本ページはアフィリエイト広告プログラムによる収益が発生しています。
日本ネットワークセキュリティ協会の調査結果によると、2018年の個人情報漏洩には多数の事例があり、代表的なものは以下のとおりです。
| 事例 | 影響 |
| ワイモバイルの情報漏洩事例 | 業務用パソコン1台の紛失が原因で、1,321名分の個人情報が漏洩 |
| リクルートキャリアの情報漏洩事例 | メール誤送信が原因で、約3万7,000件の個人情報が漏洩 |
| メルカリの情報漏洩事例 | アプリの設定ミスで、最大5万4,180件の個人情報に流出の可能性 |
| ベネッセ・コーポレーションの情報漏洩事例 | 再委託先企業に勤務する派遣社員による不正な情報持ち出しで、個人情報約2,900万件が流出 |
| ソニー・コンピュータエンタテインメントの情報漏洩事例 | サーバーの脆弱性を利用した不正アクセスで、742万7,038件の個人情報が漏洩 |
2022年に入ってからも、すでに多くの情報漏洩の事例が発生しています。内部不正による情報漏洩の対策方法はこちら>>
| 株式会社日能研の事例 | サーバーへのサイバー攻撃で、最大28万106件のメールアドレスに流出の可能性 |
| 株式会社ACROの事例 | オンラインショップに対する不正アクセスで、クレジットカード決済したユーザーのカード情報について最大10万3,935件等に流出の可能性 |
| 株式会社石橋楽器店の事例 | サーバーへのサイバー攻撃で、メールアドレス9万8,635件が流出した可能性 |
情報漏洩は一度起こってしまうと、損害賠償を請求されたり企業イメージが著しく低下したりするなど、多くの損失が発生し大きな打撃を受けてしまいます。そして、どこの企業でも漏洩する危険性がある点も情報漏洩の恐ろしいところです。
人情報漏洩人数は561万3,797人、件数は443件、想定される損害賠償総額は2,684億5,743万円でした。
デジタル化の推進やテレワークの普及といった業務環境の変化に伴い、情報漏洩の事例は増加・多様化する傾向にあります。そのため、これまで以上に事例を踏まえた適切な対策を取ることが必要なのです。
そこでこの記事では、情報漏洩対策を行う上で知っておくべき過去の事例について、以下の内容を紹介します。
・2022年の最新情報漏洩事例
・人為的ミスによる情報漏洩の事例
・不正アクセスによる情報漏洩の事例
・事例を踏まえた情報漏洩対策が特に必要な企業
・事例を踏まえた情報漏洩対策のポイント
当記事では2022年の最新事例から過去の代表的な事例まで網羅し、原因や事例を踏まえた対策例などを解説しています。これらの内容を確認することで具体的な漏洩事例の傾向や原因を踏まえて、自社の状況に最適な対策を行うことができるようになるでしょう。
情報漏洩が発生すると、対外的にも対内的にも企業は大きなダメージを受けてしまいます。そうならないためにも、実際に発生した事例への理解を深めておきましょう。
1. 【2022年最新】情報漏洩事例
2022年に入ってからも、すでに多くの情報漏洩事例が発生しています。
ここでは、2022年に発生した最新の事例で代表的なものを、一覧形式で見ていきましょう。
| 時期 | 事例 | 原因 |
| 2022年1月11日 | 【株式会社石橋楽器店】ポイントサービスに登録したユーザーのメールアドレス9万8,635件が流出した可能性 | サーバーに対するサイバー攻撃 |
| 2022年1月12日 | 【株式会社マルカン】「マルカンオンラインショップ」でカード決済したユーザー1,152名のクレジットカード情報が流出、一部不正利用された可能性 | オンラインショップに対するサイバー攻撃 |
| 2022年1月12日 | 【北海道ガス株式会社】ハードディスク1つに記録された個人情報に関する情報3万1,463件に流出の可能性 | ハードディスクの紛失 |
| 2022年1月13日 | 【株式会社ジェック】研修受講者の個人情報約2万件が流出 | 社内ストレージに対する不正アクセス |
