個人情報漏洩の防止策とは？ 情報漏洩の被害事例と具体的な対策を解説

個人情報および個人情報漏洩とは？

そもそも個人情報とは、具体的にどのような情報のことを指すのでしょうか。まずは、個人情報に当たる情報と漏洩リスクについて押さえておくべきポイントをご紹介します。

個人情報に当たる情報の例

個人情報は、特定の個人を識別できる情報のことを指します。例えば、次に挙げるような情報が個人情報に当たります。

＜個人情報の例＞

• 名前、生年月日、連絡先（住所・電話番号・メールアドレスなど）
• 学歴、職歴
• 本人を特定可能な音声録音情報や映像
• 指紋や虹彩（眼球の色）などの生体情報
• 銀行口座などの金融機関情報
• 看護記録や検査記録などの診療情報
• 各種サービス利用時に使用するID、パスワード、暗証番号
• 勤務先の社員番号や在籍校の学籍番号

なお、電話帳や官報などに掲載されており、すでに公にされている情報であっても、特定の個人を識別できる情報であれば個人情報に該当します。

個人情報漏洩のリスク

個人情報漏洩とは、個人情報が第三者に漏れてしまうことです。紙で保管されている個人情報のほか、電子データとしてWeb上や記憶媒体などに保管されている個人情報が第三者に知られてしまうことも個人情報漏洩に含まれます。

企業などの事業者が保有する個人情報が漏洩すると、個人情報保護法により罰則を受けることがあります。また、個人情報保護委員会による命令・緊急命令に従わない場合は、1年以下の懲役または100万円以下の罰則刑が科されます。（個人情報保護法第178条）

個人情報漏洩事故と被害事例

個人情報漏洩は、どの企業にとっても決して人ごとではありません。実際、過去にさまざまな大企業や組織で個人情報漏洩事故が発生しています。それらは、どのような原因によって個人情報が流出する事態に至ったのでしょうか。企業・組織の個人情報漏洩の事例を中心に紹介します。

企業の個人情報漏洩事例とその原因

中小企業に比べて入念な情報漏洩対策を行っているはずの大企業でも、個人情報漏洩は起きます。具体的な個人情報漏洩の事例を、その原因と併せてご紹介します。

・フィッシング：社内外関係者の個人情報が漏洩

ある会社から、社内外関係者の名前・メールアドレス・メールの内容といった個人情報が漏洩した可能性があると発表された事例です。漏洩の原因はメールでした。実在する企業を名乗る偽メールが届き、そのメールに記載されていたリンクを経由して偽サイトに誘導された結果、メールの送受信に必要なログイン情報を窃取されたのです。この手口は「フィッシング」と呼ばれており、個人・法人を問わず標的となる恐れがあります。

・不正ログイン：3,000人以上のサービス利用者のアカウントが被害

ある会社が、Webサイトで提供しているサービスが不正ログインの被害に遭いました。同サービスの利用者3,000人以上のアカウントが不正にログインされたとみられ、その一部のアカウントに関しては何者かに閲覧された形跡あったということです。これは、別サービスから流出したユーザーの認証情報（IDやパスワードなど）を悪用し、複数のサービスへのログインを試みる「リスト型攻撃」の手口と考えられています。

・不正な情報の持ち出し：元従業員が転職先に顧客情報を提供

ある会社では、刑事事件となった被害が発生しています。この事例では、同社の社内調査によって元従業員が数十件分の顧客情報を不正に持ち出し転職先に提供していたことが発覚。刑事告訴したことにより、元従業員は不正競争防止法違反の疑いで逮捕されています。これは、過去の勤務先の顧客情報や技術情報を不正に持ち出し、転職先に提供する「手土産転職」と呼ばれる手口です。

・人為的な設定ミス：最大1万人以上の個人情報が漏洩

クラウドサービスの権限設定ミスが原因で個人情報漏洩に至るケースもあります。本来であれば自社内でしか閲覧できないはずの書類が、人為的な設定ミスにより複数の事業者間で閲覧可能な状態になっていました。この事例では、最大1万人以上の名前・電話番号・メールアドレスといった個人情報が漏洩した可能性があるということです。これは大企業の事例ですが、こうした権限設定ミスによる個人情報漏洩は、中小企業においても起こりえる可能性があります。

公共機関などの個人情報漏洩事例とその原因

営利企業ではない組織においても、個人情報漏洩は起きます。具体的な個人情報漏洩の事例を、その原因と併せてご紹介します。

・不正アクセス： Webサイトが改ざんによりすべてのWebサイトを閉鎖

ある大学の研究室では、Webサイトの運用に使用しているサーバーが不正アクセスの被害に遭いました。Webサイトが改ざんされて不正なプログラムが仕込まれたほか、同サーバーで運用されていた多数のWebサイトにも不正アクセスが可能な状態になっていました。この被害を受けて、同大学は「使用アカウントや名前等を含めた1,000人以上の個人情報が漏洩した可能性がある」として、最終的に全Webサイトを閉鎖せざるを得ない事態となりました。

