情報漏えいの事例 - 原因から対策を考える | 個人情報が危ない

情報漏えいとは

情報漏えいとは、組織内部で管理されている情報が外部に流出することを指します。個人でも情報漏えいは問題となりますが、企業内で発生した情報漏えいは従業員や顧客の個人情報が外部に流出するため、信頼の失墜や賠償責任など利益損失を含め重大な損害が生じます。

情報漏えいの原因はインターネット経由のものが増加していますが、紙媒体を含むさまざまな要因も依然として存在しています。

2019年の情報漏えいに関するニュース

悪意あるオブジェクトのユニーク数が増加

カスペルスキーによる、サイバー脅威をまとめたプレスリリースでは、スクリプトやエクスプロイトといった悪意あるオブジェクトのユニーク数は、2018年から比べて13.7%増加しています。特に増加したのが、オンラインストアやECサイトで不正なスクリプトにより情報を抜き取る「Webスキミング」です。

※出典：カスペルスキー「Kaspersky Security Bulletin：数字で振り返る2019年のサイバー脅威」（2025年8月25日閲覧）

モバイルバンキングはトロイの木馬で狙われていた

カスペルスキーによる他のプレスリリースでは、カスペルスキーのモバイル向け製品にて観測したデータのうち、モバイルバンキングを狙ったトロイの木馬が過去18か月で最多だとしています。

モバイルバンキングに対応したトロイの木馬は、正規のアプリに偽装してインストールさせることでユーザーから認証情報を不正に入手します。2019年、このトロイの木馬を検知した割合がもっとも高いのは日本でした。カスペルスキーによると、SMSを使用したフィッシング詐欺が、COVID-19と関連したキーワードにて発生していたのも理由の一つとみなせるとのことです。

※出典：カスペルスキー「Kaspersky サイバー脅威レポート：2020年第1四半期」（2025年8月25日閲覧）

情報漏えいの原因と対策

少し前まで、企業で起こる情報漏えいの原因のほとんどは「管理ミス」「誤操作」「紛失・置忘れ」の3つのヒューマンエラーであると言われてきました。過失や不注意が情報漏えいにつながっていましたが、近年は不正アクセスによる情報漏えいが急増しています。

管理ミス

管理ミスは、情報管理の規則を守らずに情報が漏えいしたケースを示しています。従業員、管理者のミスももちろん考えられますが、規則自体の欠陥の可能性もあります。書類の誤廃棄もこれに含まれます。

対策

• 情報管理と廃棄の規則の見直し、徹底
• 保管期限の設定

誤操作

通信手段（FAXや電子メール）を利用する際、添付ファイルや宛先を間違えて送信してしまうことによる情報漏えいを指します。

対策

• 暗号化ソフトなど、誤送信対策のソフト・サービスを使う
• 添付ファイルの容量を制限する
• 自動送受信や個人情報を含むメールの送信を禁止する

不正アクセス

不正アクセスとは、外部の者がサーバーや情報システムの内部に侵入する行為です。インターネットに接続されている機器であれば、世界中どこからでも被害に遭う可能性があります。

対策

• ソフトウェアの随時更新
• ファイアウォールをはじめ、防止システムの導入
• ソフトウェアのインストールを制限する

既存ソフトのアップデートは問題ありませんが、新しいソフトをインストールする際には特に注意が必要です。

紛失・置忘れ

資料やPC、USBなどを外部に持ち出して紛失・置き忘れるケースも非常に多く見られます。組織内で規則を整備することはもちろん、個人も高い意識で防止に努める必要があります。

対策

• デバイスやデータを外部に持ち出すときは厳しいルールを設ける
• PCやデータにロックをかける
• 持ち出すデータを暗号化する

情報持ち出し

情報持ち出しとは、内部の者が意図的に個人情報やデータを外部へ持ち出したり、公開したりするケースのことをいいます。

悪意を持つ者が企業内に存在すると、機密情報や個人情報へのアクセスが容易になり、情報の持ち出し方法も多様化します。そのため、件数自体は多くありませんが、企業へのダメージは非常に大きいと言えるでしょう。

対策

• アクセス権限を限定する
• 記録デバイスの持ち出しを管理する
• 職場環境や社員の処遇を見直す

情報漏えい防止に向けた対策（組織・企業と個人）

ここまで主な要因と対策を解説してきましたが、あらためて実施すべき事項をまとめます。

組織・企業がやるべきこと

情報漏えい防止の取り組みを行う

まずは組織や企業が主体となって情報漏えい防止の取り組みを行いましょう。管理に関して明確な規則を設け、徹底させることが重要です。従業員への教育も定期的に行うべきでしょう。