| 2022年1月13日 | 【おかぴファーマシーシステム株式会社】送信先となったメールアドレス6,926件が流出 | メールの誤送信 |
| 2022年1月25日 | 【ビバリーグレンラボラトリーズ株式会社】同社サイトにて新規にカード情報を入力したユーザーのクレジットカード情報4万6,702件が流出の可能性 | オンラインショップに対する不正アクセス |
| 2022年1月29日 | 【株式会社日能研】最大28万106件のメールアドレスに流出の可能性 | サーバーに対するサイバー攻撃 |
| 2022年2月8日 | 【株式会社エイチ・アイ・エス】最大1,846名の個人情報に流出の可能性 | サーバーに対するサイバー攻撃 |
| 2022年2月21日 | 【オカ株式会社】カード決裁したユーザーのカード情報1,635件・個人情報について最大7,086件に流出の可能性 | オンラインショップに対するサイバー攻撃 |
| 2022年2月24日 | 【株式会社ACRO】クレジットカード決済したユーザーのカード情報について最大10万3,935件等に流出の可能性 | オンラインショップに対する不正アクセス |
| 2022年2月28日 | 【名古屋大学医学部附属病院】アカウント内に保存されていた合計416名分の個人情報に流出の可能性 | メールアカウントに対する不正アクセス |
| 2022年2月28日 | 【ビーズ株式会社】顧客・取引先のメールアドレス合計23,435件に流出の可能性 | ホームページに対するサイバー攻撃 |
| 2022年2月28日 | 【株式会社メタップスペイメント】最大460,395件のクレジットカード情報・コンビニやペイジー等の決済情報・加盟店情報について流出した可能性 | 管理システムに対する複合的なサイバー攻撃 |
上記のとおり、情報漏洩事例は不正アクセスやサイバー攻撃などの不正な手段によるものが多い一方で、メールの誤送信・ハードディスクの紛失といった人為的ミスによっても発生していることがわかります。
このような情報漏洩を効果的に予防するためには、人為的ミス及び不正な手段によるアクセスの2種類に対して複合的な対策を取っていくことが必要です。
そこで以下では2種類の原因ごとにわけて事例について詳しく見ていきます。
2. 人為的ミスによる情報漏洩事例
人為的ミス以上に、規模の大きい情報漏洩につながりやすい不正アクセス。ここでは、2022年以外に発生した事例で把握しておくべきものを紹介します。
不正アクセスによる情報漏洩事例
以下では、各事例における不正アクセスの手口や、その結果どうなったのか、適切な対策の例などをまとめていますので確認してみてください。
3-1. 内部から不正アクセスされた事例
約2,900万件もの大規模な情報漏洩で有名なベネッセ・コーポレーションの事例は、内部から不正アクセスされることで発生しました。社内からのアクセスにも、しっかりとセキュリティ対策をする必要があることを再確認させられる事例です。
ベネッセ・コーポレーションの情報漏洩事例
| 情報漏洩に至った経緯 | ・ベネッセの会員情報管理の再委託先企業に勤務する派遣社員が、名簿業者への売却を目的に貸与PC経由でデータをコピーし、20回程度にわたって情報の持ち出しを行った |
| 情報漏洩の結果 | ・進研ゼミなどベネッセが展開するサービスの登録個人情報約2,900万件が流出・流出した情報は、氏名・生年月日・性別・住所・電話番号・メールアドレスなど・補償対応の結果、ベネッセは260億円の特別損失を計上することとなった |
この事例で着目したいのは、個人情報を多く取り扱うベネッセ・コーポレーションはセキュリティ対策に力を入れていたにもかかわらず、情報漏洩が起きてしまったということでしょう。
セキュリティ対策を意識している企業も、外部からの攻撃には綿密に対策していても、対内的な対策は不十分になりがちなもの。内部にも不正を行う人間がいるということを日ごろから肝に銘じ、以下のような対策を行っておく必要があります。
【対策の具体例】
