Written by 伏見みう
目 次
本記事では、実際に国内で発生した「10の情報漏洩事例」を、原因別にご紹介します。
企業・組織が保有する価値ある機密情報を狙った、情報漏洩事件が国内で多発しています。 ひとたび重要な情報が漏洩すれば、損害賠償を請求されたり、企業としての信頼を失ったりと、大きな損害を被ることになります。
組織の情報漏洩対策として「サイバー攻撃への対策」はもちろん欠かせませんが、従業員が悪意を持って情報を盗む「内部不正」や、メールの誤送信やスマホ端末の紛失等による「人的ミス」が原因の情報漏洩事故にも、十分な対応が必要です。
▼この記事でわかること
- 情報漏洩の原因は、大きく分けて外部攻撃・内部不正・人的ミスの3種類
- 個人情報が流出すると、企業は損害賠償責任を問われるだけでなく、信頼低下やシステムの停止など、営業活動そのものの存続が脅かされるリスクもある
- 企業が行うべき対策として「従業員へのポリシー周知とセキュリティ教育」「従業員との書面の取り交わし」「クラウドのセキュリティ設定・認証方法の見直し」「IT資産管理やMDMツールの活用」などが挙げられる
【チェックリスト付】退職者による
情報漏洩リスクを回避する、必須アクションとは?
退職予定者を把握したら実施したい、
情報持ち出しを回避するためにやるべき“3つのアクション”を紹介!
情報漏洩の主な原因となる、外部攻撃・内部不正・人的ミスとは?
以下では、情報漏洩の3つの主な原因である
1.外部攻撃
2.内部不正
3.人的ミス
についてご説明します。
1.外部攻撃
情報漏洩事件のうち、最も大きなウェイトを占めるのが、ハッキングやマルウェア感染といったサイバー攻撃(外部攻撃)による被害です。
攻撃者はターゲットのOSやソフトウェア、クラウドサービス等の脆弱性(セキュリティ上の欠陥)を悪用し、不正アクセスやマルウェア感染を通じて、組織の大切な情報を盗み出します。
また近年ではテレワークが普及したことによる「VPN機器の脆弱性」を狙った犯行や、セキュリティ体制の脆弱な中小企業を対象とする「サプライチェーン攻撃」による事件も増加しています。
外部攻撃による情報漏洩を防ぐためには
・セキュリティソフトウェアや侵入検知システムの導入
・OSやソフトウェアのこまめなアップデート
・従業員へのセキュリティ意識向上トレーニング
・多要素認証や強力なパスワードポリシーの採用
など、強固なセキュリティ体制の構築に取り組むことが重要です
2.内部不正
内部不正とは、企業内部の関係者により、個人情報や機密情報が不正に扱われることを指します。
具体的には
・情報へのアクセス権限をもつ社員が、入手した情報を不正に持ち出す
・退職者が社内の顧客リストや企業機密を盗み、転職先に流用する
などの行為が内部不正にあたります。
内部不正による情報漏洩は、企業に対する報復や自身の利益を目的に、故意に行われるケースが大半です。対策として、アクセスログの監視やアクセス権限の最小化、内部不正のアラート通知などが有効です。
3.人的ミス
人的ミス(ヒューマンエラー)により、企業・組織の機密情報が漏洩するケースも珍しくありません。
人的ミスの特徴として「意図せず情報を漏らしてしまう」ことが挙げられ、事例として以下のような行動があります。
・メールの宛先を間違え、機密情報を送信してしまう
・会社支給のPCやスマホ端末、USBを電車や飲食店に置き忘れる・紛失する
・情報の公開設定を間違え、第三者に情報を見られる
対策として、従業員への定期的なセキュリティ教育や訓練の実施、情報資産の取り扱いに関するガイドラインの策定、データ暗号化などの物理的な施策が効果的です。
以降では「外部攻撃」「内部不正」「人的ミス」それぞれに起因する、国内で過去発生した情報漏洩の事例についてご紹介します。
セキュリティ企業が「標的型メール訓練」を実践してみて分かったポイントを紹介!
