情報漏えいの事例 - 原因から対策を考える | 個人情報が危ない

情報漏えいとは

情報漏えいとは、内部で管理している情報が、外部に流出してしまう問題です。個人でも情報漏えいは問題となりますが、企業内で発生した情報漏えいは従業員や顧客の個人情報が外部に流出するため、信頼の失墜や賠償責任など利益損失を含め重大な損害が生じます。

情報漏えいの原因はインターネットを介したものが増えているものの、紙媒体を含むさまざまな要因がいまだに存在しています。

2019年の情報漏えいに関するニュース

悪意あるオブジェクトのユニーク数が増加

カスペルスキーによる、サイバー脅威をまとめたプレスリリースでは、2019年にカスペルスキー製品のWebアンチウイルスコンポーネントが検知したマルウェアは次のとおりだと発表しています。

出典／＜Kaspersky Security Bulletin：数字で振り返る2019年のサイバー脅威＞ Webアンチウイルスが検知したマルウェアの種類は13.7%増、要因はWebスキミング

スクリプトやエクスプロイトといった悪意あるオブジェクトのユニーク数は、2018年から比べて13.7%増加しています。特に増加したのが、オンラインストアやECサイトで不正なスクリプトにより情報を抜き取る「Webスキミング」です。

モバイルバンキングはトロイの木馬で狙われていた

カスペルスキーによる他のプレスリリースでは、カスペルスキーのモバイル向け製品にて観測したデータのうち、モバイルバンキングを狙ったトロイの木馬が過去18か月で最多だとしています。

図：検知したモバイルバンキング型トロイの木馬のインストールパッケージ数（2019年第1四半期～2020年第1四半期） - 出典／＜Kaspersky サイバー脅威レポート：2020年第1四半期＞モバイルバンキングを狙うトロイの木馬が過去18カ月で最多、最も検知の割合が高かったのは日本

モバイルバンキングに対応したトロイの木馬は、正規のアプリに偽装してインストールさせることでユーザーから認証情報を不正に入手します。2019年、このトロイの木馬を検知した割合がもっとも高いのは日本でした。カスペルスキーによると、SMSを使用したフィッシング詐欺が、COVID-19と関連したキーワードにて発生していたのも理由の一つとみなせるとのことです。

情報漏えいの原因と対策

少し前まで、企業で起こる情報漏えいの原因のほとんどは「管理ミス」「誤操作」「紛失・置忘れ」の3つのヒューマンエラーであると言われてきました。過失や不注意が情報漏えいにつながってしまいます。しかし近年不正アクセスによる情報漏えいによるケースが急速に増えています。

管理ミス

管理ミスは、情報管理の規則を守らずに情報が漏えいしたケースを示しています。従業員、管理者のミスももちろん考えられますが、規則自体の欠陥の可能性もあります。書類の誤廃棄もこれに含まれます。

対策

• 情報管理と廃棄の規則の見直し、徹底
• 保管期限の設定

誤操作

通信手段（FAX、電子メール）を使う中で、添付ファイルを間違える、宛先を間違えて送信してしまった場合の情報漏えいを指します。

対策

• 暗号化ソフトなど、誤送信対策のソフト・サービスを使う
• 添付ファイルの容量を制限する
• 自動送受信と個人情報を含むメールを禁止する

不正アクセス

不正アクセスとは、外部の者がサーバーや情報システムの内部へ侵入を行う行為です。インターネットに接続されている機器ならば、世界のどこからでも行われる可能性があります。

対策

• ソフトウェアの随時更新
• ファイアウォールをはじめ、防止システムの導入
• ソフトウェアのインストールを制限する

既存ソフトのアップデートならまだしも、新しくソフトをインストールする際には注意が必要です。

紛失・置忘れ

資料やPC、USBなどを外部に持ち出し、紛失・置忘れしてしまうケースも非常に多いです。組織内での規則作りはもちろんですが、個人が意識的に防止する意識を持つ必要があります。

