不動産業界の情報漏洩事件まとめ

不動産業界は紙文化が根強く、近年のデジタル化の普及に遅れを取りつつあります。こうした状況は、デジタルへの移行した際のセキュリティレベルが低く、サイバー攻撃や情報漏洩につながる可能性が高いです。本記事では、近年の情報漏洩の状況や、不動産業界で過去に起こった情報漏洩事件、原因TOP3を解説いたします。

不動産業界における情報漏洩の現状

企業のみならず一般家庭にもICT（情報通信技術）が浸透した今日では、機密情報や顧客情報の漏洩リスクが常につきまといます。
そのため、情報セキュリティに対する意識を高く持ち、適切な対策を講じることが必要です。

しかし、情報漏洩・紛失事件はここ数年増加傾向にあります。
2019年の日本ネットワークセキュリティ協会（JNSA）の調査によると、2018年にネットニュースや企業のプレスリリースに掲載された個人情報の漏洩件数は443件、漏洩人数は561万3,797人、その想定損害賠償総額は2,684億5,743万円に達しています。
1件あたりの想定損害賠償額は6億3,767万円になり、個人情報漏洩による企業の損害額が甚大であることは明白です。

不動産の売買を取り扱う不動産業界では、とりわけ個人情報を大量に保有する業種。
情報漏洩が発覚すれば、金額面での損失にくわえ社会的信用を失うばかりでなく、最悪のケースでは業務停止につながる恐れもあります。

参照：2018年情報セキュリティインシデントに関する調査結果～個人情報漏えい編～(速報版)

不動産業界と他業界の比較

前述のJNSAの調査結果によれば、不動産業界の情報漏洩件数は全体の2.0%で9件に留まっています。
2022年にアドビが調査した業界別の営業業務デジタル化状況によれば、紙による契約がもっとも多いのは不動産業界で73.3%です。
他業種に比べて、不動産業界の情報漏洩件数が少ない理由は、紙文化が根強く残っていることが一つの要因かもしれません。

しかし、調査データの2018年と現在の2022年では、コロナによる影響で働き方の環境が大きく変わっています。
コロナ禍以前は20%に満たなかった民間企業のテレワーク実施状況は、直近の2021年には40%近くまで上昇。（総務省・令和3年版　情報通信白書「第2章　（3）コロナ禍における企業活動の変化」より）
テレワーク実施の増加は、企業の保有する機密情報や顧客情報を、社外に持ち出すリスクの増加にもつながるでしょう。
こういった世の中の動向もふまえ、物件契約などで個人情報を保管することが多い不動産業界では、十分な情報漏洩対策が強く求められます。

参照：2021 年度 中小企業における情報セキュリティ対策に関する実態調査― 事例集 ―

不動産業界特有の個人情報について

不動産業界で取り扱うのは物件であり、その物件を契約する消費者の氏名、住所、電話番号などの個人情報が書かれた契約書を必然的に保有することになります。
また、契約書は法律で最低5年間保管することが義務付けられており、紙で交わした契約書は紙で保管しておかなければなりません。（宅建法49条）
電子契約が進んでいる今日でも、前述の通り紙媒体での契約が多い不動産業界では、電子データのみならず紙媒体に記録された個人情報の取り扱いに十分注意が必要な業界です。

情報漏洩事件を5つ紹介

不動産業界で過去に発覚した情報漏洩事件を5つ紹介します。

三菱地所が不正アクセス被害の続報を発表「SQLインジェクション」によるサイバー攻撃

2018年4月14日、三菱地所・サイモン株式会社が、同社運営のメールマガジン会員組織「ショッパークラブ」で一部の会員情報流出の可能性を発表。

その原因は、同社Webサイトへの「SQLインジェクション攻撃」による不正アクセス。
SQLインジェクション攻撃とは、Webアプリケーションの脆弱性を突いて、Webアプリケーションが連携しているデータベースのデータを抽出したり改ざんしたりする攻撃です。