「外部攻撃」による、情報漏洩の事例
業種、企業規模を問わず、サイバー攻撃による情報漏洩事件が多発しています。以前は不特定多数をターゲットとする「ばらまき型」の攻撃が多数を占めましたが、近年はより資産力をもつ大手の組織をターゲットとした「標的型攻撃」が頻繁に発生しています。
以下では「外部攻撃」による、情報漏洩の事例を3つ紹介します。
1. 旅行情報サイトが不正アクセスされ、最大10万4,000人分の個人情報が漏洩した可能性
| 企業 | 旅行情報サイトを運営する企業 |
|---|---|
| 被害時期 | 2025年3月 |
| 被害内容 | 最大10万4,000人分の個人情報が漏洩した可能性あり。 また、サイトには「サイバー攻撃を実施しました」などと表示され、閲覧できない状態に。 |
2025年3月、大手企業が運営する旅行情報サイトが不正アクセスされ、最大10万4,000人分の個人情報が漏洩した可能性があることがわかりました。
漏洩の可能性がある個人情報は、氏名、性別、生年月日、住所、電話番号、メールアドレス、暗号化されたパスワードなど。
一部の会員には、旅行情報サイトに登録した個人情報が記載された不審なメールが届いていることがわかっています。
また、不正アクセスされたサイトには「サイバー攻撃を実施しました」などと表示され、閲覧できない状態になりました。
2.テーマパーク運営をしているグループ会社がランサムウェア攻撃を受け、最大約200万件が漏洩した可能性
| 企業 | テーマパーク運営をしているグループ会社 |
|---|---|
| 被害時期 | 2025年1月 |
| 原因 | ランサムウェアによる不正アクセス |
| 被害内容 | 顧客の個人情報や従業員の契約情報など、最大約200万件が外部へ漏洩した可能性あり。 |
2025年1月、テーマパーク運営をしているグループ会社がランサムウェア攻撃を受け、個人情報および機密情報の一部が外部へ漏洩した可能性があることがわかりました。
当該企業では1月21日に不正アクセスによる障害が発生し、テーマパークの来場予約などの一部のサービスが利用不能に。
そこで外部の専門機関に調査を依頼したところ、ランサムウェアによる不正アクセスが発覚しました。
これにより漏洩したのは、テーマパークの年間パスポートを購入したことがある顧客の個人情報(氏名・生年月日・住所など)や従業員のマイナンバーを含む契約情報など、最大約200万件とされています。
3. 業務委託先企業がランサムウェアに感染し、約150万件の個人情報が流出
| 企業 | 印刷・情報処理業務を受託していた業務委託先企業 |
|---|---|
| 被害時期 | 2024年5月 |
| 原因 | VPN機器の脆弱性を悪用した不正アクセス |
| 被害内容 | 委託元から預かった約150万件の個人情報が漏洩した可能性あり。 |
2024年5月、全国の自治体や企業から印刷・情報処理業務を受託していた業務委託先企業がランサムウェア攻撃を受け、委託元から預かった個人情報が流出する事件が発生しました。
本インシデントでは、少なくとも約150万件の個人情報が漏洩した可能性があると報告されています。
調査の結果、VPN機器の脆弱性を悪用した不正アクセスが攻撃の起点となっていました。攻撃者はVPN経由で同社のネットワークに侵入して機密データを窃取。その後、ランサムウェアを展開し、サーバーやPCを暗号化しました。
さらに、業務効率化のために適切に削除されるべきデータが残存していたことが、情報漏洩の被害を拡大させた要因となっています。
「内部不正」による、情報漏洩の事例
次に「内部不正」による、情報漏洩の国内事例を3つご紹介します。
1. 元従業員が個人情報など1,306人分を転職先企業に不正に持ち出し