・重要なデータへのアクセス権限付与は最小限にとどめる
・個人情報や機密情報はコピー制限をかけておく
・情報の暗号化も検討する
・個人情報や機密情報を扱う従業員へのチェック機能が働くような体制をつくる
ソニー・コンピュータエンタテインメントの情報漏洩事例
| 情報漏洩に至った経緯 | 同社の提供サービスであるPlayStation Networkおよび Qriocityのアプリケーションサーバーの脆弱性を利用して不正アクセスが行われた |
| 情報漏洩の結果 | ・世界規模でPlayStation NetworkおよびQriocityの登録情報が漏洩・個人情報約7,700万件、クレジットカード情報は約1,000万件漏洩した ・うち日本の漏洩件数は742万7,038件 ・いったんシステムを全停止しデータセンター移管などのセキュリティ対策を実施するとともに、注意喚起やお詫びの配布などを行った |
この事例で注目したいのは、同社が利用していたサーバーには複数のファイアウォールが設置されていたにもかかわらず、システムに脆弱性があったためにセキュリティを突破されてしまったという点でしょう。
セキュリティ対策と言うと、対策ソフトやセキュリティ機能ばかりに目を向けがちですが、プログラムやシステムの既知の脆弱性にも注意を払っておかないと危険です。脆弱性の情報は判明し次第発表されているので、そういった情報にも目を向けて対策を取っていく必要があるでしょう。
【対策の具体例】
・脆弱性が確認されているプログラムやシステムは、コストが抑えられても安易に使わない
・費用がかさんでも、セキュリティ対策に注力しているサービスやプラットフォームを使用する
・最新のサイバー攻撃や不正アクセスの手口について情報収集し、自社の対策に活かす
4. 事例から見る情報漏洩対策が必要な企業とは
結論から言うと、基本的には個人情報や機密情報を少しでも扱う企業はすべて、情報漏洩対策を行うことが必要になります。
情報漏洩の原因は多岐にわたり、日常業務の些細なミスからでも大事な情報が流出する危険性があるため、すべての企業で情報漏洩リスクがあるためです。
ただし、今回紹介した事例を踏まえた場合、特に情報漏洩を徹底して強化していく必要があるケースというのがあります。ここでは代表的な6例を紹介します。
事例を踏まえ、特に情報漏洩を強化していく必要がある例
①オンラインショップや個人情報を登録できるサイトを運営している
②業務の委託や再委託をしている
③メールのやり取りをする機会が多い
④個人情報や機密情報を外部に持ち出す機会がある
⑤テレワークをしている
⑥インターネットに接続するシステムを使っているが、「脆弱性」と聞いても具体的にどういうことか説明できる自信がない
上記のどれか1つにでも当てはまる場合、情報漏洩対策を徹底しておかないと、今回ご紹介した事例のような事態に陥る危険性があります。情報漏洩対策が万全と言い切る自信がない場合は、以下の対策例を参考に、対策の強化を検討してみてください。
| 特に対策が必要な状況 | 対策例 |
| オンラインショップや個人情報を登録できるサイトを運営している | ・サーバーの脆弱性はないかセキュリティ対策は万全かを確認し、不安があるならサーバーの変更やセキュリティ対策の強化を検討・管理担当する従業員の操作に関する知識・情報リテラシーは十分か確認し、不十分なら研修を行う |
| 業務の委託や再委託をしている | ・個人情報や機密情報に関する取り決めを結ぶ・アクセス権限やデータのコピーに関する制限が必要ないか検討 |
| メールのやり取りをする機会が多い | ・誤送信を防止する対策を徹底する |
| 個人情報や機密情報を外部に持ち出す機会がある | ・情報の重要度のランク付けを行い、情報や機器の持ち出しルールを決め周知徹底させる |
| テレワークをしている | |
| インターネットに接続するシステムを使っているが、「脆弱性」と聞いても具体的にどういうことか説明できる自信がない | ・年に1回は情報セキュリティに関する研修を行う |