この不正アクセスによって「ショッパークラブ」のメールアドレスとログインパスワードが24万件流出。
しかも、パスワードは暗号化されていなかったため、別サービスで同じパスワードを使いまわしている会員の二次被害が懸念されました。
表面化した二次被害があったかどうかは不明ですが、システムの脆弱性や個人情報のずさんな管理、さらには原因報告にまで2カ月かかっている事後対応など問題点の多い事例です。

参照：会員情報流出の可能性について

ハウスドゥ元従業員が顧客情報64件を不正流出、逮捕される

2022年1月18日、株式会社And Doホールディングスが、子会社ハウスドゥ住宅販売に勤めていた元従業員が顧客情報を不正に持ち出し、愛知県警に逮捕されたことを発表。

元従業員は、所属していた部署で保管していた顧客情報64件を転職後の営業活動に利用するために、転職予定先の不動産会社にメールで送信していました。

従業員のコンプライアンスの低さが一番の要因ですが、個人情報の取り扱いに対する厳格なルールを設けたうえで外部に持ち出せないシステム上の対策が行われていれば、防げたかもしれない事例です。

参照：当社子会社の元従業員の不正行為について

野村不動産、会員向けメール誤送信でアドレス約1,000件流出

2022年5月12日、野村不動産の従業員がメール誤送信によって同社が管理する会員のメールアドレスを1,023件流出。会員からの指摘ですぐに発覚し、翌日の5月13日に経緯を報告しています。

原因は、会員向けメールで本来BCCに入力すべきメールアドレスを、誤って宛先に入力してしまったこと。
このようなメール誤送信は、昔から頻繁に起きている情報漏洩事故の一つです。
メール送信業務は、本件のようなヒューマンエラーが発生しやすい業務であることを認識し、対策をとる必要があります。

参照：電子メール誤送信による個人情報の流出に関するお詫び

東急コミュニティー、元従業員が約5千名の顧客情報を不正に持ち出し

2021年3月29日、株式会社東急コミュニティーの元従業員が、顧客の個人情報を不正に持ち出し流出させていたことが発覚。
元従業員は、2019年10月と2020年11月の計2回にわたり社内業務管理システムから約5,000人の個人情報を持ち出し、第三者の法人に提供していました。

流出した個人情報には、同社が経営するマンションに住む顧客の氏名、住所、電話番号、マンション名、部屋番号。
幸いにして、悪用されたケースは認められなかったものの、同社は流出先の法人に対して情報の利用停止と廃棄を請求しています。

ちなみに、同社は本件の再発防止対策としてシステムのアクセス制限強化とセキュリティ教育実施を挙げていますが、2022年5月26日にも元従業員による個人情報の不正使用が発覚しています。
個人情報漏洩を防止するためには、システム的な対策のみならず利用する人間のコンプライアンス意識やモラルをどのように醸成するかも重要です。

参照：元弊社従業員による不正な個人情報の持ち出し及び流出に関するお詫びとご報告

アイディホーム、顧客情報7,000件が外部企業に流出

2021年6月23日、アイディホーム株式会社が顧客情報7,000件の流出を報告。

流出した個人情報は、2007年2月から2018年12月の間に東海エリアで同社の物件を購入した顧客の氏名、住所、電話番号、物件の引き渡し日。
同社の下請け企業と騙る配管業者から勧誘電話があったという顧客の問い合わせで、流出事実と流出先業者が判明しました。

現在は顧客情報を専用システムで厳重に管理しているため、専用システム導入前に紙媒体で流出した可能性が高そうですが、誰がどういう経緯で流出させたのかは特定できないまま本件の調査を終了。
しかし、経緯が不明なままでは顧客に安心感や納得感を与えられません。
電子データ、紙媒体問わず、情報漏洩発覚時に原因を追跡できる運用方法の検討やシステムの導入は必要不可欠です。

参照：個人情報漏えいに関するお詫びとお知らせ

【不動産業界】情報漏洩の原因TOP3

東京商工リサーチによる2021年度の調査によると、情報漏洩・紛失の原因でもっとも多いのが、外部からの不正アクセスで、49.6%と大半を占めています。
2番目に多いのが、誤表示や誤送信といった人的ミスで31.3％、そして3番目が11.6％で、個人情報の保管されたデバイスの紛失・誤廃棄です。
ここでは、これら代表的な情報漏洩の原因3つを解説します。

