個人情報漏洩の対策方法は？事例から学ぶ企業と個人の責任

企業が顧客情報を扱う際、個人情報の漏洩リスクは常に伴います。一度漏洩が発生すれば、企業に深刻な影響を及ぼす可能性があるため、常に万全なセキュリティ対策を講じることが重要です。本記事では、個人情報漏洩の原因や事例から企業が実施すべき具体的なセキュリティ対策について詳しく解説します。

個人情報とは？～特定の個人を特定する情報～

あなたの名前、住所、電話番号…これらはすべて「個人情報」。 個人情報とは、特定の個人を識別できる情報を指し、個人情報保護法で厳格に保護されています。

個人情報はある個人を特定するための情報であり、個人情報法保護法で定義されています。

条文に記載されている文言のポイントをまとめると、①「生存する個人に関する情報」であり、②「特定の個人を識別できる情報」のことを言います。具体例としては氏名や生年月日、個人の連絡先や勤務先の情報等がそれに当たります。

個人情報保護法は、個人の権利・利益の保護と有用的な活用についてを秤にかけて、各人に対して順守すべき義務等を定めています。

参照： 1-1.「個人情報」って何だろう？～その1：あなたを特定できる情報～

個人情報漏洩の現状

東京商工リサーチによると、2021年の個人情報漏洩事件の件数は、上場企業およびその子会社が公表しただけでも合計120社、137件にも上り、574万9,773人にもの個人情報の流出がされたとの事。この件数は調査を開始した2012年以降でいずれも最多記録を更新している。

調査を開始した2012年から2021年までの累計は496社、事故件数は925件となり、個人情報漏洩事件を起こした上場企業は、全上場企業（約3,800社）の1割以上を占め、漏洩した可能性のある個人情報は累計1億1,979万人分にも達している。これはほぼ日本の人口に並ぶ数字であり、情報漏洩事件が社会問題化していることが伺える数字と言える。

不正アクセスなどのサイバー攻撃による事故に関して、2021年は計66社、事故件数は68件発生した。社数・事故件数ともに3年連続で最多を更新した形となる。

また、クレジットカード情報など、重要な個人情報の流出や、複数の企業が外部委託していた受注システムが不正アクセスを受け、被害が広がったケースも見受けられた。サイバー犯罪は手口も多様化、複雑化しており、セキュリティ対策の難しさをまざまざと見せつけられる数字になっている。

参照：上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分（2021年）

個人情報漏洩の推移

年度別で件数を比較してみると、2019年が86件・66社、2020年が103件・88社、2021年が137件・120社と3年連続で増加しており、また、2021年の事故件数137件という数字は、2013年の107件を上回り過去最多となった。

社数についても、2021年は120社と、これまで最多だった2020年の88社を大幅に上回る数字となっており、情報漏洩の件数が増加の一途を辿っていることが分かる。

各件数の内訳を見てみると、2021年の137件のうち、「100件以上1,000件未満」が最多で32件だった。次いで、「1,000件以上1万件未満」と「不明・その他」が各30件づつ続く形となったが、「不明・その他」に関しては、調査中などの回答のみで件数公表を控えるケースが大半であった。

個人情報漏洩の被害額

公表された被害額の平均から想定される損害賠償額はおよそ2,700億円となり、事故1件あたりの平均想定損害賠償額はおよそ6億円（※）、1人あたりに換算すると約3万円にもなる計算となる。

※日本IBMが公表した調査報告書によると1件当たり約4億5000万円との事。

例えば、後述のベネッセの事件では総額で200憶以上もの賠償額が裁判で認められている。

以下のように、具体的な事例を引用して内容を追加しました。

近年では社用スマホからの情報漏洩リスクが懸念

現代のビジネス環境では、社用スマホが日常的に利用されていますが、これに伴う情報漏洩リスクも増加しています。社用スマホは、企業の機密情報や顧客の個人情報を扱う場面が多く、万が一の紛失や盗難、あるいは不正アクセスが発生した場合、重大な情報漏洩につながる可能性があります。

例えば、2014年に株式会社ミサワで発生した事例では、社用のPCおよび携帯電話がフィリピンで盗難に遭い、社内の重要な情報が漏洩する危険にさらされました。このケースでは、迅速な対応により、実際の情報流出は防がれましたが、社用スマホやPCの紛失・盗難が企業に与えるリスクがいかに大きいかを示しています。

また、不正アクセスによる情報漏洩のリスクも深刻です。スマホを介して企業のシステムに不正にアクセスされると、社内のデータが外部に流出する危険性があります。社用スマホを個人利用している従業員が、誤って機密情報を外部に送信するケースも少なくありません。