ぜい弱性対策の実施

Webサイトやソフトウェアのセキュリティは、必ずしも万全であるとは言えません。信頼性の高いソフトを選んでインストールすることはもちろん、会社は、社員がインストールするソフトウェアを管理・制限する必要があります。

守秘義務に関する誓約書などの作成

社会人としてモラルやルールを理解していることは当然のことですが、そうでない人がいるのも残念ながら事実です。守秘義務に関しては口頭の説明だけではなく、必ず文章を作成し、署名をさせるようにしましょう。

データの一元管理とアクセス制限

企業の機密情報が保存されているPCなどは、外出先での置き忘れや紛失が原因で簡単に情報漏えいにつながるおそれがあります。そこで、データを一元管理するとともに、PCなどをデータレス端末化することで、こうした問題を防げます。また、より現実的な方法として、関係者個別にデータへのアクセスを制限することは必須といえるでしょう。

ネットワーク監視とシステムの進化

サイバー攻撃などの外部要因に備えるには、企業内ネットワークをファイアウォールで保護した上で、ぜい弱性のあるシステムの点検、不正アクセスに対する24時間監視、定期的なセキュリティチェックを徹底し、日々進化するハッカーの手法に対応できるよう、システムの強化・進化が求められます。

ぜい弱性診断ツールをお探しの方は、ぜひ次の記事を参考にしてください。

物理セキュリティの徹底と人為的ミスを補うシステム

ICカードや指紋認証の導入、監視カメラの設置、私物PCの持ち込みや社内PCの持ち出しの禁止など、物理的なセキュリティを徹底することに加え、メール誤送信などの人為的ミスを防ぐためのシステムの開発・導入も推奨されます。

同時に、なぜ情報管理を徹底する必要があるのか、その目的や重要性について関係者間で意識を共有することが大切です。

情報漏えい発生時の対応手順を明確化

情報漏えいが起こってしまった後の対応を明確にしておく必要があります。情報漏えいが起こってしまった場合、対応が遅くなればなるほど、漏えいに伴う被害は拡大していきます。「情報漏えい発生時対応マニュアル」を作成し、従業員に周知・徹底させましょう。

個人がやるべきこと

メールやFAXの宛先を毎回確認する

単純なことですが、メールやFAXの宛先は毎回確認しましょう。誤操作による情報漏えいは全体の16％を占めており、その多くは宛先を間違えたことによるものです。

公共の場（SNS）で機密情報を発信しない

これも基本的なことですが、公共の場やSNS上で機密情報や個人情報を発信するのは控えましょう。特に近年はSNS上で何気なく発信したことが情報漏えいにつながったケースがあります。飲食店や電車内での会話や、携帯電話での通話の中で情報漏えいが起こったケースも少なくありません。同業者や悪意のある他者が近くにいないとも限らないので、気をつけましょう。

個人情報を含む文書はシュレッダーで破棄する

情報漏えいの媒体や経路は半分が紙媒体です。個人情報を含む文書はシュレッダーで必ず破棄しましょう。ゴミ箱にそのまま捨てるのはやめましょう。

セキュリティソフトの導入・更新をする

時代が進めば、コンピューターウイルスやハッキングプログラムも進化します。もちろん、セキュリティソフトも100％安全ではありませんが、リスクを格段に下げられるのは間違いありません。

機密情報を職場から持ち出さない

資料や文書など紙媒体を家や出張先に持ち出すことや、USBなどの記録媒体を社外に持ち出すことも当然リスクが伴います。信頼できるクラウドサービスに情報を保存しておいた方が安全でしょう。

信頼できないWebサイト上で個人情報を入力しない

SNSなどのサービスの普及で、フィッシングサイトと呼ばれる詐欺サイトによる被害が拡大してきています。信頼性の高い機関やサービスになりすましたメール、広告などによってIDやパスワードを入力させ、情報を抜き取るケースが多いです。

パスワードを定期的に変更する

個人情報を含むデバイスや、ファイル共有サービスのパスワードは定期的に変更しましょう。どれほど複雑なパスワードを設定しても、時間をかけて解析されてしまうのが現状です。定期的にパスワードを変更することで、IDとパスワードが突破されるリスクを低減できます。

情報漏えいしたときの影響・被害

次に情報漏えいが発生した場合、結果としてどのようなことが起こるかを紹介していきます。

組織・企業編

民事・刑事上の責任

過去の事件からわかるように、情報漏えいが起こったら被害者に対して損害賠償を行わなければなりません。額は規模や企業によって異なりますが、億を超える賠償も少なくありません。

企業ブランドの低下

情報漏えいが起こると企業に対する信頼性が低下するだけでなく、社員のモチベーションや待遇が低下する可能性もあります。その結果、優秀な人材が流出する可能性もあります。

