Written by WizLANSCOPE編集部
目 次
企業・組織が個人情報を流出させた場合、社会的信用が低下するだけでなく、顧客への損害賠償など、甚大な被害が発生します。
個人情報が漏洩する原因には、サイバー攻撃やヒューマンエラー、内部不正などが挙げられ、原因ごとに適切な対策を講じることが求められます。
本記事では、個人情報が流出した場合の影響や、企業・組織が取るべき対応、対策などについて解説します。
▼本記事でわかること
- 個人情報流出時の影響
- 個人情報が流出した事例
- 個人情報流出時の対応
- 個人情報流出を防止するための対策
「個人情報が流出した際にどのような対応をすべきなのか」「どういった対策が有効なのか」などを知りたい方は、ぜひご一読ください。
個人情報の流出に関する近年の動向
デジタル技術の発展やグローバル化などを背景として、個人情報の流出事故は年々増加傾向にあります。
こうした状況を踏まえ、政府は2022年に個人情報保護法を改正し、企業・組織に対して、漏洩時の報告義務化など、より厳格な対応を求めるようになりました。
ここでは、近年の「個人情報の流出」に関する動向について解説します。
企業の情報漏洩・紛失事故件数が過去最多に
企業・組織における情報漏洩事故の発生件数は、右肩上がりで増加しています。
株式会社東京商工リサーチが2025年に発表した調査によると、2024年に上場企業とその子会社が公表した「個人情報の漏洩・紛失事故の発生件数」は189件であり、調査を開始した2012年以降最多となりました。
▼上場企業とその子会社が公表した「個人情報漏えい・紛失事故」の件数推移
出典:東京商工リサーチ|2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分(2025年1月21日)
2022年4月には個人情報保護法が改正
2022年4月に個人情報保護法が改正され、個人情報の取り扱いが厳格化されただけでなく、個人情報が流出した際の企業や事業者に対する責務が強化されました。
個人情報の流出が発生し「個人の権利や利益を害する恐れが大きい」と判断された場合、個人情報保護委員会への報告および本人への通知が義務化されたのです。
具体的には以下のような事案が生じた場合に報告・通知が必要です。
- ECサイトからクレジットカード情報や電話番号などの個人情報が漏洩した
- 不正アクセスされ、個人情報が漏洩した
- ランサムウェア攻撃などにより個人情報が暗号化され、復元不可能になった
- 社員が不正に顧客の個人データを持ち出し、第三者に提供した
また報告・通知の義務を怠ったり、個人情報データベースを不正に利用したりした場合も、「法人」には以下のペナルティが適用されます。
| 個人情報保護法改正前 | 個人情報保護法改正後 | |
|---|---|---|
| 法人による個人情報データベース等の不正提供 | 50万円以下の罰金 | 1億円以下の罰金 |
| 法人による措置命令違反 | 30万円以下の罰金 | 1億円以下の罰金 |
| 個人情報保護委員会へ虚偽の報告および報告義務違反 | 30万円以下の罰金 | 50万円以下の罰金 |
| 措置命令違反 | 6ヶ月以下の懲役または30万円以下の罰金 | 1年以下の懲役または100万円以下の罰金 |
出典:PR RIMES MAGAZINE│【個人情報保護法】2022年施行の改正内容と企業が知っておくべきポイントをわかりやすく紹介
個人情報が流出した場合の影響
個人情報を流出させてしまった企業には、主に以下のような深刻な影響が発生する可能性があります。
- 社会的信用の低下
- 法的責任の追求
- 顧客からの損害賠償請求
- 営業機会の損失
- 多額の対策費用の発生
個人情報流出のニュースが報道されると、企業の顧客情報管理体制やセキュリティ体制への不信感が高まり、企業のイメージやブランド価値が低下しかねません。
その結果、顧客離れや営業機会の損失につながる恐れもあるでしょう。
さらに、顧客情報が漏洩してしまった場合、顧客からの損害賠償請求や訴訟などの法的措置が取られる可能性も考えられます。
企業は、その対応や再発防止策の実施に、多額の費用を要することになるでしょう。
個人情報が流出した事例
個人情報が流出した事例を2件紹介します。
何が原因でどのような情報が流出したのかを確認していきましょう。
【事例1】大手コーヒーチェーンで7万件以上の従業員IDが流出
2025年9月、大手コーヒーチェーンが不正アクセス被害を受け、従業員IDや氏名、生年月日など、約3万1500人分の個人情報が流出したことを発表しました。
不正アクセスの原因は、同社が利用していたシフト作成ツールの提供元がサイバー攻撃を受けたことによるもので、ツール上に保存されていた情報の一部が漏洩したとされています。
さらに継続調査の結果、2025年10月には新たに約4万700人分の従業員IDが漏洩していたことも判明しました。
