を行うことで防ぐことができるでしょう。
4-4-2. 誤操作による個人情報漏洩事例
「三井住友カード」の外部委託先は、29万件のクレジットカード番号を誰でも認識できる状態でハガキ送付しました。システムから個人情報を抜き出すときに通常とは違う作業をしてしまい、誤って表面の宛先部分にカード番号を印字したようです。
カード番号以外の個人情報は記載していないとのことで、大きな被害は起きていないとのことです。今回のミスを受けて「三井住友カード」ではすぐに原因を特定し、再発防止に努めています。
参考:日本経済新聞「経産省、三井住友カードに報告命令 29万件情報流出恐れ」
4-5. 内部不正
内部不正により個人情報漏洩が起こり、大きなトラブルにつながるケースもあります。内部不正での個人情報漏洩には、主に次の3つのパターンがあります。
内部不正より個人情報漏洩が起こるパターン | |
| 中途退職者による個人情報の持ち出し | 転職先で個人情報リストを使い成績を出す |
| 個人情報の売買 | 自社の個人情報を持ち出し売却する |
| 恨みや妬みなどによる情報漏洩 | 企業を困らせるために個人情報を漏洩させる |
内部不正で多いのは、中途退職者による個人情報の持ち出しです。一例として、営業担当者が退職するとしましょう。次の仕事先では1か
ら顧客獲得が必要なので、成果を出すまでに時間を要します。
そこで、転職前に務めていた企業の個人情報を持ち出し、営業活動に活用します。「なぜ自分の情報を知っているのか?」「知らない商品の販売に来た」など、顧客からの問い合わせで発覚することが多く、企業の個人情報管理が問題視される可能性があります。
4-5-1. 個人情報漏洩の原因
内部不正は、個人情報が手軽に持ち出せる状態であることが原因です。
・パソコンやUSBメモリに保管していても指摘がない
・誰がどのような個人情報を保持しているか把握できていない
などの状態では、悪意を持ち個人情報を持ち出しても分からない状態です。「7-1. 個人情報取り扱いのルールを策定・運用する」や「7-3. 個人情報を持ち出すときのルールを決める」を実施して、個人情報を手軽に持ち出せないようにすることが大切です。
4-5-2. 内部不正による個人情報漏洩事例
「三菱UFJ証券株式会社」では2009年1~3月にかけてシステム部元職員が個人顧客情報約149万件を抽出し、そのうちの一部を第三者に売却する事件が起きました。
前出の元職員は委託先職員に虚偽の説明を行い一般情報が保存されたコンパクトディスクを借り受け外部に持ち出し、情報を第三者に売却することも行っていました。
このような内部不正が起きた背景には、システム部元職員が顧客情報等の検索ツールの開発・運用に携わっていた責任者であり個人情報の持ち出しがしやすい立場だったことがあります。また、社内の意図的な不正行為を防止する観点での研修や教育が不足しており、十分なリスク管理ができていなかったと指摘されています。
この事件で「三菱UFJ証券株式会社」は業務改善命令などの行政処分を受け、リスク管理の強化や不正行為の隠蔽の防止に取り組んでいます。
参考:金融庁「三菱UFJ証券株式会社に対する行政処分について」
5. 個人情報漏洩を起こさないための5つの対策
個人情報漏洩は、起こさないための対策が重要です。しっかりと対策をすれば、未然に防げるケースがあります。ここでは、個人情報漏洩を起こさないための対策方法をご紹介します。
基本的にはすべての対策を実施するべきですが、原因別にとくに必要な対策は下記のとおりです。
個人情報が漏洩する5つの原因 | |
| 不正アクセスによる情報の抜き出し | 7-1. 個人情報取り扱いのルールを策定・運用する 7-4. 安全性の高いパスワード・IDを使用する |
| コンピューターウイルス感染 | 7-2. セキュリティ対策ソフトを導入する |
| 社外への情報の持ち出し | 7-3. 個人情報を持ち出すときのルールを決める |
| 誤操作・誤送信 | 7-1. 個人情報取り扱いのルールを策定・運用する 7-5. セキュリティに関する教育を実施する |
| 社内不正 | 7-5. セキュリティに関する教育を実施する |
それぞれどのような対策をすればいいのか具体的に解説しているので、参考にしてみてください。
5-1. 個人情報取り扱いのルールを策定・運用する
1つ目は、個人情報を取り扱うためのルールを策定し運用することです。個人情報漏洩は社内の個人情報取り扱いルールが曖昧な場合に、起こることが多いです。下記の点に着目しながら、どのように個人情報を扱うのか明確なルールを設けるようにしてください。