対策

• デバイスやデータを外部に持ち出すときは厳しいルールを設ける
• PCやデータにロックをかける
• 持ち出すデータを暗号化する

情報持ち出し

情報持ち出しとは、内部の者が意図的に個人情報やデータを外部へ持ち出したり、公開したりするケースのことをいいます。

悪意を持つ者が企業内に存在するため、機密情報・個人情報にアクセスしやすく、情報を持ち出す手法もさまざまになるため、件数自体は少ないものの、企業に与えるダメージは非常に大きなものがあるといえるでしょう。

対策

• アクセス権限を限定する
• 記録デバイスの持ち出しを管理する
• 職場環境や社員の処遇を見直す

情報漏えい防止に向けた対策（組織・企業と個人）

ここまで主な要因と対策を見てきましたが、やっておくべきことをまとめておきます。

組織・企業がやるべきこと

情報漏えい防止の取り組みを行う

まずは組織や企業が主体となって情報漏えい防止の取り組みを行いましょう。管理に関して明確な規則を設け、徹底させることが重要です。従業員への教育も定期的に行うべきでしょう。

ぜい弱性対策の実施

Webサイトやソフトウェアのセキュリティは、必ずしも万全であるとは言えません。信頼性の高いソフトを選んでインストールすることはもちろん、会社側は、社員のソフトを管理、制限する必要があります。

守秘義務に関する誓約書等の作成

社会人としてモラルやルールを理解していることは当然のことですが、そうでない人がいるのも残念ながら事実です。守秘義務に関しては口頭の説明だけではなく、必ず文章を作成し、署名をさせるようにしましょう。

データの一元管理とアクセス制限

企業の機密情報が入ったPCなどは、外出先での置き忘れ・紛失によって簡単に情報漏えいの原因になってしまいます。そこで、データを一元管理する一方で、PCなどをデータレス端末化することにより、このような問題を防げます。また、より現実的な方法として、関係者個別にデータへのアクセスを制限することは必須といえるでしょう。

ネットワーク監視とシステムの進化

サイバー攻撃などの外部要因に対しては、企業内ネットワークをファイアウォールで守ることを前提に、ぜい弱性システムのチェック、不正アクセスへの24時間監視、定期的なセキュリティチェックを徹底し、日々新たな手法を駆使するハッカーに対抗するように、システムを進化させていく必要があります。

ぜい弱性診断ツールをお探しの方は、ぜひ次の記事を参考にしてください。

物理セキュリティの徹底と人為的ミスを補うシステム

ICカード・指紋認証などの導入、監視カメラの設置、私物PC持込み禁止、社内PC持出し禁止など、物理的なセキュリティを徹底させるほか、メール誤送信などの人為的ミスを補うためのシステム開発・導入が望まれます。

同時に、関係者がなぜ情報管理を徹底しなければならないか、個々の意識を共有させる必要があるでしょう。

情報漏えい発生時の対応手順を明確化

情報漏えいが起こってしまった後の対応を明確にしておく必要があります。情報漏えいが起こってしまった場合、対応が遅くなればなるほど、漏えいに伴う被害は拡大していきます。「情報漏えい発生時対応マニュアル」を作成し、社員に徹底しましょう。

個人がやるべきこと

メールやFAXの宛先を毎回確認する

単純なことですが、メールやFAXの宛先は毎回確認しましょう。誤操作による情報漏えいは全体の16％にもおよび、そのほとんどが送る宛先を間違えたパターンです。

公共の場（SNS）で機密情報を発信しない

こちらも単純なことではありますが、公共の場やSNS上で機密情報や個人情報を発信するのはやめましょう。特に近年はSNS上で何気なく発信したことが情報漏えいにつながったケースがあります。飲食店や電車内での会話や、携帯電話での通話の中で情報漏えいが起こったケースも少なくありません。同業者や悪意のある他者が近くにいないとも限らないので、気をつけましょう。

