近年の個人情報漏洩の実態と事例｜企業として必要な対策を検討しよう

デジタル化の進展とともに、企業が保有する個人情報の価値や量が増大する一方で、サイバー攻撃や内部不正などによる情報漏洩も深刻化しています。近年の個人情報漏洩の実態を把握した上で、他企業の事例を通じて必要な対策を検討してみましょう。

企業の個人情報漏洩の現状

近年、企業における個人情報漏洩事故は増加傾向にあり、その規模と影響は年々深刻化しています。

テレワークの普及やクラウドサービスの利用拡大により、情報を扱う環境が多様化したことで、新たなリスクが生まれています。同時に、サイバー犯罪者の手法も巧妙化し、従来の対策では防ぎきれない攻撃が増えている状況です。

個人情報漏洩に関する事故件数の推移

個人情報保護委員会による2024年度の年次報告によると、企業をはじめとした個人情報を取り扱う事業者からの情報漏洩の処理件数は、過去最多の1万9,056件です。

情報漏洩の事故は年々増加しており、その背景にはテレワーク・リモートワーク環境でのセキュリティ管理の難しさや、クラウドサービス利用時の設定ミス、フィッシング攻撃の巧妙化などがあります。

特に中小企業では、大手に比べてセキュリティ投資に割ける予算や人材が限られるため、十分な体制を整備できず狙われやすい状況です。さらにIoT機器やスマートフォンアプリを経由した新たな漏洩経路も確認されており、デジタル化の進展がリスク拡大に直結していることが浮き彫りになっています。

※出典：令和6年度個人情報保護委員会 年次報告 ｜個人情報保護委員会

個人情報漏洩の被害額

日本ネットワークセキュリティ協会の調査によると、近年増加しているランサムウェアの感染被害を受けた企業は、軒並み1,000万円超の被害金額が発生しています。同協会のアンケート調査によると、回答の平均値は2,386万円でした。

一方、エモテットの感染被害を受けた組織の被害金額は、回答組織ごとに開きがあるものの、平均値は1,030万円です。さらに、Webサイトからの情報漏洩被害は回答平均値が2,955万円で、個人情報にクレジットカードの情報が含まれていた場合、3,843万円と大きく増加する傾向にあります。

このように情報漏洩の事故が発生すると、多くの組織で1,000万円を超える被害が出る可能性が高いでしょう。さらに損害賠償責任が発生した場合、1件当たり数億円規模になる場合も珍しくありません。単なる金銭的負担にとどまらず、取引先からの信用低下や顧客離れといった長期的な影響も考えられます。

※出典：インシデント損害額調査レポート｜JNSA 日本ネットワークセキュリティ協会

ここ数年の個人情報漏洩事件の傾向

ここ数年の個人情報漏洩事件には、明確な傾向が見られます。まず、ランサムウェアによる被害が急増しており、単なる情報窃取にとどまらず、システムを人質に取る手法が主流になっており、被害額も年々増加傾向にあるようです。

また、標的型攻撃の巧妙化により、長期間にわたって気付かれず、情報が流出し続けるケースも増加しています。内部関係者による不正については、テレワーク環境での監視の目が届きにくい状況を悪用した事例が目立ちます。

一方、人的ミスによる情報漏洩も多く、メールの誤送信やクラウドサービスの設定ミスが主要因となり、機密情報が外部に流出する事件が後を絶ちません。さらに、社用スマホの紛失・盗難から情報が漏洩するケースも実際に起こっています。

近年の個人情報漏洩の事件・事例【①外部攻撃】

それでは、近年の個人情報の漏洩事件について、原因別に有名な事例を確認していきましょう。まずは外部からの攻撃によって、業務で使用している個人情報が漏洩した事件です。

株式会社トウペ｜不正アクセス発生で2万件以上の個人情報漏洩の可能性

株式会社トウペでは2025年3月、一部のサーバーが第三者による不正アクセスを受け、顧客に関する個人情報が外部に流出した可能性を報告しました。漏洩の対象は2万件以上に上り、氏名や連絡先といった重要な情報が含まれていたとされています。

攻撃者は企業のシステムの脆弱性を突いて侵入したと考えられ、調査や対応には多大なコストが発生しました。発生後すぐに調査と公表を行ったものの、顧客への不安や企業の信用低下は避けられず、情報セキュリティ体制の不備が大きく問われた事例です。