| 個人情報を取り扱うルールを決めるときの一例 | |
| 権限設定 | 個人情報にアクセスできる範囲を限定する例:顧客情報や取引先リストは課長以上しか閲覧できないなど |
| 管理方法 | オンライン・オフラインでの管理方法を明確にする例:オフラインでは外部に持ち出さない・オンラインは社内ネットワーク上のみ使用可能など |
| 収集方法 | 個人情報を収集するときのルールを明確にする例:既存顧客からむやみに個人情報を聞き出そうとしないなど |
| 業務ルール | 個人情報を扱う業務毎のルールを明確にする例:メールマガジンの送付前には課長のチェックを受けるなど |
個人情報の扱い方法についてルールの策定ができたら、社内で機能させることが重要です。ルールがあっても形骸化してしまうと、個人情報漏洩を防ぐことができません。
・ルールが実施されているか定期的にチェックする
・チームや部署単位でルールの運用ができているか確認する
など、社内で個人情報漏洩を防ぐルールが機能している状況を維持することが大切です。
5-2. セキュリティ対策ソフトを導入する
2つ目は、セキュリティ対策ソフトを導入することです。セキュリティ対策ソフトとは、コンピューターウイルスの感染予防や不正アクセスの予防ができる製品です。
セキュリティ対策ソフトを導入していれば、コンピューターウイルス感染や不正アクセスの防止につながります。ここで重要なのは、最新のセキュリティ対策ソフトを導入することです。日々新しいコンピューターウイルスなどの脅威が生まれるため、古いセキュリティ対策ソフトでは新しい脅威に対応できなくなります。
・長い間同じセキュリティ対策ソフトを使用している
・社内のパソコンのセキュリティ対策ソフトをアップデートしていない
という場合は、セキュリティ対策ソフトを見直す必要があるでしょう。また、セキュリティ対策ソフトは業務で使用するすべてのパソコンに導入しなければなりません。
セキュリティ対策ソフトがインストールできていないパソコンがある場合、そのパソコンの脆弱性を利用しコンピューターウイルスが侵入する可能性があります。業務で使用するパソコンのセキュリティ対策が最適か、定期的に確認することもおすすめです。
5-3. 個人情報を持ち出すときのルールを決める
3つ目は、個人情報を持ち出すときのルールを決めることです。事例からも分かるように、個人情報漏洩は社外への個人情報持ち出しで起こるケースがあります。不要な持ち出しを防ぐには、明確なルールを決めておくことが重要です。
個人情報を持ち出すときのルールの一例 | |
| 持ち出しできる個人情報の範囲 | 許可があれば持ち出しできる個人情報の範囲を決める例:業務に必要な個人情報のみなど |
| 持ち出しの申請方法 | 個人情報は自由に持ち出しできるのではなく申請を必要とする例:持ち出し許可書を作成し課長の許可を得るなど |
| 持ち出しの方法 | USBや書類など個人情報を持ち出す方法を決める例:暗号化できる社内のUSBを使用するなど |
| 紛失時の対応 | 個人情報を紛失したときの対応方法を決める例:紛失時のフローを共有し緊急事態に備える |
例えば、外部に個人情報を持ち出すときに申請書を提出すると、万が一盗難や紛失に遭っても漏洩した個人情報の内容や状況をすぐに把握できます。
また、外部に持ち出すときは、パスワードの設定や暗号化のできるUSBを使用すれば、盗難されても悪用されるリスクを軽減することが可能です。このように、個人情報を自由に持ち出せないようにすると、内部不正や紛失を防げます。
5-4. 安全性の高いパスワード・IDを使用する
4つ目は、パソコンやタブレットなどのID、パスワードは安全性の高いものを使用することです。「4-1. 不正アクセスによる情報の抜き出し」でも触れましたが、簡単なIDやパスワードを使用すると簡単に突破できてしまい、不正アクセスのリスクが高くなります。
総務省では安全なパスワード管理として、下記の5つの作成条件を提示しています。この条件を意識して、第三者が想像しにくいIDやパスワードを設定しましょう。
【安全性の高いIDやパスワードの条件】
①氏名や生年月日などの個人情報から推測できないこと
②英単語などをそのまま使用していないこと
③アルファベットと数字が混在していること
④適切な長さの文字列であること
⑤類推しやすい並び方やその安易な組合せにしないこと
例えば、氏名と誕生日、氏名と電話番号など個人情報から推測できる容易な組み合わせは推奨しません。適切な長さのあるIDやパスワードを設定してください。
