• DIGITALIST
  • Workstyle
  • 個人情報漏えいの原因とは? 被害事例や対策を解説
Pocket HatenaBlog facebook Twitter Close
IT・情報システム 公開日: 2021.07.20

個人情報漏えいの原因とは? 被害事例や対策を解説

お気に入り

 昨今、個人情報漏えいの事故から信頼を落とす企業は後を絶たない。人ごとのように捉えている企業も多いが、個人情報が漏えいした場合のダメージは非常に大きいものといえるだろう。本記事では個人情報漏えいの原因や対策について、被害事例を交えながら解説する。

【画像】Shutterstock

目次

個人情報漏えいとは?

 そもそも“個人情報”とは、個人を特定できるような情報のことを指す。定義は個人情報保護法によって、下記のように定められている。(一部抜粋)

・当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
・個人識別符号が含まれるもの

また、“個人識別符号”については下記のように定められている。(一部抜粋)
「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
 上記の情報から要約すると、個人情報に当たるのは、生存する個人に関する情報であって、特定の個人を識別できる情報である。次の二つのどちらかに該当するものだといえるだろう。
・当該情報に含まれる氏名、生年月日その他の記述など(他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む)
・マイナンバーカードや運転免許証などの個人識別符号が含まれるもの

 具体的には、下記のようなものが個人情報に該当するため覚えておこう。
  • 名前
  • 生年月日
  • 血液型
  • 性別
  • 住所
  • 電話番号
  • 職業
  • 収入
  • クレジットカード番号
  • 暗証番号
  • 金融機関情報
  • 年金番号
  • 生体情報
  • マイナンバーカード
  • パスポート
  • 運転免許証 など
 例えば氏名には名字と名前があるが、名字だけが漏えいした場合、あまりにも珍しい名字ではない限り個人を特定することは難しい。しかし名字と一緒に職業や電話番号などの情報が漏れた場合には、個人を特定されてしまう可能性が生じる。

 このように単体では個人情報に当たらない情報でも、「組み合わせると個人を特定できてしまう情報」は個人情報に該当する。

個人情報漏えいの被害事例

【画像】shutterstock
 企業が大量の個人情報を漏えいしてしまうと、クライアントや顧客は多大な被害を受ける可能性がある。例えば住所や名前、電話番号などが流出した際に悪用されるケースも考えられるだろう。クレジットカード番号が漏えいすれば、勝手にクレジットカードを使用されてしまう場合もある。

 また企業にとっても、会社としての信用が失墜したり、被害者に多額の損害賠償を支払う必要があったりとさまざまなリスクがあるのだ。さらに個人情報の流出が発生してしまった場合、その後の対策ができていなければ、企業としての責任能力を問われる。最悪の場合、企業経営の存続にも関わってくるだろう。

 ここで実際にあった個人情報漏えいの被害事例を五つ紹介する。下記のようにさまざまな業界で個人情報が流出する事例が発生しているため、「自分の会社は大丈夫だろう」と思い込まずに対策しておくことが重要だ。
事例 漏えい原因 被害内容
大和リビング
(2013年6月22日)
車上荒らしに遭い、個人情報を
紛失
96名分の氏名・住所・電話
番号などが記載されたお客
様リストおよび関係書類を
紛失

鳥取県婚活サポーター
「陶杏(とうあん)」
(2014年4月6日)
イベント参加者に一斉送信する
メールにて、担当者ではない別の
婚活サポーターの宛先を記載し、
イベント申込者が間違った婚活
サポーターに個人情報を送信
イベント申込者の氏名や
住所、年齢、連絡先などが
10数件流出
ワイモバイル
(2014年8月2 日)
社員による、個人情報が含まれ
た業務用パソコンの紛失
旧イー・モバイルが提供して
いた「つながるモバイル」の
利用者1321名分の氏名・
生年月日・住所・メール
アドレスなどが流出
任天堂株式会社
(2020年4月上旬)
システムへの不正アクセス 約16万件ものニンテンドー
ネットワークIDが不正アクセ
スされ、IDに登録してある
ニックネーム・生年月日・
メールアドレスなどが第三者
に閲覧された可能性がある
独立行政法人 
国際協力機構
(2020年4月下旬)
開発・運用している「ABE
イニシアティブポータルサイト」
への外部からの不正アクセス
1984名のメールアドレスと
ログイン用パスワードが流出

個人情報漏えいの主な原因

画像:Shutterstock
 次に個人情報漏えいの主な原因を深掘りしていく。どのような原因で個人情報が漏れてしまうのかを知っておけば、事前にその対策を立てておけるためぜひ覚えておいてほしい。

原因①不正アクセスやマルウェアなどの外部攻撃

 一つ目の原因は、不正アクセスやマルウェアなどの外部からの攻撃である。実際にあった過去の事例でも紹介した通り、本来アクセス権限のない者が、サーバーや情報システムの内部にアクセスしたことにより個人情報が漏えいしたケースも珍しくない。インターネットは世界中でつながっているため、あらゆる場所から不正アクセスが可能だ。

 またマルウェアに感染させられて個人情報を漏えいする場合もあるだろう。マルウェアとは、不正かつ有害な動作を行う意図で作られている悪質なコードやソフトウエアの総称だ。具体的にはウイルスやスパイウェアなどが含まれる。

 メール受信者に関係するような件名をつけて油断させたり、実際に存在する人物の名前を差出人として名乗ったりと、近年では巧妙化したマルウェアの標的型攻撃メールも発生している。