個人編

Web上でさまざまな障害が発生する

どの情報が漏えいしたのかにもよりますが、メールアドレスが流出すれば迷惑メールやウイルスなどを含んだ悪意のあるメールが増えますし、使用しているサービスのIDとパスワードが流出すればそのサイトは自由に使われてしまいます。また、IDとパスワードが知られてしまうと、パスワードの変更も簡単に行われてしまい、本来の利用者がログインできなくなる場合もあります。

多額の請求をされる

悪質なケースとしてクレジットカードの番号が流出し、勝手にWeb上で物販などを利用されることがあります。もちろん、本人が購入したのではないことが証明できれば取り消しはできますが、普段からクレジットカードを使用していると、本人も気づかないケースもあります。明細を確認し、覚えがないものがないか、確認するようにしましょう。

詐欺に巻き込まれる可能性も

電話番号や住所、名前などの情報が漏えいすると詐欺に遭う可能性が高まります。最近は公的機関を騙る詐欺が多く、相手が情報を多く持っているとつい信用してしまうことが多いようです。

情報漏えいしたときの対処法

組織・企業編

組織や企業で情報漏えいが発生した場合、一定程度のブランド価値の低下は避けられませんが、被害を最小限に抑えることは可能です。いざ発生した際には、どのように対処すべきかについて解説します。

被害拡大を防止する

最初にすべきことは被害の拡大を防ぐことです。漏えいした情報が犯罪などに使われないよう、漏えいしてしまった情報がどの程度の規模なのか、具体的にどの情報が漏えいしたのか、明確化しましょう。また、1度起こってしまった漏えいが、2度と起こらないように再発防止に努めましょう。

情報を一元化する

情報が錯綜すると、関係者が不安になりさらなるブランド低下につながります。対策委員会を設置し、外部に対する情報提供や報告を一元化、正しい情報の管理、把握をします。

情報は開示する

情報開示によって被害が拡大する場合を除き、外部に対して情報を開示することが重要です。透明性を失うとさらなるブランド低下につながります。

社員が一丸となって協力する

情報漏えいが起こると、さまざまな判断を瞬時に下さなければならず、精神的にも肉体的にも大きな負担がかかります。部署や役職の垣根を超えた協力が必要になります。

個人編

Web上のアカウント情報を確認する

情報漏えいに気づいたら、まずはWeb上のサービスのアカウントを確認し、必要に応じてパスワードを変更しましょう。また、設定などを変更されている可能性もあるので、サービスプロバイダに問い合わせてみるのも良いでしょう。

クレジットカード、銀行口座を確認する

情報漏えいが起こったことをカード会社と銀行に通知しましょう。カード会社や銀行は対応に慣れているはずなので、指示を仰ぎましょう。

知人・親族に連絡

漏えいした情報によっては知人や親族に連絡する必要があります。詐欺に巻き込まれる可能性を少しでも減少させるためです。

情報漏えいの事例

規模や影響は異なりますが、情報漏えいに関する事故は日々、世界中で発生しています。最近の事例として、システムのぜい弱性や人為的なミスが不正アクセスを招いた顧客情報流出の例を紹介します。

三菱UFJ証券

三菱UFJ証券では2009年に元社員による顧客情報の不正流出が判明しました。同社のシステム部長が、顧客の名前や住所、電話番号、勤務先名など49,159名のデータを入手し、名簿業者へと売却していました。

三菱UFJ証券は、問い合わせ窓口・専用ホームページで顧客の対応を行い、業者に対して警告文を送付、利用中止を要請するなどさまざまな施策を実施したのち、金融庁から金商法、個人情報保護法に基づいて業務改善命令・勧告を受けています。その後、三菱UFJ証券では原因を分析、改善施策を検討したうえで、業務改善報告書を金融庁に提出しています。

ベネッセコーポレーション

ベネッセコーポレーションでは2014年6月に顧客からの問い合わせにより、個人情報が漏えいしている可能性を指摘されました。指摘にもとづき緊急対策本部を設置し、社内調査を実施した結果、業務委託先の元社員による情報流出の可能性が高いとして概要を報告しています。

不正に取得されたデータには、保護者または子供の名前、性別、生年月日、続柄といった個人情報が含まれており、これら約3,504万件のデータが3件の名簿業者に売却されました。

ベネッセではこれを受けて「お客様本部」を設立し、警察と連携して被害の拡大に努めました。また、経済産業省からも個人情報保護法に基づく勧告を受けており、後に改善報告書を提出しています。

ヤフー

ヤフーでは2013年4月同社が運営するポータルサイト「Yahoo! JAPAN」への不正アクセスを検知、アカウントの再設定に必要な情報の一部を不正取得しようとしているプログラムを発見したため、直ちに強制停止、不正アクセスを遮断しました。ヤフーはこの結果を重く受け止め再発防止に取り組んでいましたが、2013年5月に再び不正アクセスを受け、今度は情報流出の可能性を認めています。