また、IDやパスワードは、使い回さないことが対応です。スマートフォンとパソコン、タブレットのパスワードが同じだと、どこかで不正アクセスが起こったときに連鎖する可能性があります。すべて異なるIDやパスワードを設置し、セキュリティを高めるようにしましょう。
5-5. セキュリティに関する教育を実施する
5つ目は、セキュリティに関する教育を実施することです。企業として個人情報漏洩を防ぐ姿勢があっても、社員がセキュリティに対する危機感や適切な知識を持っていなければリスクを軽減できません。
・なぜ個人情報漏洩を防ぐ必要があるのか
・個人情報漏洩を防ぐにはどうしたらいいのか
・個人情報漏洩が起きた場合にはどのような対応をするべきか
など、基礎知識を習得し、個人情報漏洩が起きないよう認識を合わせるようにしましょう。セキュリティに関する教育は研修やeラーニングなどで実施できますので、定期的に行うように計画してみてください。
6. 個人情報漏洩が起きたらどうする?4つのステップ
個人情報漏洩が起きてしまったときには、一刻も早く対処をすることが大切です。ここでは、個人情報漏洩が起きたときの対処法を手順に沿ってご紹介します。個人情報漏洩が起きたときにはどのようなことをしなければならないのか、チェックしておきましょう。
6-1. 初期対応を行う
個人情報漏洩が起きた場合や個人情報漏洩の恐れがある場合は、速やかに初期対応を行います。初期対応は「事実確認」「個人情報保護委員会への報告」「個人への報告」の3つに分かれています。
6-1-1. 事実確認
まずは、個人情報漏洩の現状をできる限り正しく把握します。このときは5W1Hで考えると分かりやすいでしょう。
| 項目 | 概要 | 例 |
| When (いつ) | いつ発生したのか? | 7月3日の午後 |
| Where (どこで) | どこで発生したのか? | 自社のオフィスのパソコン |
| Who (誰が) | 誰が携わっていたのか? | 第三者(判明できない) |
| What (何を) | 漏洩した個人情報は? | 住所・氏名を含む1万件が漏洩の恐れ |
| Why (なぜ) | なぜ起きたのか? | 不正アクセス |
| How (どのように) | どのような状況で起きたのか? | セキュリティが不正な動きを感知し確認したところ発覚 |
上記は不正アクセスにより、個人情報が漏洩する恐れがあるときの事実確認です。5W1Hが分かると何が起きたのか第三者に伝えやすいです。
不正アクセスやコンピューターウイルス感染の場合は、個人情報が確実に漏洩しているのかすぐに確認できないことが多いです。この場合は、個人情報漏洩の「おそれがある」ケースも含め現状を確認してください。
6-1-2. 個人情報保護委員会への報告
2022年4月に個人情報保護法の改正があり、個人情報漏洩時には個人情報保護委員会と個人への報告が義務化されました。個人情報保護委員会には速やかに(おおむね発生から3~5日以内)に、個人情報漏洩の状況を報告しなければなりません。
報告の義務がある個人情報漏洩は下記の4つですが、多くの個人情報漏洩が該当するでしょう。
| 個人情報漏洩時に報告の義務がある条件 | |
| 要配慮個人情報の漏えい等 | ・健康診断結果や病歴情報の流出 |
| 財産的被害のおそれがある漏えい等 | ・クレジットカード番号の漏洩・決済機能のあるECサイトのIDとパスワードの組み合わせを含む情報の漏洩 |
| 不正の目的によるおそれがある漏えい等 | ・不正アクセスによる情報漏洩 |
| 1,000件を超える漏えい等 | ・システム設定ミスで1,000人以上の個人情報が自由閲覧できる場合 |
参考:個人情報保護委員会事務局「個人情報保護法改正に伴う漏えい等報告の 義務化と対応について」
例えば、クレジットカード番号や健康診断結果が1件でも漏洩した場合は、速やかに個人情報保護委員会に報告する必要があります。報告書には自社の情報や個人情報漏洩の状況を記載します。報告書のフォーマットは下記よりダウンロードできますので、利用するとスムーズに作成できます。
6-1-3. 個人への報告
個人情報保護委員会への報告が必要な場合は、併せて個人情報漏洩対象者にも下記のような情報を報告します。
【本人に報告する主な内容】
・個人情報漏洩の概要
・漏洩した個人データの項目
・漏洩の原因
参考:個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
