個人情報漏えいの原因とは？　被害事例や対策を解説

　そもそも“個人情報”とは、個人を特定できるような情報のことを指す。定義は個人情報保護法によって、下記のように定められている。（一部抜粋）

・当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
・個人識別符号が含まれるもの

また、“個人識別符号”については下記のように定められている。（一部抜粋）
「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一　特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二　個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

　上記の情報から要約すると、個人情報に当たるのは、生存する個人に関する情報であって、特定の個人を識別できる情報である。次の二つのどちらかに該当するものだといえるだろう。
・当該情報に含まれる氏名、生年月日その他の記述など（他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む）
・マイナンバーカードや運転免許証などの個人識別符号が含まれるもの

　具体的には、下記のようなものが個人情報に該当するため覚えておこう。

　例えば氏名には名字と名前があるが、名字だけが漏えいした場合、あまりにも珍しい名字ではない限り個人を特定することは難しい。しかし名字と一緒に職業や電話番号などの情報が漏れた場合には、個人を特定されてしまう可能性が生じる。

　このように単体では個人情報に当たらない情報でも、「組み合わせると個人を特定できてしまう情報」は個人情報に該当する。

　企業が大量の個人情報を漏えいしてしまうと、クライアントや顧客は多大な被害を受ける可能性がある。例えば住所や名前、電話番号などが流出した際に悪用されるケースも考えられるだろう。クレジットカード番号が漏えいすれば、勝手にクレジットカードを使用されてしまう場合もある。

　また企業にとっても、会社としての信用が失墜したり、被害者に多額の損害賠償を支払う必要があったりとさまざまなリスクがあるのだ。さらに個人情報の流出が発生してしまった場合、その後の対策ができていなければ、企業としての責任能力を問われる。最悪の場合、企業経営の存続にも関わってくるだろう。

　ここで実際にあった個人情報漏えいの被害事例を五つ紹介する。下記のようにさまざまな業界で個人情報が流出する事例が発生しているため、「自分の会社は大丈夫だろう」と思い込まずに対策しておくことが重要だ。

　次に個人情報漏えいの主な原因を深掘りしていく。どのような原因で個人情報が漏れてしまうのかを知っておけば、事前にその対策を立てておけるためぜひ覚えておいてほしい。

　一つ目の原因は、不正アクセスやマルウェアなどの外部からの攻撃である。実際にあった過去の事例でも紹介した通り、本来アクセス権限のない者が、サーバーや情報システムの内部にアクセスしたことにより個人情報が漏えいしたケースも珍しくない。インターネットは世界中でつながっているため、あらゆる場所から不正アクセスが可能だ。

　またマルウェアに感染させられて個人情報を漏えいする場合もあるだろう。マルウェアとは、不正かつ有害な動作を行う意図で作られている悪質なコードやソフトウエアの総称だ。具体的にはウイルスやスパイウェアなどが含まれる。

　メール受信者に関係するような件名をつけて油断させたり、実際に存在する人物の名前を差出人として名乗ったりと、近年では巧妙化したマルウェアの標的型攻撃メールも発生している。

　フィッシング詐欺の被害に遭った場合でも、個人情報が流出してしまう。フィッシングとはECサイトや金融機関などを装ったメールを送信し、偽のメールだと気付かずにログインした受信者から個人情報を盗み取る手口だ。

　フィッシング対策協議会の報告によれば、フィッシング詐欺の被害件数は増加傾向にあることがわかる。また、フィッシングURLやフィッシング詐欺に使われるブランドについても、増えているのが見られる。

　フィッシング詐欺については個人を対象にしたイメージを持たれやすいものの、企業の社員を狙って会社内部の情報を引き出そうとするケースもある。2021年5月に、日東電工株式会社の連結子会社である株式会社ニトムズは、社員が携帯していた社用スマートフォンから情報流出が発生した可能性を報告している。本件は外部の業者を装ったメールを受信し、アカウント情報を入力した後不正アクセスが行われたことが発覚した。

