個人情報が漏洩するとどうなるのか?|個人情報漏洩が発生する原因とその対策について

近年、個人情報漏洩の報道が大々的に取り上げられるのを、しばしば目にするようになりました。

DXの推進が重視される中で、業界や業種問わず個人情報漏洩という重大なセキュリティインシデントに遭遇する可能性は高まるばかりです。

この記事では個人情報の漏洩に関するリスクを避けるためにも、以下の点を整理してお伝えします。

  • 情報漏洩の現状と最新動向
  • 被害事例
  • 情報漏洩において、取り組むべき対策のポイント

個人情報漏洩とは?

個人情報漏洩とは、個人に関わる重要なデータが外部に漏洩することを意味します。

スマートフォンの普及やインターネットを利用したビジネスの拡大、そして2020年からのコロナウイルス感染症対策によるテレワークの普及に伴い、個人情報漏洩が発生するリスクは増加しています。

2020年「上場企業の個人情報漏えい・紛失事故」調査(東京商工リサーチ)

2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。調査を開始した2012年以降で、社数は2013年(87社)を上回り、最多となった。

事故件数は前年比2割増で7年ぶりに100件超え、社数別では調査開始以来最多

2013年より、7年ぶりに100件を超えた個人情報漏洩は、社数別では前年比33.3%増の88社と過去最多となりました。

そして2020年、103件の情報漏洩・紛失事故の原因として最も多かったのが「ウイルス感染・不正アクセス」の51件(構成比49.5%)で全体の約5割を占めました。

1事故あたりの情報漏えい・紛失件数の平均は「ウイルス感染・不正アクセス」が57万8,714件と突出していて、「ウィルス感染・不正アクセス」などのサイバー犯罪は機械的に膨大な情報を抜き取るため、紙媒体の情報漏洩よりも事故1件あたりの情報漏洩量がケタ違いに大きく、漏洩した際の被害もより深刻さを増しています

個人情報保護法とは?

個人情報保護法とは、個人情報の不正利用や不適切な取り扱いを防止する法律で、2003年5月に成立、2005年4月に全面施行されました。

個人情報保護法の適用範囲

個人情報保護法では、個人の氏名、旅券(パスポート)番号やマイナンバー等の公的番号、顔が判別できる画像・映像、生体認証データなど個人を識別することができる情報を個人情報と定義づけ、個人情報を扱う事業者すべてに個人情報法保護法の遵守義務を課します。

個人情報保護法に違反した場合

個人情報保護法に違反し、かつ個人情報保護委員会からの改善命令に従わない場合は、6カ月以下の懲役または30万円以下の罰金が科されます。

【2022年度】改正個人情報保護法

2022年4月の個人情報保護法改正により、個人の情報保護に関して規定が強化され、不正アクセスによる情報漏洩が発生した場合、漏洩件数にかかわらず被害者本人への通知、並びに個人情報保護委員会への報告が義務付けられました。

個人情報漏洩の種類

個人情報漏洩は、「過失による情報漏洩」「故意の情報漏洩」「サイバー攻撃によって発生する情報漏洩」の3パターンに分類できます。

  1. 過失による情報漏洩
  2. 故意の情報漏洩
  3. サイバー攻撃によって発生する情報漏

1.過失による情報漏洩

過失による情報漏洩は「端末や記憶媒体の紛失」「メールの誤送信」「設定不備・操作ミス」の3パターンに分類できます。

  • 端末や記憶媒体の紛失
  • メールの誤送信
  • 設定不備・操作ミス

端末や記憶媒体の紛失

過失による情報漏洩でもっとも多いのが、紛失・置き忘れです

USBメモリなどの記憶媒体を紛失する、書類が入ったカバンを電車内の網棚や飲食店に置き忘れることで、機密情報の漏洩につながるケースが多発しています。

メールの誤送信

メールの誤送信による情報漏洩も依然として多く発生しています。

誤送信はメールを複数人に一斉送信する際に起こりやすいものです。

BCC欄に入力すべきメールアドレスをTO欄やCC欄に入力して送信した結果、受信者が他の宛先を閲覧できる状態になってしまったケースがほとんどとされています。

「日本情報漏えい年鑑2020」では、メール誤送信による情報漏洩が62.3%(1,648件)と報告されています。

日本情報漏えい年鑑2020より

設定不備・操作ミス

近年、特にクラウドサービスに関する設定不備が多発していると報告されています。

社内で管理されていた情報が、クラウドサービスではインターネット上で管理されることになります。

そのため今まで以上に厳格な管理が必要ですが、現実は企業内の予算や人員などから、厳格な管理がなされていないようです。

アクセス権の設定を誤り、社外から機密情報へのアクセスが可能になった事例が多数報告されています。

2.故意による情報漏洩

内部不正による情報流出はきわめて根が深く深刻な問題です。

IPA(独立行政法人情報処理推進機構)の調査によると、内部不正によって持ち出された情報の流出先は、「国内の競業他社」が32.4%、「外国の競業他社」が10.5%となっており、技術情報などは競業他社に流出するリスクが考えられます。