| 企業 | 人材紹介・コンサルティング企業 |
|---|---|
| 被害時期 | 2024年10月 |
| 原因 | 元従業員による情報の不正持ち出し |
| 被害内容 | 1,306人分の個人情報などが漏洩。 |
2024年10月、人材紹介・コンサルティング企業の元従業員が個人情報など1,306人分を不正に持ち出す事件がありました。
持ち出されたのは以下の情報です。
●人材紹介・コンサルティング企業に登録していた顧客の氏名・生年月日・住所・電話番号・メールアドレスなど
●取引先の氏名・生年月日・住所・電話番号・メールアドレス・勤務先の会社名など
なお、当該情報は既に削除されたと報告されています。
2.元研究員の男性が研究データを不正に持ち出し、書類送検
| 企業 | 大手電子部品企業 |
|---|---|
| 被害時期 | 2024年10月 |
| 原因 | 元研究員の男性による研究データの不正持ち出し |
| 被害内容 | 営業秘密にあたる電子部品の開発データなどが一時漏洩の危機にさらされた。 |
2024年10月、大手電子部品企業の元研究員の男性が、研究データを不正に持ち出したとして書類送検されました。
持ち出されたのは、営業秘密にあたる電子部品の開発データなど。
元研究員の男性は、会社支給のPCから私用のメールアドレスにデータを送信し、不正に持ち出しました。
被害にあった企業は、持ち出されたデータについて、第三者への漏洩は確認されていない旨を公表しています。
また同社は、情報管理体制の一層の強化および従業員に対するコンプライアンス教育の徹底を図り、再発防止に努めるとしています。
3.元社員が顧客情報を不正に持ちだし、転職先企業での営業活動に一部利用
| 企業 | 生命保険会社 |
|---|---|
| 被害時期 | 2024年4月 |
| 原因 | 元社員による顧客情報の不正持ち出し |
| 被害内容 | 979人分の顧客情報が漏洩。さらに転職先企業での営業活動に一部利用された。 |
2024年4月、ある生命保険会社は、元社員によって顧客情報が不正に持ち出されていたことを明らかにしました。
持ち出された情報は、顧客の氏名、電話番号、住所、加入商品名、証券番号など、延べ979人分。
元社員は、退職時に個人情報の持ち出しがないことへの誓約書に署名していたにもかかわらず、顧客管理リストを印刷し、退職後も自宅に保管していました。
さらに転職先企業での営業活動に一部利用していたこともわかっています。
情報を持ち出された生命保険会社は再発防止策として、従業員への教育の再徹底や、退職予定者による顧客情報アクセスの制限、印刷制限等の措置を強化するとしています。
「人的ミス」による、情報漏洩の事例
「人的ミス」に伴う、国内の情報漏洩事例を4つ紹介します。
1.セキュリティ設定の不備により、取引先の顧客情報や担当者情報が漏洩した可能性
| 企業 | 情報システム開発などを手掛ける企業 |
|---|---|
| 被害時期 | 2025年3月 |
| 原因 | Webサイトを刷新時に発生したセキュリティ設定の不備 |
| 被害内容 | 取引先の顧客情報や担当者情報が漏洩した可能性あり。 |
2025年3月、情報システム開発などを手掛ける企業は、同社のWebサイトで個人情報を含むファイルが外部から閲覧可能な状態になっており、取引先の顧客情報や担当者情報が漏洩した恐れがあると発表しました。
調査によると、専用のWebフォームからファイルを添付して問い合わせを行った際に、添付されたファイルが外部から参照できる状態であったことが判明。
今回の原因は、2015年にWebサイトを刷新した際に生じたセキュリティ設定の不備でした。