5月の不正アクセスに関する調査の結果、最大2,200万件のIDが抽出されている可能性を発見、パスワードやユーザーを特定できるような個人情報は流出していないとのことです。ヤフーはこの事件を受けて、関連するアカウントの認証の再設定を社内で徹底、その他さまざまな対策を講じています。

ヤマト運輸

ヤマト運輸では同社が提供するクロネコメンバーズのWebサービスにおいて2019年7月に特定IPアドレスからの不正なログインを確認しました。クロネコIDやメールアドレス、住所、クレジットカード情報などの個人データ、3,467件の流出している可能性を発表しました。

これを受けてヤマト運輸では不正ログインがあったIDについては、パスワードを変更しない限り使用できないようにし、ユーザーに個別に情報流出があった可能性について案内しました。また、本件を厳粛に受け止め、再発防止に向けてさらにセキュリティの高度化を図っていくことを同社は表明しています。

ファーストリテイリング

ファーストリテイリングでは、2019年5月10日に同社が運営する「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」においてリスト型アカウントハッキングによる不正ログインを確認しました。

同攻撃は2019年4月23日から5月10日にかけて行われており、不正ログインされたアカウント数は2019年5月14日時点で、461,091件にのぼります。流出したと考えられるアカウントの中には氏名、住所、電話番号、メールアドレス、クレジットカード情報の一部が含まれていました。

これを受けてユニクロでは流出したアカウントのパスワードを無効化、パスワード再設定用のメールを個別に送り、警察庁にも同事件を通報しています。

日本年金機構

2015年6月1日、日本年金機構は約125万件の個人情報が不正アクセスによって流出したと考えられる報告を発表しました。漏れた情報の中には基礎年金番号や氏名など重要な個人情報が含まれています。

職員が偽造メールを開封したことでネットワークにウイルスが拡散、100通を超えるウイルス付きメールが職員に送られ27台のパソコンへ感染しました。

これを受けて、日本年金機構では流出した個人の基礎年金番号を変更し、新しい基礎年金番号を個人に通知しました。また、管轄する厚生労働省は謝罪をし、第三者からなる専門委員会「日本年金機構不正アクセス事案検証委員会」を厚生労働省内に立ち上げて原因究明、再発防止に努めています。

Equifax

米信用情報機関のEquifaxは、2017年5月13日から7月30日の間にWebサイトへの不正アクセスを受け、アメリカの顧客約1億4,550万人分の個人情報が流出したと発表しました。

Equifaxが顧客向けに使用したWebサイトではApache Strutsというアプリケーションフレームワークを使用していました。しかし、セキュリティ機関US-CERTの修正勧告があったにもかかわらず、ぜい弱性が発見されなかったため放置し、情報漏えいにつながってしまいました。

問題のStrutsは7月30日に完全に停止されましたが、流出した個人情報にはクレジットカード番号も含まれ、影響を受けた人はアメリカで1億4,550万人の他、カナダでも8,000人といわれており、CEOの引責辞任にまで発展しました。

ブラザー販売

ブラザー販売は2017年10月2日にキャンペーン応募者への案内メールを誤送信し、顧客のメールアドレス985件が流出しました。通常、顧客へのメール一斉送信にはメール配信サービスが利用されますが、担当者が誤って手動で送信手続きを行ったため、メールを受信したユーザー間でメールアドレスをすべて閲覧できる状態になっていました。

ブラザー販売では、翌日の10月3日に該当者へメールで謝罪を行い、該当メールの削除を依頼しましたが、あらためて電話や書面での連絡を行うなど、影響が及んでいます。

情報漏えい対策は万全に！

りそな銀行で働く派遣職員の子供が、店舗に訪れた芸能人の個人情報をツイッターで漏えいしたとして、りそなホールディングスが謝罪しました。この際、守るべき個人情報を家族に話した派遣社員は、不法行為に基づく損害賠償責任を負うことになります。

また日本郵政がメールサービスの登録者に、登録者の情報を一覧にしたファイルをメールで誤送信してしまいました。メール関係のトラブルは多く、他にも、一斉送信の宛先をCCに入れてしまってメールアドレスが流出…というトラブルも多く起きています。

このような状態を防ぐために、情報漏えい対策は会社と社員が一丸になって取り組む必要があります。セキュリティソフトを導入するのもいいですが、それ以上に情報漏えいを防ぐ意識を全員が共有しましょう。また、どれだけ万全な対策をしていても、情報漏えいを100％防ぐことは不可能です。漏えいが起こったときの対処法も確立、共有しておきましょう。

情報が漏えいする原因のひとつ、標的型攻撃については次の記事で紹介しています。詳しくはこちらも合わせてチェックするとよいでしょう。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}