メニュー

個人情報流出を徹底解説〜影響・原因・事例・対応・対策〜

メールセキュリティのCipherCraft/Mail > メールセキュリティのコラム > 個人情報流出を徹底解説〜影響・原因・事例・対応・対策〜

近年、官公庁や企業による個人情報流出は、年々増加し、その被害者数も増大しています。

日本ネットワークセキュリティ協会が公表した2019年6月10日発表の「情報セキュリティインシデントに関する調査報告書 」によると、漏洩件数は443件で漏えいした人数は561万3,797人で、漏えいした人数を見ると前年よりも約42万人増加しています。
出典:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)

インターネットが普及し、テレワークも増加している現在、企業内のパソコンだけでなく、社外へのパソコン持ち出し・スマートフォンやタブレットからのアクセスなど、自宅やカフェから場所を選ばず重要な情報を閲覧することができます。

しかし、個人情報流出を起こしてしまった場合、企業としての責任を追求される事態となります。

パソコン

これからも個人情報の管理がますます厳しく問われる時代になっていくと言えるでしょう。

この記事では、個人情報を取り扱う企業の担当者向けに、個人情報流出の影響や原因、また事例や対応と対策を徹底解説していきます。

個人情報流出が企業経営に与える影響

デスクトップパソコン

個人情報流出によって企業経営に与える影響は大きく3つあります。

  • ・損害賠償
  • ・社会的信用の低下
  • ・対策費用

それぞれ一つずつ解説していきます。

損害賠償

個人情報流出が起こると顧客から損害賠償を請求される可能性があります。

日本ネットワークセキュリティ協会の「2018年 情報セキュリティインシデントに関する調査報告書」によると、漏えい事故1件あたりの平均想定損害賠償額は6億3,767万円と出ています。

また、企業が自主的に「お詫び」を配る場合があります。

この場合、金額は1件あたり500円〜1,000円が相場となっていますが、件数が多ければその総額も膨大になります。

1件の個人情報流出時件が企業に与える損害の大きさ甚大であり、その規模によっては企業が倒産に追い込まれる危険性もあります。

社会的信用の低下

個人情報の流出が起きると損害賠償が発生するだけでなく、顧客や取引先からの社会的信用を低下させてしまうことになります。

社会的信用が落ちたり、評判が悪化したりすることで、顧客や取引先が離れていくこともあります。

さらに新規で営業をすることも自粛しなければならないという状況になると、本来見込めた売上まで失い、収益がさらに低下することになります。

社会的信用が低下することは、企業活動に大きなダメージを与えてしまうと言えるでしょう。

対策費用

個人情報流出を起こすと、損害賠償や売上の低下だけではなく、事故に対応するための費用が必要になります。

例えば、謝罪広告の掲載にかかる広報費用、事故原因を調査するための費用、事故対応にあたるための人件費や出張費、また被害者に対して謝罪のために支払うお詫びのお金やお詫び品のための費用などが発生します。