また、内部不正が発覚しても、内部処理で済ませるケースが多く、特に具体的な対策が講じられないまま、問題が長期化する傾向にあります。

3.サイバー攻撃による情報漏洩

<サイバー攻撃の種類>

  • マルウェア
  • フィッシング
  • SQLインジェクション攻撃
  • クロスサイトスクリプティング(XSS)
  • Denial Denial-of-Service(DoS)攻撃
  • セッションハイジャックと中間者攻撃
  • クレデンシャル再利用

    など

サイバー攻撃の手口は、年々多様化・巧妙化していて、セキュリティ対策の重要性は益々高まっています。

また、近年ではサイバー攻撃による情報漏洩のリスクが最も高く5割近くは「ウィルス・不正アクセス」が原因となっています。

個人情報漏洩が発生する3つの原因

  1. 予算不足
  2. 人手不足
  3. 技術力・ノウハウ不足

情報漏洩が発生してしまう原因は主に「予算不足」「人手不足」「技術力・ノウハウ不足」の3つが挙げられます。

1.予算不足

情報漏洩を防ぐためには、セキュリティ製品の導入、セキュリティの専門人材の採用など、予算を多くかける必要があります。

しかし、日本では海外諸国と比較してセキュリティ対策にかける予算は少ない傾向にあります。

企業のセキュリティ関連予算

セキュリティに関連した「予算」の策定状況はどうでしょうか。下図は、各企業のIT関連予算に占めるセキュリティ関連予算の割合を表しています。IT関連予算の内、10%以上をセキュリティ関連予算に充てている企業は、日本では約20%でしたが、海外4か国では50%を超えていました。

https://www.nri-secure.co.jp/blog/insight2018-security-management より
https://www.nri-secure.co.jp/blog/insight2018-security-management より

2.人手不足

セキュリティ人材が不足している要因は、「IT環境の急激な変化による業務量の増加」「サイバー攻撃の多様化・巧妙化」と言われています。

特に、中小・零細企業では予算が限られ、セキュリティ人材の採用コストを捻出できない傾向にあり、セキュリティ対策がどうしても後手になりがちです。

IPA(独立行政法人情報処理推進機構)が実施した調査では、国内の従業員数300名以上の大企業・中堅企業534社を対象にアンケートを実施したところ、最高情報セキュリティ責任者を社内に設置している割合は7.5%、CSIRT(インシデント発生時に対応する組織)に1名以上の専任のメンバーを設置している割合は31.1%で、多くの場合、セキュリティ人材は他業務と兼務しているのが実情。

参照:サイバーセキュリティ体制構築・人材確保の手引き

参照:企業のCISO等やセキュリティ対策推進に関する実態調査

3.技術力・ノウハウ不足

前項2の調査にもあるように、セキュリティ人材の多くは兼任担当者であり、専任人材が不足しています。

新しい技術の発展とともに…

  • ISO/IEC 27001PCI DSSといった情報セキュリティ管理に関する規格
  • ゼロトラストのようなネットワークセキュリティの概念
  • 暗号化や認証といったセキュリティ技術

など幅広いサイバーセキュリティの知識や技術が求められます。

参照:ISMSとは? ISO / IEC 27001との違いや取得方法について解説

参照:PCI DSS|取得費用やメリットや方法などを解説

個人情報漏洩のリスクとは?