個人情報を含む文書はシュレッダーで破棄する

情報漏えいの媒体や経路は半分が紙媒体です。個人情報を含む文書はシュレッダーで必ず破棄しましょう。ゴミ箱にそのまま捨てるのはやめましょう。

セキュリティソフトの導入・更新をする

時代が進めば、コンピューターウイルスやハッキングプログラムも進化します。もちろん、セキュリティソフトも100％安全ではありませんが、リスクを格段に下げられるのは間違いありません。

機密情報を職場から持ち出さない

資料や文書など紙媒体を家や出張先に持ち出すことや、USBなどの記録媒体を社外に持ち出すことも当然リスクが伴います。信頼できるクラウドサービスに情報を保存しておいた方が安全でしょう。

信頼できないWebサイト上で個人情報を入力しない

SNSなどのサービスの普及で、フィッシングサイトと呼ばれる詐欺サイトによる被害が拡大してきています。信頼性の高い機関やサービスになりすましたメール、広告などによってIDやパスワードを入力させ、情報を抜き取るケースが多いです。

パスワードを定期的に変更する

個人情報を含むデバイスや、ファイル共有サービスのパスワードは定期的に変更しましょう。どれだけ複雑なパスワードを設定しても、時間をかければ解析されてしますのが現状です。定期的なパスワードの変更により、IDとパスワードが突破されるのを防げます。

情報漏えいしたときの影響・被害

次に情報漏えいが発生した場合、結果としてどのようなことが起こるかを紹介していきます。

組織・企業編

民事・刑事上の責任

過去の事件からわかるように、情報漏えいが起こったら被害者に対して損害賠償を行わなければなりません。額は規模や企業によって異なりますが、億を超える賠償も少なくありません。

企業ブランドの低下

情報漏えいが起こると企業に対する信頼性が低下するだけでなく、社員のモチベーションや待遇が低下する可能性もあります。その結果優秀な人材の流出というケースも想定されます。

個人編

Web上でさまざまな障害が発生する

どの情報が漏えいしたのかにもよりますが、メールアドレスが流出すれば迷惑メールやウイルスなどを含んだ悪意のあるメールが増えますし、使用しているサービスのIDとパスワードが流出すればそのサイトは自由に使われてしまいます。また、IDとパスワードがわかっていればパスワードの変更も容易で、本来の使用者がログインできなくなるケースもあります。

多額の請求をされる

悪質なケースとしてクレジットカードの番号が流出し、勝手にWeb上で物販などを利用されることがあります。もちろん、本人が購入したのではないことが証明できれば取り消しはできますが、普段からクレジットカードを使用していると、本人も気づかないケースもあります。明細を確認し、覚えがないものがないか、確認するようにしましょう。

詐欺に巻き込まれる可能性も

電話番号や住所、名前などの情報が漏えいすると詐欺に遭う可能性が高まります。最近は公的機関を騙る詐欺が多く、相手が情報を多く持っているとつい信用してしまうことが多いようです。

情報漏えいしたときの対処法

組織・企業編

組織・企業において情報漏えいが起こってしまった場合、ある程度のブランド低下は防げません。ただ、被害を少なくはできます。発生してしまった場合、どのように対処すればいいのかを紹介していきます。

被害拡大を防止する

最初にすべきことは被害の拡大を防ぐことです。漏えいした情報が犯罪などに使われないよう、漏えいしてしまった情報がどの程度の規模なのか、具体的にどの情報が漏えいしたのか、明確化しましょう。また、1度起こってしまった漏えいが、2度と起こらないように再発防止に努めましょう。