これらの問題を収束させるための費用に加えて、再発防止策の実施や採用コストの増加など、問題収束後も引き続き費用が増えてしまう可能性もあります。

個人情報流出の原因

タイピング

次に、個人情報流出の原因について解説していきます。

個人情報流出の代表的な原因となるのは以下の3つです。

  • ・マルウェアによる流出
  • ・不正アクセス
  • ・人為的なミス・誤送信

ここでは一つずつ解説していきます。

マルウェアによる流出

個人情報流出の原因の1つ目は、マルウェアによる流出です。

マルウェアとは、他のソフトにウィルスが寄生し感染したパソコンに誤動作やネットワークに害を与えるものです。

マルウェアの主な感染経路としては、Webサイト閲覧、メールの添付ファイル、USBメモリーがあります。

感染することでパソコンの動作が重くなったり、突然データが消えてしまったり、さらに、銀行口座など重要な個人情報などが漏れる可能性が高まります。

不正アクセス

個人情報流出の原因の2つ目は不正アクセスによる流出です。

「情報セキュリティインシデントに関する調査報告書」によると、近年増加している個人情報流出の原因が不正アクセスです。

不正アクセスの代表的なものとして、フィッシングとスキミングがります。

フィッシングとは企業のサイトに登録したユーザーからユーザー名、パスワード、クレジットカード情報を盗みとることです。

スキミングとは、クレジットカードの磁気部分などにある個人情報をリーダーで読み取り情報を複製することを言います。

不正アクセスによる個人情報流出は、第三者が悪意をもって行っているため大きな被害の原因になりやすいと言えます。

人為的なミス・誤送信

個人情報流出の原因の3つ目は人為的なミス・誤送信です。

従業員による「管理ミス・誤操作・紛失」は実は、個人情報流出の3大原因とも言え、最も多い人為的ミスはメールやファックスなどの「誤送信」で、全体の約58%を占めています。

他にも、持ち出した先で書類やUSB、スマートフォンを紛失してしまったり、社外で不用意にパソコン画面を広げたままにして盗み見られたりといったことも人為的ミスの原因になります。

また、他部署の従業員が無断で人事情報を持ち出したり、委託先の従業員が自宅で作業をするため個人情報を持ち出したりと、従業員であれば誰でも容易に個人情報にアクセスできる状況だと人為的なミスでの個人情報流出も起こりやすくなります。

個人情報流出の過去事例・ニュース

タイピング

これまでにも、個人情報流出を起こし世間の知るところとなった企業がいくつかあります。

ここでは3つの企業と官公庁・病院の個人情報流出の過去事例を見ていきます。

企業の事例

まずは、企業の事例についていくつかご紹介をしていきます。

大手小売企業

2019年、大手小売企業A社のWebサイトで不正ログインが発生し、46万件以上の顧客アカウント情報に対する被害を発表しています。

原因は「リスト型攻撃(リスト型アカウントハッキング)」で、別のルートでログインID(主にメールアドレス)とパスワードを利用してハッカーが様々なサービスに攻撃をするもので、ユーザーがIDやパスワードを使い回すことでこのような被害につながったと言えます。

大手IT企業

2017年、大手IT企業B社で一部の個人情報が他者から閲覧できる状態になっていたことを公表しました。

被害規模は54,000名以上と発表されています。

CDNの切替作業という人為的なミスで、ユーザーがアクセスをしてサーバが応答をする途中に、別のユーザーから同じURLに対してリクエストがあった場合、応答がまとめられ、最初の顧客の情報がふくまれたコンテンツが別の顧客へ配信される事態が起きました。

本来、ユーザーごとに異なる内容が表示されるはずが、別のユーザーと同一の内容が表示され、これによりユーザーの個人情報本人以外に表示されてしまった、という事故です。

大手教育系企業

2014年、大手教育系企業C社で、業務委託先の従業者の個人情報持ち出しによる漏洩を公表しまし、被害件数は3,500万件以上にのぼりました。

C社はグループ企業に個人情報管理を委託していましたが、システム保守の部分に関しては別業者へ再委託されており、管理業務に携わるのが再委託先の従業員となっていました。

当時、再委託先の派遣社員であった男性が、貸与PCから自分のスマートフォンへデータの移行をし、約20回の持ち出し・名簿業者への売却をしたことで大規模な個人情報流出が発生しました。

学校・公的機関

教育ネットワーク情報セキュリティ推進委員会の発表(※2)によると、2018年度の学校・公的機関における個人情報流出事故は198件で、被害人数は57,628人にのぼります。

事故の主な原因は人為的なミスが多く、例えば学校の事例などでは、校内においては紛失・置き忘れ・誤配布・誤送信・不正アクセス、校外においては、車上荒らし・置き引き・ひったくりなどがあります。

特に「紛失」「置き忘れ」が最も多く、書類やUSBの持ち出しによって起こっています。

他にも、個人情報を不適切に扱ったことで、学校や官公庁では、懲戒処分となった事例もあります。

※2 (参照)ISEN 平成30年度 学校・教育機関における 個人情報漏えい事故の発生状況 https://school-security.jp/pdf/2018.pdf