このようなリスクを防ぐためには、社用スマホの使用に関する厳格なガイドラインを策定し、従業員に徹底させることが重要です。さらに、リモートワイプ機能や多要素認証など、技術的な対策を講じることで、情報漏洩のリスクを最小限に抑えることができます。

個人情報漏洩の具体的事例及び事件

社会問題化している情報漏洩の問題は、企業のみに限った話ではなく、個人でも対策を考える必要がある段階にいると言えるでしょう。

情報漏洩の具体的な対策を考えるにあたり、実際に発生した情報漏洩事件を知ることで、より緻密な対策をとることができます。

以下では、過去に多大な被害を出した情報漏洩のインシデント事例とその原因について紹介していきます。

ベネッセ・教育関係企業の個人情報の漏洩事件～故意のある持ち出し～

【概要】
2014年7月、ベネッセ・コーポレーション（以下ベネッセ）にて大量の個人情報が流出した事件。
ベネッセが展開する教育サービスに会員登録をしている方に、同サービスとまったく関係のない企業からダイレクトメッセージが届くようになったとの問い合わせから、同会社が調査を開始。
”進研ゼミ”を始めとする各種サービスへの登録会員約2,900万件の個人情報が漏洩していたことが発覚した。

【漏洩内容】
・保護者氏名
・子供氏名
・子供性別
・子供生年月日
・住所
・電話番号
・出産予定日（一部サービス利用者のみ）
・メールアドレス（一部サービス利用者のみ）

【原因】
ベネッセは会員情報の管理をグループ企業へ委託していたが、システム部分に関しては別業者へ再委託されていて、実際に管理業務を行っていたのは再委託先の従業員となっていました。
再委託先の派遣社員であった男性は、当該個人情報をスマホを使って盗み出し、名簿業者への売却を行っていた。持ち出された個人情報は、重複分も含めると約2億300万件にも上ります。
名簿業者へ売却された個人情報は、各社を回り、ベネッセ会員へのダイレクトメールが届くという結果をもたらしました。

参照：ベネッセ・教育関係企業の個人情報の漏洩事件～故意のある持ち出し～

ソニー・電機メーカーの利用者名簿の紛失～悪意あるサイバー攻撃～

【概要】
2011年4月に発覚した、サイバー攻撃による情報漏洩の事件。
米国のPlayStation NetworkおよびQriocityの管理センターが、サーバーの異常な動きを検知。
調査の結果、4月17日から19日にかけて不正アクセスがあったことが判明したため、サーバー及びサービスも停止した。

【漏洩内容】 ※漏洩した可能性があるものも含む
PlayStation NetworkおよびQriocityに登録した
・氏名
・国
・住所
・Eメールアドレス
・生年月日
・性別
・PlayStation NetworkおよびQriocityヘのログインパスワードやオンラインID
・購入履歴、請求先住所を含むプロフィールデータ
・ログインパスワード再設定用の質問への回答などのプロフィールデータ
・クレジットカード番号および有効期限に関する情報 ※セキュリティコードは除外

漏洩件数は約7700万件にも上っており、クレジットカード情報の漏洩件数で言えば最大1000万件の漏えいの可能性を否定できないと発表された。

【原因】
悪意ある何者かによるサイバー攻撃であることが判明した。
ソニーは、「巧妙なサイトへの侵入は本件サーバーの脆弱性を突いたものであり、今後の対応の仕方、警備体制の構築、堅牢なシステムの開発など、抜本的改革を施していく必要がある」と発表している。

参照：ソニー、7700万件の個人情報漏えいに対して謝罪

ミサワ・家具販売メーカーのPC、携帯電話盗難事件

【概要】
2014年4月、株式会社ミサワが、社用のPCおよび携帯電話がフィリピン共和国・パシッグ市内において盗難被害に遭ったと発表した。

PCにはセキュリティシステムが搭載されており、社内ネットワークへの経路も即時遮断していて、また、携帯電話はパスワードが設定されており、盗難判明後ただちに利用停止措置をとっていることにより、これらを入手した者が個人情報を不正利用することは事実上困難であると発表している。

【漏洩内容】
・海外拠点での採用活動における面接予定者7名分の個人情報
・過去3年分の取引先等のメールデータ（氏名、電話番号、メールアドレス）
・携帯電話に記載のある約50名分のアドレス帳登録データ（氏名、電話番号）