情報を一元化する

情報が錯綜すると、関係者が不安になりさらなるブランド低下につながります。対策委員会を設置し、外部に対する情報提供や報告を一元化、正しい情報の管理、把握をします。

情報は開示する

情報開示によって被害が拡大する場合を除き、外部に対して情報を開示することが重要です。透明性を失うとさらなるブランド低下につながります。

社員が一丸となって協力する

情報漏えいが起こると、さまざまな判断を瞬時に下さなければならず、精神的にも肉体的にも大きな負担がかかります。部署や役職の垣根を超えた協力が必要になります。

個人編

Web上のアカウント情報を確認する

情報漏えいに気づいたら、まずはWeb上のサービスのアカウントを確認し、必要に応じてパスワードを変更しましょう。また、設定などを変更されている可能性もあるので、サービスプロバイダに問い合わせてみるのも良いでしょう。

クレジットカード、銀行口座を確認する

情報漏えいが起こったことをカード会社と銀行に通知しましょう。カード会社や銀行は対応に慣れているはずですから、指示を仰ぎましょう。

知人・親族に連絡

漏えいした情報によっては知人や親族に連絡する必要があります。詐欺に巻き込まれる可能性を少しでも減少させるためです。

情報漏えいの事例

規模や影響は異なりますが、情報漏えいに関する事故は日々、世界中で発生しています。最近の事例として、システムのぜい弱性や人為的なミスが不正アクセスを招いた顧客情報流出の例を紹介します。

三菱UFJ証券

三菱UFJ証券では2009年に元社員による顧客情報の不正流出が判明しました。同社のシステム部長が、顧客の名前や住所、電話番号、勤務先名など49,159名のデータを入手し、名簿業者へと売却していました。

三菱UFJ証券は、問い合わせ窓口・専用ホームページで顧客の対応を行い、業者に対して警告文を送付、利用中止を要請するなどさまざまな施策を実施したのち、金融庁から金商法、個人情報保護法に基づいて業務改善命令・勧告を受けています。その後、三菱UFJ証券では原因を分析、改善施策を検討したうえで、業務改善報告書を金融庁に提出しています。

ベネッセコーポレーション

ベネッセコーポレーションでは2014年6月に顧客からの問い合わせにより、個人情報が漏えいしている可能性を指摘されました。指摘にもとづき緊急対策本部を設置し、社内調査を実施した結果、業務委託先の元社員による情報流出の可能性が高いとして概要を報告しています。

不正に取得されたデータには、保護者または子供の名前、性別、生年月日、続柄といった個人情報が含まれており、これら約3,504万件のデータが3件の名簿業者に売却されました。

ベネッセではこれを受けて「お客様本部」を設立し、警察と連携して被害の拡大に努めました。また、経済産業省からも個人情報保護法に基づく勧告を受けており、後に改善報告書を提出しています。

ヤフー

ヤフーでは2013年4月同社が運営するポータルサイト「Yahoo! JAPAN」への不正アクセスを検知、アカウントの再設定に必要な情報の一部を不正取得しようとしているプログラムを発見したため、直ちに強制停止、不正アクセスを遮断しました。ヤフーはこの結果を重く受け止め再発防止に取り組んでいましたが、2013年5月に再び不正アクセスを受け、今度は情報流出の可能性を認めています。

5月の不正アクセスに関する調査の結果、最大2,200万件のIDが抽出されている可能性を発見、パスワードやユーザーを特定するような個人情報は流出していないとのことです。ヤフーはこの事件を受けて、関連するアカウントの認証の再設定を社内で徹底、その他さまざまな対策を講じています。

ヤマト運輸

ヤマト運輸では同社が提供するクロネコメンバーズのWebサービスにおいて2019年7月に特定IPアドレスからの不正なログインを確認しました。クロネコIDやメールアドレス、住所、クレジットカード情報などの個人データ、3,467件の流出している可能性を発表しました。

これを受けてヤマト運輸では不正ログインがあったIDはパスワードを変更しなければ使用できないようにし、ユーザーに個別に情報流出があった可能性について案内しました。また、本件を厳粛に受け止め、再発防止に向けてさらにセキュリティの高度化を図っていくことを同社は表明しています。