医療施設

医療機関でも個人情報の流出は発生します。

2019年、海外に出張中の医師が3,000人以上の患者情報の入ったパソコンをひったくられるという事件がありました。

医療施設ではホームページ上に事実を公開、お詫びをした上で、対象となる患者には文章を送って直接お詫びをしています。

この医療施設では、医師が私用のパソコンに個人情報を含んだデータを保存し持ち出すことを禁止しているにも関わらず、規定を守らなかったことにより起こった事故です。

個人情報流出が起きた場合の対応方法

パソコンをタイピングする様子

次に、個人情報流出が起きた場合の対応方法について解説していきます。

個人情報流出が起きた場合、次のような対応が必要です。

  • ・お詫び
  • ・二次被害の防止
  • ・状況整理
  • ・公表・発表
  • ・恒久対応

それでは、それぞれの対応方法をご紹介します。

お詫び

一つ目は、お詫びです。

個人情報流出が起こると、流出した個人は第三者に悪用されるリスクを負ってしまいます。

お詫びは迅速に行い、直接メールや手紙を送ったり、直接訪問したり電話など、状況や被害に応じて行います。

個人情報流出に関する内容や期間、理由、何の情報が流出したかなど、できる限り丁寧に説明する必要があります。

その上で、企業として再発を絶対に許さないという姿勢や管理の徹底化を図るための対策をしていくことをユーザーに伝える必要があります。

時間の経過とともに、被害者に対する損害補償をどのように行うか、など必要な措置を検討する必要もあります。

流出した個人情報を完全に回収することは難しいですが、問い合わせ窓口の設置などにより被害が発生した場合にすぐに察知し対応できるようにし、被害者に対して企業として一貫した正しい情報を伝えていく必要があります。

二次被害の防止

二つ目は、二次被害の防止です。

個人情報流出が起こった場合、被害を最小限に食い止めることが最も重要であり、そのための応急処置を取る必要があります。

E-Mail・文書の誤送信・誤送付の場合は、直ちに誤送付先へ連絡し、削除を依頼します。

紛失・盗難の場合、警察等への届出や可能性のある場所を捜索し早期に見つけ出すことも重要です。

不正アクセスなどインターネット上での個人情報流出では、情報が外部からアクセスできる状態にある場合、被害が広がる可能性があるためアクセスを遮断する措置をとり、漏えい内容の把握と防止策を実施する必要があります。

また、流出した個人情報が第三者に渡り、その流出先で利用されていることを確認した場合、使用停止を申し入れ、早期に回収します。

他にも、漏えいした個人情報がSNSや掲示版等に掲載されている場合、その運営者に削除依頼をする必要があります。

これらの措置には、警察や弁護士等との協力が必要な場合もあります。

状況整理

3つ目は状況整理です。

社内に個人情報流出が起こった可能性を伝え、該当する従業員から情報提供を受けます。

調査は、適切な対応についての判断を行うために、いつ、どこで、誰が、 何を、なぜ、どうしたのか、という観点で行い、情報を整理します。

その上で個人情報が通常どのように管理、利用されているかを把握することで、本来必要な手順と個人情報流出が起こった当時も適正な扱いができていたか、を確認することができます。

公表・発表

4つ目は公表・発表です。

ホームページ上に文書を掲載し、記者会見などメディアを通して伝える場を設定する場合もあります。

プライバシーマークを保有する企業であれば、事故報告書の提出をしなければなりません。

紛失・盗難のほか不正アクセス、内部犯行、脅迫等不正な 金銭の要求など犯罪性がある場合 、警察へ届出る必要があります。

個人情報の取り扱いが重要視される中で、個人情報を流出は、社会的な説明が求められる事故だといえます。

恒久対応

5つ目は恒久対応です。

個人情報流出の経緯や原因を徹底追及した上で、再発防止策を検討・実施します。

発生した原因が人為的なミスであれば同じミスがおきない業務フローに変え、悪意ある第三者が盗み取った場合であれば同じ方法でアクセスできないようにセキュリティを再強化する必要があります。