機密情報を格納したデバイスの紛失・置き忘れ

従業員が、個人情報や機密情報を格納したデバイスを外部に持ち出し紛失してしまうケースは、以下のようなシーンで発生しています。

①リモートワークのためにノートPCに顧客情報を保存し持ち歩いた結果、どこかに紛失。
②社外での一時的な作業のためにUSBに顧客情報をコピー。しかし、USBを社外端末に接続したまま回収せずに帰宅。
③古くなったデバイスを個人情報が残された状態のまま誤って廃棄。

リモートワーク増加中の近年では、業務のために個人情報を社外に持ち出す機会が増えています。
また、不動産業界では、今回紹介した事故事例であったような不正利用目的で持ち出すケースがあります。
その持ち出し手段は、USBなどの記録媒体に限らずメール添付や紙媒体のケースも。
電子データであればDLPや資産管理ツールなどの製品で防止できますが、紙媒体での持ち出しを防ぐには厳格な管理や持ち出しルールが必要です。
さらには、定期的なセキュリティ教育を実施し従業員のセキュリティ意識を高めることも重要でしょう。

メール送信などの誤操作

人間にはミスがつきものなので、誤操作の発生は前提とし情報漏洩対策を施すことが重要です。
とくにメール送信業務は、顧客に対する定期的なお知らせやフォローアップのために今やどの業界でも行っている業務の一つ。
宛先設定ミスが原因による誤送信は、業界問わず発生する可能性があります。
したがって、誤送信の発生を手前で食い止める以下のような対策をとることが重要です。

①送信前に上長や他者による宛先・内容のチェックが必要な運用ルールを設ける。
②送信前には確認メッセージがでるような設定を義務付ける。
③メール誤送信を防ぐシステムやソフトウェアを導入する。

ウイルス感染やサイバー攻撃による外部からの不正アクセス

ウイルス感染やサイバー攻撃による不正アクセスは年々増加傾向にあるため、ネットワーク上につながる端末には最新のセキュリティ対策が不可欠です。
対策を怠れば、不正アクセスが原因による以下のような事態が起こり得ます。

①ウイルス感染した自社サーバーを、他社サーバー攻撃のための踏み台に利用されてしまう。
②ウイルス感染した自社サーバー経由で、個人情報を含む端末がロックあるいは暗号化され、身代金を要求される。
③自社サイトの脆弱性を突かれ、顧客情報の保存されたデータベースにアクセスを許してしまう。

不動産業界では、企業や消費者の詳細な顧客情報を抱えていることが多く、それらをターゲットとした攻撃にさらされる危険性をはらんでいます。

したがって、自社のネットワークにつながる端末は、常に最新のセキュリティ対策状態を保てる仕組みにする必要があり、資産管理ツールの導入は有効な手段の一つに挙げられます。
また、個人情報流出を防止するために、データの流れをリアルタイムに監視するDLP製品の導入も効果的でしょう。

まとめ

本記事では、近年の情報漏洩の状況や、不動産業界で過去に起こった情報漏洩事件を解説しました。
また、情報漏洩の原因のTOP3について解説し、それぞれで重要となるポイントや施策についても触れています。

情報漏洩の事故事例は、自社に足りない施策や万が一情報漏洩が発生した場合、どんな備えをしておけば良いか見えてきます。
今回紹介したような事故事例を、社内のセキュリティ教育に取り入れれば従業員のセキュリティ意識向上にも役立つでしょう。

本記事をきっかけに、セキュリティ対策の重要性を改めて認識し、より強固なセキュリティ対策につながれば幸いです。

低コストでセキュリティ対策を始めるなら

• 「セキュリティ対策が求められているが、予算が限られている」
• 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「Watchy」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点もWatchyの特徴です。

まずは無料で資料をダウンロードしてお確かめください。

Watchy：https://watchy.biz/
運営会社：株式会社スタメン（東証グロース市場4019）