サイト立上げ時に当該サーバーのセキュリティ要件に不備がないかを点検するプロセスが十分ではないまま、2022年9月よりWebサイトでファイル添付可能な専用Webフォームの運用を開始。
これにより、Webサイトの一部ディレクトリが外部から閲覧可能になっていました。
当該企業は再発防止策として、監査による確認の徹底を行うほか、教育の徹底や外部公開サーバーの総点検を行うとしています。
2.財務省の職員が飲酒後に行政文書やノートPCが入ったカバンを紛失
| 企業 | 財務省 |
|---|---|
| 被害時期 | 2025年2月 |
| 原因 | 飲酒後、文書やノートPCが入ったカバンを紛失 |
| 被害内容 | 不正薬物の密輸に関わった可能性がある187人分の個人情報が一時流出の危機にさらされた。 |
2025年2月、財務省は、同職員が不正薬物の密輸に関わった可能性がある187人分の個人情報(氏名や住所など)が記された文書を紛失したと発表しました。
同省によれば、該当職員は税関職員との会合で酒を飲んだ後、帰宅する途中で文書や業務用パソコンが入ったカバンを紛失したことに気づいたといいます。
情報が不正に使われたという連絡はないものの、紛失した文書とPCは見つかっていないとしています。
3.誤設定により、顧客約40万人分のカード情報が自社以外の業務端末でも閲覧可能に
| 企業 | 大手クレジットカード会社 |
|---|---|
| 被害時期 | 2025年1月 |
| 原因 | システム改修時に発生した誤設定 |
| 被害内容 | 顧客約40万人分(重複含む)のカード情報の一部が自社以外の業務端末でも閲覧可能になっていた。 |
2025年1月、大手クレジットカード会社が、同社とカード事業を展開する企業、同社がカード業務を受託する企業を含めた合計16社間で、保有するカード情報の一部が自社以外の15社の業務端末でも閲覧可能になっていたと発表しました。
閲覧可能となっていた項目は、クレジットカードの番号、有効期限、口座番号、入会日など。
対象となる顧客は約40万人(重複含む)に上るとされています。
本インシデントの原因は、システム改修時に発生した誤設定でした。
当該企業は再発防止策として、システム改修時にはより厳格なチェックを行うほか、受託先などで閲覧できる情報を、当該自社会員のみに限定する仕様に変更するとしています。
4.メールの誤送信により、約230社分の経営情報が流出
| 企業 | 島根県 |
|---|---|
| 被害時期 | 2024年9月 |
| 原因 | 不注意による誤送信 |
| 被害内容 | 県が支援する237社の売上や利益、主な取引先情報などが流出。 |
2024年9月、島根県は、約230社分の企業の情報を誤ってメールで送信したことを明らかにしました。
誤送信されたのは、県が支援する237社の売上や利益、主な取引先情報など。
県の職員が対象企業に経営情報を聞き取るべく、メールでファイルを送信しようとしたところ、誤って237社の経営情報を入力したファイルを添付してしまい、情報が流出しました。
県は誤送信の原因として、以下を挙げています。
●本来送信すべきだったデータと誤って送信したデータが同じフォルダで管理されており、名前も似ていた
●メールを送信する際にダブルチェックをしていなかった
また再発防止策として、メール送信時のダブルチェックを徹底することに加え、県のサーバーに保管している企業の情報をメールで送れないように、システム改修するとしています。
【チェックリスト付】退職者による
情報漏洩リスクを回避する、必須アクションとは?
退職予定者を把握したら実施したい、
情報持ち出しを回避するためにやるべき“3つのアクション”を紹介!