シフト作成ツールの提供元である企業は再発防止策として、外部専門家の協力を得ながら、監視体制の強化や脆弱性対策の実装など、セキュリティ強化に向けた取り組みを進めるとしています。
【事例2】大手運送会社の元社員が取引先企業の情報を不正に流出
2025年10月、大手運送会社の元社員が、取引先企業の情報2万6,790件を不正に持ち出し、外部企業に流出させていたことが判明しました。
流出した情報は、以下の通りです。
- 一部の取引先企業に関わる情報(顧客コード、会社名、住所、大手運送会社からの請求金額など)
- 請求書の宛名に含まれる氏名
- 特定の支店の従業員・元従業員の氏名
また、流出先の外部企業が、受け取った情報を営業活動に利用していたことも明らかになっています。
本事案は、流出先企業による不審な営業活動に対し、取引先企業から苦情が寄せられたことで発覚しました。
なお、流出先企業は、すでに情報を破棄したと回答しています。
個人情報が流出する原因
個人情報はなぜ流出するのでしょうか。
株式会社東京商工リサーチが2025年に発表した調査によると、2024年に発生した情報漏洩・紛失事故189件のうち、最も多かった原因は「ウイルス感染・不正アクセス」で、全体の6割を占める114件が報告されました。
出典:東京商工リサーチ|2024年「上場企業の個人情報漏えい・紛失事故」調査(2025年1月21日)
次いで「誤表示・誤送信」や「不正持ち出し・盗難」「紛失・誤廃棄」など、人的ミスに起因する原因も多く報告されています。
特に「ウイルス感染・不正アクセス」は、年々増加傾向にあり、2024年には調査開始以来初めて100件台を記録しました。
「ウイルス感染・不正アクセス」の件数は2019年以降、6年連続で件数を更新しており、その背景には重要データを暗号化したり、パソコンをロックしたりして使用不能にし、復旧の条件として身代金を要求する「ランサムウェア」の被害拡大が挙げられます。
個人情報流出時の対応
個人情報が流出した場合、企業にはどのような対応が求められるのでしょうか。
ここでは、独立行政法人情報処理推進機構(IPA)が公開している「情報漏えい発生時の対応ポイント集」を参考として、企業に求められる対応を解説します。
万が一個人情報が漏洩したら、企業・組織には、以下のような対応を迅速にとることが求められます。
| (1)発見・報告 | ・情報漏洩に関する兆候や具体的な事実を確認したら、速やかに責任者に報告し、判断を仰ぐ ・証拠保全のために不用意な操作はしない |
|---|---|
| (2)初動対応 | ・対策本部を設置し、当面の対応方針を決定する ・ネットワークの遮断、サービスの停止といった応急処置を行い、被害の拡大、二次被害の防止に努める |
| (3)調査と証拠保全 | ・原因や被害範囲の調査を行う ・システム上に残された証拠の保全を行う |
| (4)通知・報告・公表 | ・漏洩した個人情報の本人に連絡および謝罪をする ・然るべき機関(警察など)への届出を行う ・ホームページや記者会見による公表を検討する |
| (5)抑制措置と復旧 | ・停止していたサービスの復旧を進める ・情報流出による被害を相談できる専用の窓口を設置する |
| (6)事後対応 | ・抜本的な再発防止策を検討および実施する ・被害者に対する損害補償を行う ・調査報告書を提示する |
「個人情報の流出に関する近年の動向」の部分で述べたように、個人情報の流出が発生し、「個人の権利や利益を害する恐れが大きい」と判断された場合は、個人情報保護法に基づき、個人情報保護委員会への報告と、本人への通知が義務化されています。
報告の目安としては、発覚後おおむね3~5日以内に個人情報保護委員会に連絡し、事案の概要や原因、影響範囲などを提出する必要があります。
参考:独立行政法人情報処理推進機構(IPA)「情報漏えい発生時の対応ポイント集」
個人情報を流出させないための対策
前述の通り、情報漏洩の原因には大きく分けて以下の3つが挙げられます。
- 外部攻撃
- 人的ミス
- 内部不正
ここでは3つの原因別に、個人情報漏洩の対策を解説します。
外部攻撃への対策
ランサムウェア攻撃や不正アクセスなど、サイバー攻撃を原因とする情報漏洩は、年々増加しています。
外部からの攻撃による情報漏洩を防ぐには、以下のような対策が効果的です。
- エンドポイントセキュリティの強化
- OS・ソフトウェアの最新化(アップデート)
- 多要素認証(MFA)の導入
外部攻撃による情報漏洩では、ウイルスなどのマルウェアに感染することで、PCやサーバー内の情報を盗まれてしまうケースが多く報告されています。
そのため、PCやスマートフォンなどのエンドポイントを保護するセキュリティ対策は欠かせません。
例えば、マルウェアの侵入を防ぐアンチウイルスや、侵入後の異常を検知し、対応するEDRの活用が有効です。