<個人情報漏洩によってもたらされるリスク>

  1. 不正利用・なりすまし
  2. 刑事罰が科される
  3. 損害賠償責任
  4. 社会的信用の低下
  5. Webサイトの改ざん

などと

個人情報漏洩がもたらすリスクは、多方面にわたります。

ここでは代表的な5つを紹介します。

1.不正使用・なりすまし

「ID」「パスワード」「メールアドレス」など個人情報が漏洩すると、SNSのアカウントが乗っ取られたり、顧客のクレジットカードが不正使用されたり、企業になりすましてメールが送付されたりするリスクが高まります。

2.刑事罰が科される

  • 個人情報の利用目的を明示していない
  • 個人情報を不正に取得する

など、個人情報保護法に違反する行動を起こし、個人情報保護委員会の改善命令にも従わない場合は、懲役または罰金が科せられます。

改正個人情報保護法では、従来よりもペナルティが厳格化されました。特に法人への罰金刑は、「個人と同額(50万円あるいは30万円以下)」から「1億円以下」へと大幅に引き上げられており、注意が必要です。

<改正個人情報保護法改正点>

  • 委員会による命令違反。委員会に対する虚偽報告などの法定刑を引き上げる
    ・命令違反:6ヶ月以下の懲役または30万円以下の罰金
    ➡️ 1年以下の懲役または100万円以下の罰金
    ・虚偽報告:30万円以下の罰金
    ➡️ 50万円以下の罰金
  • データベース等不正提供罪、委員会による命令違反の罰則について、法人と個人の資力格差を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)
    ・個人と同額の罰金(50万円または30万円以下の罰金)
    ➡️ 1億円以下の罰金

3.損害賠償責任

個人情報が漏洩すると、刑事罰とは別に民事上の責任も追及され損害賠償が発生します。

損害賠償額は事案によって異なりますが、1人あたり数千円から数万円、合計すると1,000万円を超える莫大な金額になることもあります。

JNSA(NPO日本ネットワークセキュリティ協会)が発表した「インシデント損害額調査レポート」では、個人情報流出における、一人あたりの平均想定賠償額を28,308円と計算している。
このレポートでは、実際に訴訟を起こして損害賠償を請求する人は、少なく見積もって被害を受けた人の0.03%と想定されている。
仮に100万人規模の個人情報流出事件が生じれば、100万人×0.03%×28,308円=約850万円の損害賠償額となる。
但し、損害賠償を請求する人は少なく見積もられていることに注意が必要と考えられる・

4.社会的信用の低下

個人情報を漏洩した企業は、社会的信用が大きく低下します。

それにより、重要顧客の取引停止、株価下落、営業機会の損失などの損害発生が考えられるでしょう。

また情報漏洩が報道されると、ステークホルダーやコンシュマーからの問い合わせや苦情、SNSには誹謗中傷の書き込みが増え、対応に追われることになります。

業務効率が悪くなるばかりでなく、従業員の士気も低下します。

Webサイトの改ざん

Webサイトの管理者IDやパスワードが漏洩した場合は、サイトの改ざん被害に遭うこともあります。

単にWebサイトが改ざんされるだけでなく、恐れなければならないのは不正プログラムが埋め込まれ、閲覧者がマルウェアに感染し、結果としてネットバンキングのIDやパスワードが盗み取られる恐れがあります。

個人情報漏洩により損害賠償を請求された事例

ここでは、情報漏洩により損害賠償が請求された有名な事例を紹介します。

Yahoo! BBの個人情報漏洩

2004年、Yahoo! BBのサービス加入者の氏名・住所・連絡先などが漏えいし、これに対して原告(顧客)がBBテクノロジー株式会社とヤフー株式会社に対して損害賠償を請求しました。
BBテクノロジーは、顧客情報の流出を確認して間もなく、情報漏洩の事実を顧客に対して通知。
さらに、全サービス利用者に500円の金券を交付して謝罪をした後、セキュリティ強化の姿勢を見せました。

その後、具体的な二次流出もなく、上記のように真摯な対応が行われたことも考慮され、原告に対する1人あたりの慰謝料は5,000円、弁護士費用は1,000円が妥当だとの判決がBBテクノロジーに下されました。ヤフー株式会社に対する賠償請求は棄却されました。

ベネッセの個人情報漏洩

2014年、株式会社ベネッセコーポレーションの子会社「株式会社シンフォーム」に勤務するエンジニアによる顧客情報の持ち出しが発覚。ベネッセコーポレーションのサービスを利用する子どもや保護者の氏名、住所や連絡先などが流出し、原告(顧客)がベネッセコーポレーションとシンフォームに対し損害賠償を請求しました。

情報漏洩を把握した後に謝罪して500円相当の補償を実施したこと、および相談窓口の設置や情報拡散防止活動などの対策を講じたことから、裁判所は社会通念上許されない範囲の行為ではないと判断。ベネッセコーポレーションに対する請求は棄却され、シンフォームには原告1人あたり慰謝料3,000円、弁護士費用として300円を支払うことが妥当だとの判決が下されています。