より詳しく情報漏洩対策について確認しておきたい場合は、「情報漏洩対策は原因を踏まえて行うことが重要!効果的な対策8つとは」もあわせてご参照ください。
5. 事例を踏まえた情報漏洩対策のポイント
今回ご紹介した事例全体に共通する情報漏洩対策のポイントが2つあります。
事例全体に共通する情報漏洩対策のポイント2つ
- 情報セキュリティ教育を徹底する
- 速やかな対応が可能な体制づくりを行う
上記は、個人情報や機密情報を扱うなら、業態や規模にかかわらずどのような企業であってもぜひ実践すべきポイントです。なぜ必要なのか、理由を見ていきましょう。
5-1. 情報セキュリティ教育を徹底する
情報漏洩を防ぐためにもっとも重要で絶対に欠かせないものが、従業員一人ひとりの「情報漏洩をしてはならない」という意識を持たせるための情報セキュリティ教育を徹底する必要があります。
それは知識が無ければ、日常業務の中に当たり前のように潜む情報漏洩リスクを回避することも難しいからです。情報漏洩の影響の深刻さを知らなければ、防ごうという気持ちすら希薄になるかもしれません。
例えば、メールの送受信が情報漏洩の発生原因として非常に多いこと、もしメールで情報漏洩させてしまうと損害賠償などで自身や会社に甚大な損害が発生することを知っていれば、対策である送信時のチェックも念入りに行おうとするでしょう。しかし何も知らなければ、忙しい時など特にチェックはほどほどで済ませてしまいがちです。
情報セキュリティに関する研修などは一見すると業務に直結しないため、業務が多忙だから実施しない・参加しないという状況になりがちです。しかし、情報漏洩が起きれば、その業務自体ができなくなってしまう可能性があります。
だからこそ、企業や業務環境を守りたいなら、時間を取られても費用がかかっても、情報セキュリティ教育を年に1回は行う必要があるのです。
5-2. 速やかな対応が可能な体制づくりを行う
もう一点、必ず準備しておくべきことが、万一情報漏洩してしまった際に速やかに適切な対応が取れる体制づくりです。具体的には、迅速な報告が可能なルート構築と周知徹底・対応マニュアルの作成をしておきましょう。
迅速で適切な対応ができれば、情報漏洩による損失を抑えることができるためです。逆に対応が遅れるほど個人情報の流出や損害賠償といった被害が大きくなる可能性があります。情報漏洩が起きた際の報告ルートを具体的に決めて周知徹底させておけば、情報漏洩させた従業員も迷うことなく対応ができるのでスムーズに報告ができるでしょう。
対策を取ったつもりでもちょっとした設定誤りなどで情報漏洩は発生します。もしもの時にも最小限の被害で復旧できるよう、報告ルートと対応マニュアルを用意しておきましょう。
6. まとめ
今回は、情報漏洩対策を行う上で知っておくべき過去の事例のポイントについて解説しました。
最後に、要点を再確認しておきましょう。
2022年の最新情報漏洩事例では、不正アクセスやサイバー攻撃などの不正な手段によるものが多い一方で、メールの誤送信・ハードディスクの紛失といった人為的ミスによっても発生していました。
また、人為的ミスによる情報漏洩の事例のポイントは、
・業務委託先企業によって情報漏洩が引き起こされてしまう危険性があること
・万一情報漏洩が起きてしまった場合は、適切な対応が非常に重要であること
・些細な管理ミスが大きな情報漏洩につながること
などでした。
不正アクセスによる情報漏洩の事例からは、
・外部からの攻撃には綿密に対策していても、対内的な対策は不十分になりがちであること
・対策ソフトやセキュリティ機能ばかりでなく、プログラムやシステムの既知の脆弱性にも注意を払っておかないと危険であること
などがわかりました。
今回ご紹介した事例を踏まえると、情報漏洩対策が特に必要な例とその対策は次のとおりです。
事例を踏まえると、情報漏洩対策を行うなら次の2点は必ず押さえる必要があります。
過去の事例から学ぶことで、効果的な情報漏洩対策を行うことが可能です。企業や業務環境を守るためにも、事例を参考に適切な対策を取っていきましょう。