個人情報の流出は、全社的な影響が大きい事故であり、再発しないための強固な仕組みづくりをしなければ、顧客やユーザーから改めて信頼されるのは難しいでしょう。

個人情報流出の対策

最後に、個人情報流出を未然に防ぐための対策について解説していきます。

個人情報流出の主な対策は以下の3つです。

  • ・情報漏洩に対する社内教育
  • ・社内ルールの策定
  • ・システムによる対応

それぞれ一つずつ解説していきます。

情報漏洩に対する社内教育

1つ目は情報漏洩に対する社内教育です。

個人情報の取り扱い方法が従業員に浸透していないと、個人情報流出を引き起こす可能性が高まり、企業に大きな損害を与えてしまいかねません。

個人情報の取り扱いについて、社内で定期的に教育・研修行い、従業員の意識を向上させるよう工夫する必要があります。

定期的に行う事で、個人情報の重要性への意識を高めることにつながります。

個人情報流出は決して他人事ではなく、自分自身のちょっとしたモラルの低い行動が起こしてしまう可能性も十分にあるということを社内教育の場を通して意識づけしましょう。

社内ルールの策定

2つ目は社内ルールの策定です。

個人情報保護法の改正により、個人情報を取り扱う全ての人が個人情報保護法に従う義務が発生しました。

あらゆる社員の個人情報流出を防ぐためには社内に個人情報を取り扱う際のルールをしっかり定めておく必要があります。

また、そのルールが社員に周知されていることが重要です。

  • ・個人情報をどこでどのように保管するか
  • ・誰が管理し、使う場合どのような目的で・方法で使うのか
  • ・個人情報を破棄する場合どのような手順で行うのか
  • ・何らかの事故、または事故につながりそうな事態が発生した場合どう対応するか
    こういった細かいシチュエーションに分けて、個人情報の取り扱いに関する社内ルールを策定し運用することが重要です。

システムによる対応

3つ目はシステムによる対応です。

最近では、新型コロナウィルス拡大の影響から、テレワークの普及によりパソコンを会社の外に持ち出す機会が増え、盗難などに遭遇する確率も高くなっています。

そのような状況下で、個人情報流出事故をシステムで防ぐ方法として、例えば、シンクライアントは有効だと言えるでしょう。

シンクライアントとは、端末のハードディスクにデータを残さない仕組みで、端末自体の盗難があったとしても個人情報流出を防ぐことができる手段となります。

また、人為的ミスの中で最も多いメールの誤送信に対しては、運用ルールによる対策だけではなく、誤送信対策システムの導入もおすすめです。

誤送信対策システムの機能としては、送信時の宛先確認、送信メールの一時保留、添付ファイルの自動暗号化、その他上長やリーダーによる承認を得るといったものがあります。

ルールだけの管理で個人情報流出の危険を防ぐことができない場合は、システムを導入することをおすすめします。

まとめ

パソコン

本記事では、個人情報流出を影響・原因・事例・対応・対策に分類し徹底解説してきました。

個人情報流出は、常に進化する不正アクセスによるもの、また、人が個人情報に関わる上で避けられないヒューマンエラーによって起こります。

個人情報流出が企業に与える影響は大きく、損害賠償の支払い、社会的信用の低下などこれまで築いてきた信頼関係を壊すことにつながります。

現在、新型コロナウィルスの影響で、これまでの働き方とは大きく変わりテレワークを採用する企業も増えています。

新しい時代の中で、今までとは違う働き方になった今、個人情報流出を防ぐため、働き方に合わせた施策の検討も進めていきましょう。

次の記事へ

  • メール誤送信防止自動暗号化
  • メール誤送信防止お問い合わせ

トライアルはこちらから

メール誤送信防止対策
トライアルお申込み
標的型メール対策
トライアルお申込み