報告方法ははがきやメールを活用し、直接本人に連絡することが一般的です。情報漏洩数が多い場合や誰の情報が漏洩したのか確定できない場合は
・問い合わせ窓口の設置
・自社のホームページでの報告
など、代替措置も可能です。
6-2. 被害拡大を防ぐための対処を行う
個人情報漏洩の事実確認と平行して、二次被害を防ぐ対処を行います。少しでも早く何らかの対処ができれば、被害を最小限に抑えられる可能性があります。
二次被害を抑える方法は個人情報が漏洩の状況や原因により異なりますが、下記を参考にするといいでしょう。
個人情報漏洩時に二次被害を防ぐための対処法の一例 | |
| 不正アクセスによる情報の抜き出し | ・不正アクセスのあったパソコンを隔離する ・ネットワークを遮断する ・不正アクセスのあったパソコン内の個人情報を削除、移管する |
| ウイルス感染 | ・ウイルス感染のあったパソコンを隔離する ・ネットワークを遮断する ・他のパソコンへの被害を確認する |
| 社外への情報の持ち出し | ・紛失した機器や資料を探す ・場合によっては紛失届を提出する |
| 誤操作・誤送信 | ・誤送信や誤操作の経緯を確認し漏洩した情報を特定する |
| 内部不正 | ・不正の規模を調査し場合によっては刑事や民事事件として扱う |
例えば、コンピューターウイルスに感染したことが判明した場合は、感染の疑いがあるパソコンをネットワークから遮断するだけでも、感染拡大を防止できます。
また、不正アクセスがあった場合は、対象となる機器から個人情報を完全に削除することも検討できるでしょう。個人情報漏洩が起きたときはる直接的・間接的被害を最小限に抑えることも念頭に置いて行動してください。
【クレジットカード番号やマイナンバー番号流出の場合は使用を止める】
クレジットカード番号やマイナンバー番号など番号のみで不正ができる情報が漏洩した場合は、本人に連絡してカードを止めてもらうのも一つの方法です。
クレジットカードの場合は番号を悪用し、高額の買い物などに使われる可能性もゼロではありません。被害を最小限に食い止めるためにも、悪用を避ける行動を取りましょう。
6-3. 原因や状況を調査する
対策本部や事故調査委員会を設置して、個人情報漏洩の原因や状況を調査します。調査方法は個人情報漏洩の規模や原因により異なりますが、下記の6つを組み合わせて実施することが多いです。
個人情報漏洩の原因や状況を調査する方法 | |
| ディスク調査 | 情報漏洩を起こした機器の使用履歴やプログラムの実施履歴、閲覧履歴を確認する対象機器の利用状況を追跡することで原因や情報漏洩の状況を分析する |
| 不正プログラム解析 | 不正プログラムによる情報漏洩があった場合は不正プログラムの機能や通信方式などの挙動を解析する |
| メモリ調査 | パソコン内のメモリに活動中のウイルスや不正アクセスがないか確認する |
| サーバー履歴調査 | サーバーの履歴を調査し不正アクセスや不正プログラムがないか確認する |
| 通信内容調査 | ネットワークの交信記録やWebサイトの閲覧記録を調査に情報漏洩の原因を分析する |
| 社内調査 | 誤操作や誤送信が原因となっている場合は時系列に沿ってどのような状況で情報漏洩が発生したのか確認する |
例えば、不正アクセスにより個人情報漏洩が起きている場合は、ディスク調査や不正プログラム解析、メモリ調査などを実施し、どのような経緯で不正アクセスが起きたのか分析します。
社内調査を除き専門知識が必要となるため、知識のある専門家や外部業者とともに行うことが多いです。
6-4. 報告と再発防止を行う
個人情報が漏洩したときは発生からおおむね3~5日以内に報告する「速報」と発生から30日以内に報告する「完報」の2段階で報告を行う義務があります(不正の目的によるおそれがある漏洩等の場合は60日以内)。
速報では個人情報が漏洩した事実をいち早く伝えることが目的ですが、続報ではより詳しい状況を報告しなければなりません。「5-3. 原因や状況を調査する」で判明した原因や情報漏洩の規模を報告するのと同時に、具体的な再発防止策を伝えます。
再発防止策は「5. 個人情報漏洩を起こさないための5つの対策」で詳しく解説しているので、参考にしてみてください。
このように、個人情報漏洩を起きた場合は
①迅速な現状把握と報告
②二次被害を起こさない対策
が鍵を握ります。実際に個人情報漏洩が起きると焦ってしまうものですが、落ち着いて必要な対応をするようにしましょう。
7. 個人情報漏洩が起きたときに絶対にしてはいけないこと
人情報漏洩が起きたときに、絶対にしてはいけないことが2つあります。