また、OSやソフトウェアの脆弱性を悪用した攻撃もあるため、定期的なアップデートやパッチ適用も欠かせません。
さらに、クラウドサービスへの不正ログインを防ぐには、多要素認証を導入し、ログイン時の認証を強化することも重要です。
内部不正への対策
内部不正とは、社内関係者による機密情報の持ち出しなど、重要情報が不正に窃取されることです。
内部不正による情報漏洩対策としては、以下が挙げられます。
- 操作ログの監視
- アクセス権限の最小化
ユーザーの操作ログを見ることで、「いつ」「誰が」「どのような操作をしたか」を把握できるため、情報漏洩が発生した際、速やかに原因を特定できます。
また「操作ログを取得している」ことを社内に周知することで、不正行為の抑止効果も期待できます。
さらに「顧客情報」をはじめとする重要データへのアクセス権限を最小限に絞ることも重要です。
権限を適切に管理し、必要な範囲だけに付与することで、従業員による不正な持ち出しや、意図しない外部共有のリスクを低減することが可能です。
人的ミスへの対策
メールの誤送信やクラウドサービスの設定ミスなど、社内関係者の操作ミスや不注意によって情報が流出するケースも多く報告されています。
人的ミスによる情報漏洩対策としては、以下が挙げられます。
- IT資産管理ツールの導入
- 情報資産の取り扱いに関するガイドラインの策定
IT資産管理ツールの中には、登録した業務用デバイスの操作ログや位置情報の取得、遠隔によるデバイスのロックや初期化が可能な製品もあります。
これにより、従業員が誤って個人情報を外部へ持ち出す、あるいは業務用デバイスを紛失するなどの情報漏洩リスクを未然に防ぐことが可能です。
また個人情報や情報資産の取り扱いに関して、あらかじめ社内で厳格なガイドラインやポリシーを定め、従業員に周知することも重要です。
例えば、「外部に業務用デバイスを持ち出す際は、上長の承認を得る」などの明確なルールを定めておくことで、不要な持ち出しを防げるでしょう。
個人情報の流出対策なら「LANSCOPE エンドポイントマネージャー クラウド版」
内部不正や人的ミスによる「情報漏洩対策」であれば、MOTEXが提供する「LANSCOPE エンドポイントマネージャー クラウド版」におまかせください。
LANSCOPE エンドポイントマネージャー クラウド版 なら、業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイルデバイスを一元管理し、情報漏洩リスクへ早期に対処することが可能です。
▼情報漏洩対策に有効な「機能」の一例
- PCやスマホの「操作ログ」を自動で取得
- PCやスマホ、タブレットの利用状況を「レポート」で見える化
- あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
- 万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
- Windowsアップデートやパッチ適用の管理
内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能です。
またログ画面からは、PCにおけるアプリ利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続といった従業員の操作について、「いつ」「誰が」「どのPCで」「なんの操作をしたか」などを一目で把握できます。
情報漏洩に繋がりそうな従業員の不正操作を早期に発見し、インシデントを防止することが可能です。
また万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックやデバイスの初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。
LANSCOPE エンドポイントマネージャー クラウド版の詳しい機能は、以下のページよりご覧ください。
まとめ
今回は「個人情報の流出」をテーマに、流出時の影響や流出しないための対策などを解説しました。
本記事のまとめ
- 2022年4月に個人情報保護法が改正され、個人情報の取り扱いが厳格化されただけでなく、 流出した際の企業や事業者に対する責務の強化が行われた
- 個人情報を流出させた企業は、社会的信用の低下はもちろん、法的責任を問われる、損害賠償を請求される、営業活動の停止などの影響が想定される
- 情報漏洩の原因は、大きく分けて外部攻撃・人的ミス・内部不正の3種類があり、原因別に適切な対策を行うことが重要
個人情報の流出は、情報が流出した当事者が被害を受けることはもちろん、流出させてしまった企業・組織側も多大な損失が発生します。改めて組織の情報漏洩対策について見直し、また仮にインシデントが発覚した際も、速やかに対処できるよう体制を整えておきましょう。
おすすめ記事