※出典：当社における不正アクセスによる個人情報流出に関するお詫びと調査結果のお知らせ（第3報） | 株式会社トウペ

楽待株式会社｜不正アクセスで会員登録情報などの流出の可能性

楽待株式会社でも2025年6月、社内のサーバーに高負荷が発生しているのを検知し、原因となっていた処理を発見して停止しました。調査を進めたところ、データベースへの不正アクセスが確認され、個人情報が外部へ漏洩した可能性がある旨を公表しています。

具体的には、同社が提供している「不動産投資の楽待」の会員登録者の情報（氏名・住所・メールアドレス・パスワード・電話番号など）と、加盟店として登録している法人の情報です。

個人情報の不正流用などの事実は確認されていないものの、同社では外部の専門家との連携により、脆弱性対策の強化とセキュリティ監視体制の整備を進めるとしています。

※出典：楽待株式会社 RAKUMACHI,INC. | 不動産投資サイト「楽待」運営 不正アクセスの発生及び個人情報漏えいに関するお知らせ（続報）

近年の個人情報漏洩の事件・事例【②内部不正】

次に、内部不正により個人情報が漏洩してしまった事例を紹介します。従業員や委託先などが権限を悪用して情報を持ち出す事件であり、外部攻撃に比べて検知が難しいのが特徴です。

ソフトバンク株式会社｜業務委託先で13万7,000件以上の個人情報漏洩の可能性

ソフトバンク株式会社では、業務を委託していた企業において、元協力会社従業員による不正な個人情報の持ち出しの可能性が明らかになり、13万7,000件以上の情報が流出した恐れがあると発表しました。

2024年12月、UFジャパンの協力会社を退職した元従業員が、同社の事業所に不正に立ち入り、情報管理端末にUSBメモリーを接続して顧客情報を持ち出した可能性が確認されています。流出した可能性がある情報には、氏名・住所・電話番号・生年月日などの個人情報が含まれていました。

ソフトバンクは、警察に被害届を提出するとともに、委託業務に使用されたパソコンのフォレンジック調査、関係者への聞き取り調査を実施しています。また、当該業務については5月20日に委託を停止し、6月9日付でUFジャパンとの契約を解除しました。再発防止策として、情報セキュリティ要件の厳格化および監査体制の強化を進めています。

※出典：業務委託先企業による個人情報漏えいの可能性について | 企業・IR | ソフトバンク

株式会社リクルート｜元従業員による計500人以上の個人情報の持ち出し

株式会社リクルートでは、2024年3月末に退職した旅行事業の営業担当者が、退職直前に社内資料を外部に持ち出していたことが発覚しました。

持ち出された社内資料には、同社の顧客である宿泊施設の担当者情報（481人分）や、その宿泊施設を担当する同社の従業員の氏名など（55人分）が含まれていたようです。

同社では、元従業員に厳正な対処をするとともに、対象ファイルの削除および、当該宿泊施設・担当者に個別にご報告とおわびを進めています。加えて、退職や異動に伴う社内での業務情報の取り扱いプロセスを見直すとともに、情報を社内システムに集約する体制の整備を図っています。

※出典：当社元従業員による情報の持ち出しに関するご報告とお詫び | 株式会社リクルート

近年の個人情報漏洩の事件・事例【③人的ミス】

続いて、人的なミスによって個人情報が漏洩してしまった事件を紹介します。単純な送信ミスや誤設定から情報が外部に流出するケースが多いため、適切な業務プロセスの構築や徹底した従業員教育により、リスクの低減を図る必要があります。

株式会社みずほ銀行｜iDeCo申込者5,572人の情報ファイルの流出

株式会社みずほ銀行では、2025年6月、同行の従業員が提携先の金融機関に対して、電子メールでiDeCo申込者5,572人の情報ファイルを誤って送信しました。送信時の設定ミスや誤操作が原因で、システム上の不備ではなく人的要因による事故としています。

同行は直ちに当該提携先へ連絡し、既に電子メールと情報ファイルが削除されたことは確認しているようです。

この事件は日常業務の不注意から発生しており、チェック体制の甘さが原因といえるでしょう。誤送信防止の仕組みや、二重確認のルールが徹底されていれば防げた事故であり、単純な人的ミスが重大なインシデントにつながることが分かる事例です。

※出典：お客さま情報の漏えいに関するお詫びとご報告について｜株式会社みずほ銀行

株式会社大創産業｜1万件以上の個人情報情報漏洩の可能性

株式会社大創産業では2025年4月、業務にて利用していた「Googleグループ」の閲覧権限の設定不備が判明しました。顧客や取引先・中途採用の応募者・従業員と、同社がやりとりしたメールの一部が、外部から閲覧可能な状態にあったようです。