京都府宇治市の個人情報漏洩

1999年、京都府宇治市が「乳幼児検診システム」の開発を民間業者に委託し、開発のために必要な住民基本台帳データを預けたところ、再々委託先となった業者のアルバイト従業員が同データを不正にコピー。同従業員が名簿販売業者に対してデータを売却するとその名簿販売業者がデータの転売を進め、合計21万7,617件もの個人情報が流出しました。

この情報漏洩に対しては、住民が精神的苦痛を理由に宇治市に対して裁判を起こし、その結果、住民1人当たり15,000円(慰謝料10,000円、弁護士費用5,000円)の支払いが命じられました。

個人情報漏洩が発覚した場合にすべきこと

  1. 漏洩した情報の確認・把握
  2. 報告・通知・公表
  3. 再発防止策の検討・実施

1.漏洩した情報の確認・把握

5W1H(いつ、どこで、誰が、なぜ、どうしたのか)に基づき、調査ならびに情報の把握をします。

また、事実関係を裏付ける証拠は消去せずに保全することが必要です。

2.報告・通知・公表

個人情報の漏洩が発覚した場合、その事実関係と再発防止策を個人情報保護委員会に速やかに報告する義務があります。

また紛失や盗難、内部不正、不正アクセスなど犯罪につながる場合は合わせて警察にも報告します。

個人情報漏洩は企業の信用や信頼に関わるので、対象者に通知し、誠意をもって対応しなければなりません。

被害者の損失や社会への影響などを考慮し、記者会見やホームページでの公開・報告を必要と判断した場合は速やかに行いましょう。

3.再発防止策の検討・実施

漏洩事案をもとに再発防止策を検討・実施します。

内部での過失や故意による情報漏洩であれば、具体的な防止策としては以下のようなものがあります。

  • パソコンの持ち出しを禁止する
  • データーの転写を禁止する
  • IT資産管理ツールの導入
  • 社内教育を徹底

個人情報漏洩を防ぐ対策

  1. 情報を適切に管理する
  2. 情報の暗号化
  3. セキュリティ製品の導入
  4. 権限の共有禁止
  5. 連絡・報告窓口の設置

1.情報を適切に管理する

重要なのは、基本的なことですが情報管理ルールの徹底です。

  • 情報資産を目の届かないところに放置しない
  • 離席時は必ずスクリーンロックする
  • 重要情報が含まれている電子媒体や書類は、机に放置せず鍵付きのキャビネットに収納する

    など

基本的なルールの遵守を徹底しましょう。

2.情報の暗号化

万が一、攻撃者の手に情報がわたっても、情報の暗号化をしておけば情報を保護できます。

情報の復号には暗号キーが必要になるので、暗号キーは厳重に管理しなければなりません。

3.セキュリティ製品の導入

「ファイアウォール」「WAF」「IDS/IPS」などのセキュリティ製品で多層防御することで、サイバー攻撃(「マルウェア」「DoS攻撃/DDoS攻撃」「SQLインジェクション」など)から防御できます。

内部不正対策のためには、IT資産管理ツール、ログ管理製品などもあわせて導入することを考慮すべきでしょう。

4.権限の供用禁止

業務や体制に応じて付与された権限、特にシステムの管理や保守ができる特権IDの供用は、情報漏洩の大きな原因となりがちです。

権限の不正利用や濫用を防止するためには、罰則規定を含んだ秘密保持契約(NDA)の締結が重要です。

また、多要素認証やID管理システムの導入を検討することが得策です。

連絡・報告窓口の設置

万が一、情報漏洩したときに備えて連絡・報告窓口の設置が必要です。
連絡・報告窓口の設置は事実確認と情報の一元管理に必要不可欠といえます。

また、情報漏洩の際には、IPA(独立法人情報処理推進機構)が公表している「情報共有シート」を利用することで、正確な情報を収集することをお勧めします。

まとめ

個人情報漏洩が発生する原因は、ヒューマンエラーから、内部不正、サイバー攻撃まで多岐にわたります。

一度、個人情報漏洩が発生すれば、改正個人情報保護法により厳しい罰則が与えられるだけではなく、社会的信用は大きく損なわれ、重要顧客の取引停止、株価下落、営業機会の損失など、事業継続が危ぶまれる事態にまで発展します。

個人情報漏洩は、決して他人事ではなく、明日は我が身に起こりうるトラブルと考えて対策を講じることが肝要です。