原因②フィッシング詐欺による悪質な手口

 フィッシング詐欺の被害に遭った場合でも、個人情報が流出してしまう。フィッシングとはECサイトや金融機関などを装ったメールを送信し、偽のメールだと気付かずにログインした受信者から個人情報を盗み取る手口だ。

 フィッシング対策協議会の報告によれば、フィッシング詐欺の被害件数は増加傾向にあることがわかる。また、フィッシングURLやフィッシング詐欺に使われるブランドについても、増えているのが見られる。
 フィッシング詐欺については個人を対象にしたイメージを持たれやすいものの、企業の社員を狙って会社内部の情報を引き出そうとするケースもある。2021年5月に、日東電工株式会社の連結子会社である株式会社ニトムズは、社員が携帯していた社用スマートフォンから情報流出が発生した可能性を報告している。本件は外部の業者を装ったメールを受信し、アカウント情報を入力した後不正アクセスが行われたことが発覚した。
 フィッシング詐欺の悪質な手口も年々巧妙化しているため、被害者は被害に遭ったことすら気付かないケースも珍しくない。

原因③社員による人的ミス

 三つ目の原因は社員による人的ミスだ。ここ数年でテレワークが増加し、自宅で仕事をする人も増えた。そのため仕事に必要な個人情報が記載された書類や、個人情報が含まれているパソコンを会社から持ち出す機会も増えているだろう。こうして持ち出したものを紛失したり置き忘れたりしてしまうと個人情報漏えいにつながる。

 またメールやFAXの誤送信や操作ミスなどが原因で、個人情報が外部に漏れてしまうケースも多い。例えば本来はBCCに入れなければならない全員分のメールアドレスを、間違ってToやCCに入れてしまうような操作ミスだ。全員がお互いのメールアドレスを閲覧できる状態となり、流出したメールアドレスを悪用されてしまう場合もある。

 ミスは誰でも起こす可能性があるため、個人情報を漏えいしないための対策と、漏えいしてしまった後の対策をしっかりと立てておくことが重要だ。

個人情報漏えいを防ぐ四つの対策

画像:Shutterstock
 ここからは個人情報漏えいを防ぐために企業が取るべき対策を紹介する。個人情報が流出しそうになりヒヤリ・ハットした経験のある企業や、個人情報漏えいの対策をこれから行う企業はぜひ参考にしてほしい。

対策①社員に対して個人情報流出に関する教育や研修を行う

 まずは社員に対して個人情報とは何か、情報が流出してしまうとどのようなリスクがあるのかなどを理解させるために教育や研修を行おう。

 個人情報が漏えいしてしまった場合、被害者に対して多大な迷惑をかけるだけではなく、会社の存続も危ぶまれるかもしれない。こうしたリスクを社員全員が十分に理解することで、企業として、個人情報を適切に取り扱うことが可能となる。

対策②情報の取り扱いを社内でルール化しておく

 個人情報の取り扱いについて、社内でルール化しておくことも効果的だ。具体的には、個人情報などを社外に持ち出す場合の手続きや、作業後のデータ消去の範囲などを細かく決める。

 こうした個人情報の取り扱いをマニュアル化しておくと、業務を標準化できてオペレーションミスを軽減させられるだろう。

対策③社内の管理体制を厳格化 する

 重要な情報にアクセスできる人を限定したり、個人情報の管理者を最小限にとどめたりと、社内の管理体制を厳格化しておくのも一つの手段である。個人情報を取り扱う人が少なければ、それだけリスクも軽減するだろう。

 また退職した社員のアクセス権限やIDは、速やかに消去するなどの対策が必要だ。元社員が悪用しなくても、外部からの不正アクセスによってアクセス権限を奪われてしまう可能性もある。少しでも個人情報漏えいにつながるリスクを避ける姿勢をとっておくことが重要である。

対策④ウェブサイトやセキュリティーソフトの脆弱性対策を実施する

 ウェブサイトやセキュリティーソフトの脆弱性改善も、個人情報漏えいの対策として重要である。

 例えばウェブサイトのプログラムが一般公開されているような、オープンソースのCMSを使用している企業も少なくない。しかしオープンソースのCMSに設計上のミスや不具合があった場合、それによって生じたセキュリティーホール(セキュリティー上の欠陥)にマルウェアを埋め込まれてしまう危険性もある。

 こうした事態を防ぐためにはパソコン・スマートフォンのOSやセキュリティーソフトを更新したり、安全度の高いシステムへ切り替えたりといった脆弱性の改善が求められる。

個人情報漏えいの対策を実行し、リスクを回避しよう

 昨今では、テレワークの導入によって、自宅から社内の情報へアクセスすることも多く、より強固なセキュリティー対策を行う企業も増えている。下記の記事では、テレワークでも活用できるセキュリティーと利便性を両立させたITツールを紹介しているため、ぜひ参考にしてほしい。
 個人情報が流出してしまえば被害者に迷惑をかけるほか、企業は社会的信用を失い存続の危機に陥る場合もあるだろう。そのため個人情報の取り扱いについて社員教育を実施したり、セキュリティーソフトを強化したりする対策を早めに実施しておこう。

関連記事

DIGITALIST会員が
できること

  • 会員限定記事が全て読める
  • 厳選情報をメルマガで確認
  • 同業他社のニュースを閲覧
    ※本機能は、一部ご利用いただけない会員様がいます。