| 個人情報が漏洩したときにしてはいけないこと |
| ①個人情報が漏洩したことを隠そうとする ②二次被害を防ぐ対処を行わない |
この2つのことを忘れてしまうと個人情報漏洩の被害が拡大するおそれがあるので、あらかじめ把握しておきましょう。
7-1. 個人情報が漏洩したことを隠そうとする
個人情報漏洩が起きたことが分かったときに、絶対に隠そうとしてはいけません。その理由は、2つあります。
1つ目は、罪が重くなる可能性があることです。「3-1. 刑事罰や損害賠償の対象となる可能性がある」でも触れましたが、個人情報漏洩が起きていることを知っているにも関わらず隠そうとすると50万円以下の罰金刑の対象となります。事実を隠そうとすると罪が重くなるため、事実をしっかりと受けとめ対処することが大切です。
2つ目は、事実を隠すと対応が遅くなり被害が拡大することです。個人情報漏洩した原因にもよりますが、個人情報漏洩の発覚後すぐに対応すれば被害を最小限に食い止められる可能性があります。
例えば、パソコンの不正アクセスによりクレジットカード番号が漏洩した場合、すぐに該当パソコンを遮断してクレジットカード会社に連絡をすれば不正利用を防げるかもしれません。事実を隠そうとしている時間が長くなればなるほど、被害が拡大するリスクがあります。
7-2. 二次被害を防ぐ対処を行わない
個人情報漏洩が起きたときに、何もしないまま放置することは絶対に避けたいところです。先ほども触れましたが、少しでも早く対処をすることで二次被害を防げる可能性があります。「5-2. 被害拡大を防ぐための対処を行う」で触れた対処法を参考に、少しでも早く対処するようにしましょう。
個人情報漏洩の原因によっては、知識がないと対応が難しいケースがあります。その場合は、知識のある専門家や外部業者と連携しながら適切な方法を選択してください。
8. 個人情報の漏洩を防ぐにはデータ保護ソリューション「Arcserve」
ここまで解説してきたように個人情報漏洩を防ぐことは、企業にとって重要な課題です。個人情報をどのように扱い管理するべきか、見直したいと感じた方も多いでしょう。
個人情報漏洩を防ぐには、データ保護ソリューション「Arcserve」がおすすめです。「Arcserve」ではデータ保護・ディザスタリカバリー・バックアップがまとめてでき、大切な個人情報を守ります。
「Arcserve」では無料トライアルを実施していますので、個人情報漏洩を防ぎたい方はお気軽にお試しください。
9. まとめ
いかがでしたか?個人情報漏洩が起こる原因や個人情報漏洩を防ぐ方法が理解でき、自社にとって適切な対応ができるようになったかと思います。最後にこの記事の内容をまとめてみましょう。
◎個人情報漏洩とは本来企業の外部に漏れてはいけない個人情報が何らかの原因により漏れてしまうこと
◎個人情報漏洩のリスクは次の3つ
| ①刑事罰や損害賠償の対象となる可能性がある ②社会的な信用を失う ③業務に支障が出る |
◎個人情報漏洩の主な原因は次の5つ
| ①不正アクセスによる情報の抜き出し:アクセス権限のない第三者がサーバーやパソコンなどに侵入して個人情報を漏洩させる ②コンピューターウイルス感染:コンピューターウイルスに感染して個人情報の漏洩、悪用が起こる ③社外への情報の持ち出し:個人情報を含む書類やUSB、パソコンなどを外部に持ち出し漏洩、紛失が起こる ④誤操作・誤送信:メールやハガキの誤送信や作業の誤操作で個人情報が漏洩する ⑤社内不正:個人情報を故意に紛失させる、個人情報を第三者に渡すなどの社内不正が起こる |
◎個人情報漏洩を防ぐ方法は次の5つ
| ①個人情報取り扱いのルールを策定・運用する ②セキュリティ対策ソフトを導入する ③個人情報を持ち出すときのルールを決める ④安全性の高いパスワード・IDを使用する ⑤セキュリティに関する教育を実施する |
◎個人情報漏洩が起きたときは次のステップで対応する
| ①事実確認や報告などの初期対応をする ②被害拡大を防ぐための対処を行う ③原因や状況を調査する④報告と再発防止を行う |
◎個人情報漏洩が起きたときに絶対してはいけないことは次の2つ
| ①個人情報が漏洩したことを隠そうとする ②二次被害を防ぐ対処を行わない |
個人情報漏洩が起きてしまうと、企業の信頼損失や利益の縮小など大きな損害となります。そのため個人情報漏洩が起きないようにルールを定め、安全性の高い状況を維持することが大切です。今回ご紹介した個人情報漏洩の原因や防ぐポイントを参考に、個人情報漏洩対策を実施してみましょう。
コメント