　フィッシング詐欺の悪質な手口も年々巧妙化しているため、被害者は被害に遭ったことすら気付かないケースも珍しくない。

　三つ目の原因は社員による人的ミスだ。ここ数年でテレワークが増加し、自宅で仕事をする人も増えた。そのため仕事に必要な個人情報が記載された書類や、個人情報が含まれているパソコンを会社から持ち出す機会も増えているだろう。こうして持ち出したものを紛失したり置き忘れたりしてしまうと個人情報漏えいにつながる。

　またメールやFAXの誤送信や操作ミスなどが原因で、個人情報が外部に漏れてしまうケースも多い。例えば本来はBCCに入れなければならない全員分のメールアドレスを、間違ってToやCCに入れてしまうような操作ミスだ。全員がお互いのメールアドレスを閲覧できる状態となり、流出したメールアドレスを悪用されてしまう場合もある。

　ミスは誰でも起こす可能性があるため、個人情報を漏えいしないための対策と、漏えいしてしまった後の対策をしっかりと立てておくことが重要だ。

　ここからは個人情報漏えいを防ぐために企業が取るべき対策を紹介する。個人情報が流出しそうになりヒヤリ・ハットした経験のある企業や、個人情報漏えいの対策をこれから行う企業はぜひ参考にしてほしい。

　まずは社員に対して個人情報とは何か、情報が流出してしまうとどのようなリスクがあるのかなどを理解させるために教育や研修を行おう。

　個人情報が漏えいしてしまった場合、被害者に対して多大な迷惑をかけるだけではなく、会社の存続も危ぶまれるかもしれない。こうしたリスクを社員全員が十分に理解することで、企業として、個人情報を適切に取り扱うことが可能となる。

　個人情報の取り扱いについて、社内でルール化しておくことも効果的だ。具体的には、個人情報などを社外に持ち出す場合の手続きや、作業後のデータ消去の範囲などを細かく決める。

　こうした個人情報の取り扱いをマニュアル化しておくと、業務を標準化できてオペレーションミスを軽減させられるだろう。

　重要な情報にアクセスできる人を限定したり、個人情報の管理者を最小限にとどめたりと、社内の管理体制を厳格化しておくのも一つの手段である。個人情報を取り扱う人が少なければ、それだけリスクも軽減するだろう。

　また退職した社員のアクセス権限やIDは、速やかに消去するなどの対策が必要だ。元社員が悪用しなくても、外部からの不正アクセスによってアクセス権限を奪われてしまう可能性もある。少しでも個人情報漏えいにつながるリスクを避ける姿勢をとっておくことが重要である。

　ウェブサイトやセキュリティーソフトの脆弱性改善も、個人情報漏えいの対策として重要である。

　例えばウェブサイトのプログラムが一般公開されているような、オープンソースのCMSを使用している企業も少なくない。しかしオープンソースのCMSに設計上のミスや不具合があった場合、それによって生じたセキュリティーホール（セキュリティー上の欠陥）にマルウェアを埋め込まれてしまう危険性もある。

　こうした事態を防ぐためにはパソコン・スマートフォンのOSやセキュリティーソフトを更新したり、安全度の高いシステムへ切り替えたりといった脆弱性の改善が求められる。

　昨今では、テレワークの導入によって、自宅から社内の情報へアクセスすることも多く、より強固なセキュリティー対策を行う企業も増えている。下記の記事では、テレワークでも活用できるセキュリティーと利便性を両立させたITツールを紹介しているため、ぜひ参考にしてほしい。

　個人情報が流出してしまえば被害者に迷惑をかけるほか、企業は社会的信用を失い存続の危機に陥る場合もあるだろう。そのため個人情報の取り扱いについて社員教育を実施したり、セキュリティーソフトを強化したりする対策を早めに実施しておこう。