・踏み台攻撃：委託先への不正アクセスをきっかけに、Webサイトが閲覧不能な状態に

ある自治体では、Webサイトが閲覧不能な状態になりました。これは、事業を委託していた民間団体が運営するWebサイトが不正アクセスに遭い、それを踏み台にして同自治体も被害を受けたという事例です。さらに、事業の関係者にも不審なメールが届くという二次被害も確認されています。

この事例ではWebサイトの運用に使用していたサーバーが攻撃者に乗っ取られてしまい、Webサイトが閲覧不能な状態に陥りました。対象データにアクセスできず復旧も困難なため個人情報漏洩の被害規模を正確に把握できていません。

個人情報漏洩報告・本人への通知の義務があるケース

個人情報漏洩が起きた際には、その事実を報告する義務が生じることがあります。個人情報保護法第26条では、個人情報取扱事業者が個人情報を漏洩させた際の報告義務について定めており、次のケースに該当する場合は個人情報保護委員会への報告および本人への通知の義務が生じます。

要配慮個人情報の漏洩

漏洩した情報に「要配慮個人情報」が含まれていた場合、事業者は個人情報保護委員会に個人情報漏洩の事実を報告、本人にも通知しなければなりません。要配慮個人情報の一例は、下記のとおりです。

＜要配慮個人情報の例＞

• 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪によって害を被った事実に関する個人情報
• 身体障害、知的障害、精神障害などの障害があることに関する個人情報
• 健康診断その他の検査結果、保健指導、診療、調剤情報に関する個人情報
• 逮捕、捜索など刑事事件に関する手続きが行われたこと、少年の保護事件に関する手続きが行われたことに関する個人情報

このような個人情報が漏洩した場合、当事者は著しい社会的損失を被る恐れがあります。個人情報保護委員会への報告および本人への通知の義務が課されているのはこのためです。

不正利用で財産的被害が生じる恐れがある個人情報の漏洩

クレジットカード番号を含む個人情報など、不正利用によって財産的被害が生じる恐れがある個人情報の漏洩については、個人情報保護委員会に報告し、本人にも通知する必要があります。送金や決済機能を有したWebサービスのログインIDやパスワードといった情報も、「不正利用で財産的被害が生じる恐れがある個人情報」に含まれる点にご注意ください。

不正行為によって流出した恐れがある個人情報の漏洩

前述のとおり、個人情報漏洩は外部による攻撃から発生するケースも少なからずあります。外部からの不正行為によって流出した恐れがある個人情報の漏洩には、次のようなケースが該当します。

＜不正行為で流出した恐れがある個人情報漏洩の例＞

• 不正アクセスにより個人情報が窃取された場合
• ランサムウェアなどにより個人データが暗号化され、復元できなくなった場合
• 個人情報が記載された書類や記録された記憶媒体が盗難被害に遭った場合
• 従業員が顧客情報を不正に持ち出し、第三者に提供した場合

これらに該当する場合は、個人情報保護委員会への報告と本人への通知が事業者に義務づけられています。実際に漏洩した事実が確認されたかどうかを問わず、流出した可能性があるかどうかがポイントです。

多数の個人情報の漏洩

民間事業者の場合、1,000人分を超える個人情報が漏洩した際には、すみやかに個人情報保護委員会へ報告し、本人にも通知しなければなりません。行政機関の場合はより厳しく、保有している個人情報が100人分を超えて漏洩した際に報告の義務が生じます。多数の個人情報の漏洩が起きるケースは具体的には、下記のような状況が想定されます。

＜個人情報保護委員会へ報告義務が想定されるケース＞

• システムの設定ミスなどにより、インターネット上で個人情報の閲覧が可能になっていた場合
• 1,000人を超える会員にメールマガジンを配信した際、全員のメールアドレスが閲覧できる状態になっていた場合

インターネットにおいて不特定多数の人の目に触れる状況で個人情報が漏洩したのであれば、多数の個人情報の漏洩に該当します。

個人情報漏洩に至る主な原因

個人情報漏洩は、どのような原因によって発生しやすいのでしょうか。主な原因のトップ4を見ていきましょう。

※株式会社東京商工リサーチ「「上場企業の個人情報漏えい・紛失事故」調査（2022）」

ウイルス感染・不正アクセス

個人情報漏洩事故の発生原因の中でも突出して多いのは「ウイルス感染・不正アクセス」であり、全体の5割を超えます。企業内のネットワークを介して複数の端末が被害に遭うケースも多く、一度発生すると被害が拡大しやすいのがウイルス感染に起因する個人情報漏洩の特徴です。不正アクセスに関しても、紙媒体による個人情報漏洩と比べると事故1件あたりの情報漏洩・紛失件数が大幅に増える傾向があります。