参照：PC および携帯電話盗難事故による個人情報紛失のお詫びとお知らせ

企業は必見！情報漏洩を防ぐための具体的な対策とは？

近年社会問題化している個人情報の漏洩。万が一、情報漏洩が発生した場合、企業は個人情報保護法による罰則を受ける可能性があるほか、社会的な信用の失墜や多額の損害賠償など、その責任は計り知れません。情報漏洩のリスクを最小限に抑えるために、企業はどのような対策を講じるべきなのでしょうか？以下では、具体的な対策について詳しく解説していきます。

人為的ミスが起こらないようなフロー、システムの構築

漏洩の原因の一つに、メールのご送信や添付ファイルの張り付けミスなどによる、人為的なミスがあります。

人が手動でやる行為なので、個人の注意力のみで対策するには限界があります。誤送信に気づいた時に取り消せるようメールの送信を一定時間保留する、重要なメールを自動でフィルタリングし上長の承認を得る、メールを送る際には第三者のチェックを必須とする、などの社内システムを構築、導入して、万が一のミスも起きないようなシステムを作ることが有効であると言えます。

特に、メールでのやり取りは情報漏洩のリスクが高いと言われています。誤送信を防ぐために、BCCの活用や、添付ファイルの暗号化など、適切な対策を講じることが重要です。

組織全体で情報リテラシーを教育

「情報漏洩は会社の問題であって、個人が気をつけるものではないし、漏洩に対する責任もない」、「何かあったら会社が何とかしてくれる」、と考えている人がまだまだ多いのが現状です。

ノートパソコンやスマホ等の電子機器の不要な持ち出し・持ち込みを禁止する、自席を離れる時にはPCをロックする、外出時に情報媒体を安易に放置しないなど、基本的なところから組織内で教育する必要があると言えるでしょう。情報の有用性、必要性、希少性を理解し、改めて個人個人で情報を管理することを心がける事を、組織全体の理念として教育する必要があると言えるでしょう。

システムによる対応

個人での注意に関しては限界があるため、堅牢な情報システムを構築する必要があります。

導入しているセキュリティソフト見直す、IDやパスワードの管理、システムの脆弱性に関して問題がないかなど、現状のシステムに満足することなく、定期的にシステムをアップデートしていくことが必要となります。

パスワードは定期的に変更し、推測されにくい複雑な文字列にすることが重要です。また、複数のサービスで同じパスワードを使い回すことは避けましょう。

個人情報漏洩防止マニュアルを作成する

個人情報漏洩のリスクを最小限に抑えるためには、全社員が遵守すべき具体的な対策を盛り込んだ「個人情報漏洩防止マニュアル」を作成することが重要です。このマニュアルには、情報の取り扱いに関する基本的なルール、緊急時の対応フロー、定期的なセキュリティ研修の実施方法などを明記し、全社員に周知徹底することで、組織全体で個人情報保護への意識を高めることができます。

関連記事：公務・自治体の情報漏洩事件まとめ | Watchy

内部からの情報漏洩対策なら【Watchy】

システムによる内部からの情報漏洩対策をするなら、【Watchy】がお勧めです。

内部の情報管理や、一括管理、問題行動の事前検知などの有用の高い漏洩対策をする事ができるうえ、コストもかなり抑えることができます。以下の3つが特徴となります。

3つの特徴

①自社の運用目的に沿ったIT資産管理ができる
１機能単位で契約できるので、導入リスクを必要最小限に抑えたうえで、自社独自の情報管理体制を構築できます。

②人の負担を減らしながらセキュリティレベルを向上
あらかじめ通知基準を設定し、その基準を超えれば自動で管理者にアラートが通知される仕組みになっているため、常に誰かが人的に見張っておく必要がなく、通知が来た時に対処することで管理者の負担を減らし、効率よく情報漏洩を未然に防ぐことができます。

③導入後の運用負担が少ないクラウドサービス
クラウド型のサービスになるため、サーバーのバージョンアップや運用の保守管理は不要。導入後の負担が少なく、社内外の場所を問わず情報管理をすることができます。

関連記事：内部不正による情報漏洩の事例5つ！漏洩が起きる要因や防止対策ポイントも解説

まとめ

情報漏洩は、サーバー攻撃や故意による持ち出しになど様々あります。こうした事態を未然に防ぐために、企業は組織全体のリテラシーを教育し、セキュリティソフトの導入などで対策する必要があります。このようなリテラシー強化は、デジタル化の浸透に伴い今後さらに重要視されます。自社の組織体制を把握し、適切な施策を実行しましょう。もし、予算やリソースが限られている場合は、Watchyを検討してみてはいかがでしょうか。