個人情報の流出とは、企業・組織が保有する従業員や顧客などの個人情報が何らかの原因で外部に漏洩してしまうことです。

個人情報が漏洩する原因としては

●外部攻撃（標的型攻撃やランサムウェア攻撃など）
●人的ミス（メールの誤送信やクラウドサービスの設定ミスなど）
●内部不正（社内関係者による機密情報の持ち出しなど）

などが挙げられます。

企業・組織が個人情報を流出させた場合、社会的信用が低下するだけでなく、顧客への損害賠償など多大な被害を受ける可能性があります。原因ごとに適切な対策を講じるようにしましょう。

この記事では、個人情報が流出した場合の影響や流出した場合の対応、対策などについて解説します。

個人情報の流出とは？（何が個人情報に該当するのか）

個人情報の流出とは、企業・組織が保有する従業員や顧客の個人情報が、外部に漏洩することを指します。

個人情報とは、特定の個人を識別できる情報のことで、具体的には以下のようなものが該当します。

●住所
●氏名
●生年月日
●電話番号
●メールアドレス
●顔写真
●マイナンバー
●免許証番号

電話番号や生年月日は、単体では特定の個人を識別することはできませんが、氏名や顔写真などと組み合わせることで個人の識別が可能となるため、個人情報として扱われます。

これらの情報が漏洩すると、個人のプライバシーが侵害されるだけでなく、アカウントの乗っ取りや詐欺、クレジットカードの不正利用といった、深刻なセキュリティ事故が生じる可能性があります。

近年の「個人情報漏洩」に関する、国内の動向

個人情報漏洩の事故は年々増加しており、政府はこのような事態を受けて、2022年に個人情報保護法が改正されました。以下では「個人情報の漏洩」に関する、ここ最近の動向についてご紹介します。

2023年、企業の情報漏洩・紛失事故件数が過去最多に

企業・組織における情報漏洩事故の発生件数は、未だ右肩上がりで増加を続けています。

株式会社東京商工リサーチが2024年に発表した調査によると、2023年に上場企業とその子会社が公表した「個人情報の漏洩・紛失事故の発生件数」は175件であり、調査を開始した2012年以降最多となりました。

また、2023年の1年間で漏洩した個人情報の総数は4,090万8,718人分と、前年の約7倍を記録しています。

▼上場企業とその子会社が公表した「個人情報漏えい・紛失事故」の件数推移

出典：東京商工リサーチ｜ 2023年の「個人情報漏えい・紛失事故」が年間最多　件数175件、流出・紛失情報も最多の4,090万人分（2024年1月19日）

2022年4月には個人情報保護法が改正

2022年4月に個人情報保護法が改正され、個人情報の取り扱いが厳格化されただけでなく、個人情報が流出した際の企業や事業者に対する責務が強化されました。

個人情報の流出が発生し「個人の権利や利益を害する恐れが大きい」と判断された場合、個人情報保護委員会への報告および本人への通知が義務化されたのです。

具体的には以下のような事案が生じた場合に報告・通知が必要です。

●ECサイトからクレジットカード情報や電話番号などの個人情報が漏洩
●不正アクセスを受け個人情報が漏洩
●ランサムウェアなどの攻撃により個人情報が暗号化され、復元不可能になった
●社員が不正に顧客の個人データを持ち出し、第三者に提供した

また報告・通知の義務を怠ったり、個人情報データベースを不正に利用したりした場合も、「法人」には以下のペナルティが適用されます。

	個人情報保護法改正前	個人情報保護法改正後
法人による個人情報データベース等の不正提供	50万円以下の罰金	1億円以下の罰金
法人による措置命令違反	30万円以下の罰金	1億円以下の罰金
個人情報保護委員会へ虚偽の報告および報告義務違反	30万円以下の罰金	50万円以下の罰金
措置命令違反	6ヶ月以下の懲役または30万円以下の罰金	1年以下の懲役または100万円以下の罰金