誤表示・誤送信

次いで多く見られる個人情報漏洩の原因は「誤表示・誤送信」であり、全体の約3割を占めていました。閲覧権限の設定ミスやメールの送信先を間違えるといった人為的ミスが誤表示・誤送信の主な要因とされています。こうした人為的ミスが原因の2番目に挙げられる事実は、日頃から注意を払って業務に取り組んでいても、個人情報漏洩が生じるリスクはあるということを示唆しています。

紛失・誤廃棄

書類や記憶媒体の紛失・誤廃棄は、個人情報漏洩事故の原因の15.1％を占めていました。個人情報が記載された顧客台帳などが入ったかばんを外出先で置き忘れてしまった、従業員などの個人情報を記録したUSBメモリのデータを適切な方法で消去しないまま廃棄してしまったといった状況が想定されます。

盗難

盗難被害によって個人情報漏洩につながるケースも少なくありません。盗難に起因する個人情報漏洩は同調査全体の約3％で、決して無視できない原因の一つといえます。個人情報を管理しているPCやUSBメモリが置引被害に遭ったり、事業所への不法侵入・車上荒らしといった被害に遭ったりすることも想定されるからです。また、従業員が社内規定に反して不正に個人情報を持ち出した場合も、この盗難に当たります。

近年増加している個人情報漏洩の原因

前述したもの以外にも、個人情報漏洩の原因はまだまだ想定されます。近年の傾向として、下記に挙げる3点ついては十分に対策を講じておく必要があるでしょう。

マルウェアの高度化・巧妙化

マルウェアとは、悪意を持って有害な動作をさせることを目的として作られたソフトウェアやプログラムの総称です。ウイルスもマルウェアの一種であり、感染すると機器が正常に動作しなくなったり、記録されていた情報を窃取されたりする恐れがあります。また、データを勝手に暗号化し、データの復号と引き換えに身代金を要求するランサムウェアもマルウェアに含まれます。

マルウェアを駆使した個人情報窃取の手口は、日を追うごとに高度化・巧妙化しつつあります。その一例として、特定の企業を長期にわたり集中的かつ計画的に狙う標的型攻撃によってマルウェアに感染するケースも増えています。

マルウェアを用いた攻撃の中には、感染したかどうかが判別しにくい手口も確認されています。そのため、目視など人の注意に頼った防止策だけでは防ぎ切れなくなっており、情報セキュリティ対策ツールや情報管理ツールを活用し、個人情報の窃取を防ぐ仕組みを整備することが大切です。

フィッシングやスキミング

フィッシングとは、ユーザーを偽装サイトに誘導してクレジットカード情報やユーザー情報などを入力させ、情報を盗む手口のことです。実在する事業者名やサービス名を語って偽装サイトへと誘導しますが、本物のWebサイトと見分けがつかないほど精巧に作られているケースも多く、見た目だけで偽装を見抜くことが難しくなっています。

スキミングとは、特殊な機器を使いクレジットカードの磁気データを読み取ったり、カード券面を撮影したりすることで情報を盗み出す手口のことです。近年では、ECサイトなどでの決済情報を窃取するオンラインスキミングと呼ばれる手口も増加しています。

こうした被害を未然に防ぐには、2段階認証など不正ログインを防止するための対策に加え、不正なプログラムが仕込まれていないかをチェックできる情報セキュリティツールの活用が欠かせません。

退職者・転職者による情報の不正持ち出し

退職者や転職者など、元従業員による情報の不正取得についても対策を講じる必要があります。例えば、元従業員が在職中に知りえたアカウント情報を退職後に使用し、事業者の内部情報を不正に閲覧・取得することがないとは言い切れません。こうした不正を未然に防ぐには、在職中に守秘義務に関する書面を取り交わしておくほか、部外者によるアクセスや不審な通信を検知したり遮断したりするための仕組みを導入する必要があります。

個人情報漏洩対策には情報セキュリティや情報管理のツールの活用が有効

個人情報漏洩への対策を講じるには、何よりもまず外部からの攻撃を防ぐツールを導入することが先決です。同時に、「誰が、どの端末で、どのような操作を行っているのか」を把握する操作ログの管理も重要なポイントとなります。

また、サイバー攻撃の早期発見、全体像の把握を支援する機能や、共有フォルダへのアクセスを監視・制御する機能など、多層的な防御も必要となるでしょう。末端のIT機器を守る「エンドポイントセキュリティ」や、ソフトウェアの更新プログラムの管理・配布を支援する機能などを活用し、脆弱性対策を講じることも大切です。

なお、「SKYSEA Client View」は、社内の情報の取り扱いを操作ログなどで的確に把握できるだけではなく、さまざまな製品と連携し、外部からの攻撃に対する対策や潜伏期間中にさまざまな活動を行う攻撃などへの対策も講じられます。また、セキュリティ管理者の負担を軽減するための対策としても有効です。

総合的に個人情報漏洩の対策を講じるために、ぜひ「SKYSEA Client View」の導入をご検討ください。