ファーストリテイリング

ファーストリテイリングでは、2019年5月10日に同社が運営する「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」においてリスト型アカウントハッキングによる不正ログインを確認しました。

同攻撃は2019年4月23日から5月10日にかけて行われており、不正ログインされたアカウント数は2019年5月14日時点で、461,091件にのぼります。流出したと考えられるアカウントの中には氏名、住所、電話番号、メールアドレス、クレジットカード情報の一部が含まれていました。

これを受けてユニクロでは流出したアカウントのパスワードを無効化、パスワード再設定用のメールを個別に送り、警察庁にも同事件を通報しています。

日本年金機構

2015年6月1日、日本年金機構は約125万件の個人情報が不正アクセスによって流出したと考えられる報告を発表しました。漏れた情報の中には基礎年金番号や氏名など重要な個人情報が含まれています。

職員が偽造メールを開封したことでネットワークにウイルスが拡散、100通を超えるウイルス付きメールが職員に送られ27台のパソコンへ感染しました。

これを受けて、日本年金機構では流出した個人の基礎年金番号を変更し、新しい基礎年金番号を個人に通知しました。また、管轄する厚生労働省は謝罪をし、第三者からなる専門委員会「日本年金機構不正アクセス事案検証委員会」を厚生労働省内に立ち上げて原因究明、再発防止に努めています。

Equifax

米信用情報機関であるEquifaxは2017年5月13日から7月30日までの間、Webサイトに不正アクセスがあり、アメリカの顧客約1億4550万人分の個人情報が流出しました。

Equifaxが顧客向けに使用したWebサイトではApache Strutsというアプリケーションフレームワークを使用していました。しかし、セキュリティ機関US-CERTの修正勧告があったにもかかわらず、ぜい弱性が発見されなかったため放置し、情報漏えいにつながってしまいました。

問題のStrutsは7月30日に完全に停止されましたが、流出した個人情報にはクレジットカード番号も含まれ、影響を受けた人はアメリカで1億4,550万人の他、カナダでも8,000人といわれており、CEOの引責辞任にまで発展しました。

ブラザー販売

ブラザー販売は2017年10月2日にキャンペーン応募者への案内メールを誤送信し、顧客のメールアドレス985件が流出しました。通常、顧客へのメール一斉送信にはメール配信サービスが利用されますが、担当者が誤って手動で送信手続きを行ったため、メールを受信したユーザー間でメールアドレスをすべて閲覧できる状態になっていました。

ブラザー販売では、翌日の10月3日に該当者へメールで謝罪を行い、該当メールの削除を依頼しましたが、あらためて電話や書面での連絡を行うなど、影響が出ています。

情報漏えい対策は万全に！

りそな銀行で働く派遣職員の子供が、店舗に訪れた芸能人の個人情報をツイッターで漏えいしたとして、りそなホールディングスが謝罪しました。この際、守るべき個人情報を家族に話した派遣社員は、不法行為に基づく損害賠償責任を負うことになります。

また日本郵政がメールサービスの登録者に、登録者の情報を一覧にしたファイルをメールで誤送信してしまいました。メール関係のトラブルは多く、他にも、一斉送信の宛先をCCに入れてしまってメールアドレスが流出…というトラブルも多く起きています。

このような状態を防ぐために、情報漏えい対策は会社と社員が一丸になって取り組む必要があります。セキュリティソフトを導入するのもいいですが、それ以上に情報漏えいを防ぐ意識を全員が共有しましょう。また、どれだけ万全な対策をしていても、情報漏えいを100％防ぐことは不可能です。漏えいが起こったときの対処法も確立、共有しておきましょう。

情報が漏えいする原因のひとつ、標的型攻撃については次の記事で紹介しています。詳しくはこちらも合わせてチェックするとよいでしょう。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}