出典：PR RIMES MAGAZINE│【個人情報保護法】2022年施行の改正内容と企業が知っておくべきポイントをわかりやすく紹介

個人情報が流出するとどうなるのか？

個人情報が流出した場合、企業・個人それぞれが受ける影響についてご紹介します。

個人情報を流出させた「企業」への影響

個人情報を流出させた企業が受ける影響として、以下のような被害が想定されます。

●社会的信用が低下する
●法的責任を問われる
●顧客から損害賠償を請求される
●営業機会が失われる
●多額の対策費用がかかる

個人情報流出のニュースが報道されることで、企業の顧客情報管理やセキュリティ体制への不信感が高まります。企業のイメージやブランド価値が下がることで、営業機会や顧客の損失を受ける可能性があります。

また顧客情報が漏洩してしまった場合、顧客からの損害賠償請求や訴訟などの法的措置が取られる可能性も考えられます。

個人情報が流出してしまった「個人」への影響

個人情報が流出した場合、情報が漏洩した「個人」には以下のような被害リスクが想定されます。

●アカウントの乗っ取りやなりすまし
●クレジットカードの不正利用
●個人情報の不正売買
●新たなサイバー攻撃の踏み台への悪用
●特殊詐欺などの標的にされる

個人のIDやパスワードが流出した場合、不正ログインによりアカウントが乗っ取られ、サービスを不正に利用される危険性があります。また乗っ取ったアカウントを悪用し、新たな情報を盗み出したり、別の犯罪に利用されたりするケースも考えられるでしょう。

さらに、電話番号や住所などが流出した場合は、オレオレ詐欺や架空料金請求などの 「特殊詐欺」の標的にされる可能性もあります。

個人情報が流出した事例

ここでは実際に国内で発生した、個人情報が流出した事例を3つ紹介します。

事例1：大手中古車販売店がランサムウェア被害、個人データ240万件が漏洩した可能性

企業	大手中古自動車販売業者
被害時期	2023年4月
原因	不正アクセスによるランサムウェア感染
被害内容	約240万件の個人データ閲覧・漏洩の可能性

2023年4月、大手中古自動車販売業者が不正アクセスを受け、約240万件の個人データが第三者に閲覧された可能性があると発表しました。

同社では、2023年3月に業務システムへのアクセス障害が発生したため、調査を実施したところ、業務システムの起動ファイルが一部暗号化されていることを確認。その後、第三者調査機関に調査を依頼したところ、不正アクセスを受けたのち、ランサムウェアに感染していたことが明らかになりました。

個人データが外部に送信された形跡は見つかっていないものの、個人情報が攻撃者に閲覧された可能性は否定できないとしています。

事例2：大手自動車メーカー、約8年クラウド環境に誤設定。約26万の顧客情報が漏洩した可能性

企業	大手自動車メーカー
被害時期	2015年2月～2023年5月
原因	クラウド環境の誤設定
被害内容	約26万の顧客情報が漏洩した可能性

2023年5月、大手自動車メーカーで、約26万人の顧客情報が漏洩する事件がありました。

原因は社内におけるデータの取り扱いルールの不徹底で、多くのファイルが権限設定の不備により、外部から自由に閲覧・アクセスできる状態になっていたとのことです。

この危険な状態は2016年10月～23年5月まで8年もの間放置されており、住所や氏名、電話番号、メールアドレス、顧客ID、車両登録ナンバー等が閲覧された可能性があるとしました。

対策として、クラウド環境の設定および調査を行う「監視システム」の導入や、データ取り扱いルールの周知、厳守の徹底や従業員への教育強化が実施されました。

事例3：大手通信会社、元派遣社員が顧客情報約900万件を不正に持ち出し

企業	大手情報通信事業者
被害時期	2023年10月
原因	元派遣社員による情報の持ち出し
被害内容	900万件以上の個人情報流出

2023年10月、大手通信会社にて顧客情報約900万件が、内部不正により流出する事件が発生しました。

情報を持ち出したのは、同社がコールセンター用システムの運用保守を依頼する、パートナー企業の元派遣社員。システムの管理アカウントを用いてサーバーへアクセスし、名前や住所、電話番号などの個人情報が含まれた34個のファイルデータをダウンロード・コピーしたとのことです。