企業の情報漏洩事件は年々増加
DXの推進によりクラウドサービスの導入や、テレワークの普及が進む中、比例して企業のセキュリティ事故も増加しています。
中でも、企業が保有する個人情報(社員や顧客、取引先など)や、事業に関する機密情報が意図せず外部へ流出する「情報漏洩」の被害が注目されており、多くの組織が対策を行いながらも、その被害数は年々増え続けているのが実態です。
株式会社東京商工リサーチが2025年に発表した調査によると、2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事の発生件数は189件であり、調査を開始した2012年以降最多となりました。
▼上場企業とその子会社が公表した「個人情報漏えい・紛失事故」の件数推移
出典:東京商工リサーチ|2024年「上場企業の個人情報漏えい・紛失事故」調査(2025年1月21日)
2024年の情報漏洩の原因の内訳を見ると、「外部攻撃」に該当する「ウイルス感染・不正アクセス」が、全体の半数以上を占めており、外部要因による情報漏洩の割合が高いことがうかがえます。
▼情報漏えい・紛失事故189件の原因内訳
出典:東京商工リサーチ|2024年「上場企業の個人情報漏えい・紛失事故」調査(2025年1月21日)
従業員が意識すべき、情報漏洩対策の例
従業員が意識すべき情報漏洩対策の例として、以下のような内容が挙げられます。
▼個人の情報漏洩対策の一例
・許可なしにアクセス権限変更や、ユーザー招待をしない
・機密情報を含むPCやUSBを、社外へ安易に持ち出さない
・私用端末を業務で使用しない
・小まめにOSやソフトウェアのアップデートをおこなう
・不審なサイトやメールはアクセスしない・開かない
・フリーWi-Fiを使用しない
・簡易なパスワードを設定したり、紙に書き出したりしない
そもそも企業機密など、組織にとって重要なデータは限られたユーザーのみアクセスできるよう、権限を最小化する心がけが重要です。従業員は安易にアクセス許可や外部ユーザー招待をしないことが重要です。
また、不審なサイトへの訪問やメールに添付されるファイルを開くことで、マルウェアに感染し、PCやシステム内の情報が盗み取られる可能性があります。安易に不審なWebサイトやファイル、リンクをクリックしないよう心がけましょう。
さらに、簡易な文字列や短文をパスワードに設定すると、悪意のある第三者に推測され、不正ログインに悪用される可能性が高まります。多要素認証などによる根本的な対策も必要ですが、まずは推測されにくい、複雑なパスワードを設定しましょう。
企業の内部不正・人的ミスによる情報漏洩対策なら、「LANSCOPE エンドポイントマネージャー クラウド版」にお任せください
内部不正や人的ミスに起因する情報漏洩事故の対策として、IT資産管理ツールやMDMツールは非常に有効です。
MOTEXの提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」には、情報漏洩対策に有効な以下の機能が備わっています。
業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末の情報漏洩対策も一元的に管理できます。
▼主な機能一例
・PCの「操作ログ」を取得し、最大5年分保存可能
・PC・スマホの利用状況を「レポート」で見える化
・従業員の不審なファイル持ち出しや操作は、アラートで管理者へ通知
・デバイスの利用制限や、万が一の紛失時に役立つリモートロック・リモートワイプ
・デバイスの位置情報の自動取得
・Webサイトや使用するアプリの制御・管理
など
業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末の情報漏洩対策も一元的に管理できます。
内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。
情報漏洩に繋がりそうな従業員の不正操作を、早期に発見し、インシデントを防止することが可能です。
また万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックや端末の初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。
詳しい機能は、以下のページよりご覧ください。
まとめ
「情報漏洩」に関する国内事例とともに、近年の被害件数の動向・対策などをお伝えしました。
本記事のまとめ
- 情報漏洩の原因は、大きく分けて外部攻撃・内部不正・人的ミスの3種類
- 個人情報が流出すると、企業は損害賠償責任を問われるだけでなく、信頼低下やシステムの停止など、営業活動そのものの存続が脅かされるリスクもある
- 企業が行うべき対策として「従業員へのポリシー周知とセキュリティ教育」「従業員との書面の取り交わし」「クラウドのセキュリティ設定・認証方法の見直し」「IT資産管理やMDMツールの活用」などが挙げられる
サイバー攻撃の件数が増大している現代社会では、情報漏洩の脅威も増しています。情報漏洩の要因を分析し、過去の事例をよく把握しそれぞれの企業・組織に適したセキュリティ対策を図ることが重要です。
この記事が情報漏洩対策の参考になれば幸いです。
【チェックリスト付】退職者による
情報漏洩リスクを回避する、必須アクションとは?
退職予定者を把握したら実施したい、
情報持ち出しを回避するためにやるべき“3つのアクション”を紹介!
おすすめ記事