これにより、ECサイトの利用者の個人情報（氏名・住所・電話番号など）や、取引先の情報などが外部に流出した可能性があるとしています。

同社は判明直後にアクセス権限を制限する措置とともに、社員個人のみでグループを新規作成できないように機能を制限しています。現状、情報漏洩にかかる二次被害は発生していないものの、日常業務での少しのミスが、大きな問題に発展する可能性を示した事例といえるでしょう。

※出典：「Google グループ」を通じた個人情報の漏えいの可能性に関するお詫び｜株式会社大創産業

個人情報の流出を防ぐために取るべき対策

上記の事例のような個人情報の流出を防ぐためには、以下の対策を徹底する必要があります。マニュアルの作成や業務プロセスの見直し、社内教育やシステム対策を含め、組織全体で継続的に取り組むことが大事です。

個人情報漏洩防止マニュアルの作成

個人情報の漏洩を未然に防ぐために、社内で統一的に運用できる防止マニュアルを作成しましょう。明確なルールや手順を設けることで、従業員が迷うことなく、常に適切な対応を取れるようにしなければいけません。

抽象的な規則ではなく、具体的な場面を想定したルールを明文化することで、実効性を高める必要があります。例えば、メール送信や外部データ持ち出し時の手続きなど、日常業務に直結する形式で策定しましょう。

さらに、マニュアルは一度作成して終わりではなく、最新の事例や法規制を反映し、定期的に更新することが大切です。万が一、情報漏洩が発覚した場合の報告フローなども整備しておきましょう。

人的ミスを防ぐための業務プロセスの構築

人的ミスによる情報漏洩を減らすには、業務プロセス自体を見直すことも大切です。単純作業における確認体制の強化や、誤送信を防ぐシステム機能の導入など、ミスを減らしつつ業務効率を上げる仕組みを検討しましょう。

また、業務の自動化を進めることで、ヒューマンエラーの余地を減らすことも可能です。重要なのは「人に依存しすぎない体制」を整えることであり、ダブルチェックや上長承認など、複数段階での確認を組み込むことも事故の防止につながります。

業務全体を俯瞰し、どの工程にリスクが潜んでいるかを把握した上で、継続的に改善を重ねましょう。

組織全体での徹底した情報リテラシー教育

どれほど優れたシステムを導入しても、利用する従業員の意識が低ければ、情報漏洩のリスクは軽減できません。徹底した情報リテラシー教育により、従業員一人一人が情報の重要性を理解し、日常業務において、リスクを意識しながら慎重に業務をこなせるようにする必要があります。

情報リテラシー教育は単なる講義にとどまらず、実際の事例を踏まえた演習やシミュレーションを取り入れることで、より実践的な効果が期待できます。継続的な教育の実施により、企業文化として情報セキュリティを根付かせることが、情報漏洩を防止するポイントです。

堅牢な情報システムの運用

堅牢な情報システムの運用は、技術的側面から個人情報を保護するための重要な対策です。まずはファイアウォールや侵入検知システム、ウイルス対策ソフトの導入など、基本的なセキュリティ対策を徹底しましょう。

また、アクセス制御システムにより、個人情報にアクセスできる人員を最小限に限定し、役職や業務内容に応じた権限を設定する必要があります。また、データの暗号化も重要な要素であり、データをやりとりする際に強固な暗号化を実施することで、万が一のデータ流出時にも情報の悪用を防げます。

加えて、ログ監視システムにより、不正アクセスや異常な操作を早期に検出し、迅速な対応を可能にすることも大切です。これらの技術的対策を組み合わせることで、多層防御による強固なセキュリティ体制を構築できます。

情報漏洩対策なら【Watchy】の活用がおすすめ

情報漏洩のリスクを包括的に管理するには、社内外の脅威を監視できるサービスの導入も有効です。例えば、「Watchy」はログ管理やアクセス監視をはじめとした幅広い機能を備えており、外部攻撃の兆候検知から内部不正の早期発見、人的ミスの追跡まで強力にサポートします。

社内のセキュリティ体制を強化できるだけではなく、万一の事案発生時にも、迅速な対応が可能になります。この機会にぜひ、導入をご検討ください。USBドライブの利用を制限するとともに、不正なデータの持ち出しを防ぐ機能も実装しているため、内部不正の防止にもつながります。

USBドライブ監視の機能紹介 - Watchy（ウォッチー）