盗んだ個人情報は、東京の名簿業者にメールで送ったとされ、犯人は顧客情報売買により、過去2,000万円以上の利益を得ていたと推測されます。

同社では今後、情報管理体制を再点検するほか、情報の取り扱いに関する社員教育を徹底し、再発防止を図るとしています。

個人情報を流出させないための対策

情報漏洩の原因には、大きく分けて外部攻撃・人的ミス・内部不正の3種類があります。

●外部攻撃…ランサムウェアを用いた攻撃や不正アクセスなど、外部からのサイバー攻撃によるもの
●人的ミス…メールの誤送信やクラウドサービスの設定ミスなど、社内関係者の操作ミスや不注意によるもの
●内部不正…社内関係者による機密情報の持ち出しなど、重要情報が不正に窃取されるもの

ここでは原因別に、個人情報漏洩の対策を紹介します。

1．外部攻撃への対策

外部攻撃による情報漏洩対策としては、以下のようなものが挙げられます。

●セキュリティソフトや侵入検知システムの導入
●OSやソフトウェアのこまめなアップデート
●多要素認証や強力なパスワードポリシーの採用

外部攻撃による情報漏洩では、ウイルスなどのマルウェアに感染することで、PCやサーバー内の情報を盗まれてしまうケースが多く報告されています。そのため、エンドポイント（PCやスマートフォンなど）にマルウェアを侵入させないためのアンチウイルスや、事後検知に優れたEDRの導入が不可欠になります。

また不正アクセスの原因となるOSやソフトウェアの脆弱性を解消するため、定期的なアップデートやパッチ適用も重要です。さらにクラウドサービスへの不正ログインを防ぐため、認証方法を強化する「多要素認証」の導入なども、情報漏洩対策としておすすめです。

2．内部不正への対策

内部不正による情報漏洩対策としては、以下のような内容が挙げられます。

●操作ログの監視
●アクセス権限の最小化

ユーザーの操作ログを見ることで、「いつ」「だれが」「どのような操作をしたか」を把握できるため、情報漏洩が発生した際、速やかに原因を特定できます。また「操作ログを取得している」ことを社内に周知することで、不正行為の抑止を期待できます。

さらに「顧客情報」など重要データへのアクセス権限を最小化することで、従業員による不正な持ち出しや外部共有のリスクを低減することが可能です。

3．人的ミスへの対策

●IT資産管理ツールの導入
●情報資産の取り扱いに関するガイドラインの策定

IT資産管理ツールの中には、登録した業務用端末の操作ログや位置情報の取得、遠隔による端末のロックや初期化が可能な製品もあります。これにより、従業員が誤って個人情報を外部へ持ち出す、あるいは業務用端末を紛失するなどの情報漏洩リスクを未然に防ぐことが可能です。

また個人情報や情報資産の取り扱いに関して、あらかじめ社内で厳格なガイドラインやポリシーを定め、従業員に周知することも重要です。「外部への情報端末を持ち出す際は、上長の承認を得る」など明確なルールを設けるようにしましょう。

原因別の情報漏洩対策は以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。

個人情報の流出対策なら「LANSCOPE エンドポイントマネージャー クラウド版」にお任せください

内部不正や人的ミスによる「情報漏洩対策」であれば、MOTEXが提供する「LANSCOPE エンドポイントマネージャー クラウド版」にお任せください。

LANSCOPE エンドポイントマネージャー クラウド版 なら、業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末を一元管理し、情報漏洩リスクへ早期に対処することが可能です。

▼情報漏洩対策に有効な「機能」の一例
・PCやスマホの「操作ログ」を自動で取得
・PCやスマホ、タブレットの利用状況を「レポート」で見える化
・あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
・万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
・Windowsアップデートやパッチ適用の管理

内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。
またログ画面からは、PCにおけるアプリ利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続といった従業員の操作について、「いつ」「誰が」「どのPCで」「なんの操作をしたか」などを一目で把握できます。

情報漏洩に繋がりそうな従業員の不正操作を早期に発見し、インシデントを防止することが可能です。

また万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックや端末の初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。

LANSCOPE エンドポイントマネージャー クラウド版の詳しい機能は、以下のページよりご覧ください。

まとめ

今回は「個人情報の流出」をテーマに、流出時の影響や被害リスク、流出しないための対策などを解説しました。

個人情報の流出は、情報が流出した当事者が被害を受けることはもちろん、流出させてしまった企業・組織側も多大な損失が発生します。改めて組織の情報漏洩対策について見直し、また仮にインシデントが発覚した際も、速やかに対処できるよう体制を整えておきましょう。