情報漏洩は、発生すると甚大な被害を起こします。情報漏洩がおこってしまうと、個人情報を悪質に利用する犯罪者の手に渡ってしまう可能性があります。また、情報漏洩をしてしまった企業も大きな損失を被ります。そのため、情報漏洩に対処することは、企業にとって必須の課題です。
今回は、2023年最新の情報漏洩被害事例を紹介した上で、対処法も解説します。企業の経営者やセキュリティに関わる部署の方は、ぜひ参考にしてください。

情報漏洩とは

情報漏洩とは、企業が管理している個人情報や営業上の機密情報が流出してしまうことです。情報漏洩が発生してしまうと、詐欺師などの悪意ある人物によって使用されてしまう可能性が高まります。情報漏洩を起こした企業側も、損害賠償の支払いや信用の喪失などの被害も被ります。

個人情報とは

「個人情報」とは、個人情報保護法によると生存している個人に関する情報です。具体的には、「氏名」「生年月日・年齢」「住所」「顔写真」「電話番号」などで特定個人に関する情報のことです。この他にも、個人を識別できる「個人識別符号」も個人情報です。具体的には、「パスポート番号」「基礎年金番号」「運転免許証番号」「マイナンバー」「健康保険番号」なども個人情報として扱われます。

個人情報漏洩被害事例5選（2023年6月更新）

個人情報の漏洩被害を受けている機関や会社は、今現在でも増加しています。2023年6月現在でもその政府機関や中小企業、大企業までが被害にあっています。ここからは、個人情報漏洩被害にあった事例を5つ紹介します。

国土交通省九州地方整備局での情報流出

九州地方整備局が管理している溶岩ドーム情報配信システムから、登録者96名の個人情報が漏洩したことを2023年5月28日に発表しました。国土交通省が公表しましたが、公表時には情報漏洩の原因が明らかにされていませんでした。整備局員や自治体職員の個人情報や、整備局に関連していたコンサル会社への登録者の情報が流出した可能性があります。漏洩した情報を不正利用された情報は確認されていませんが、知らぬ間に個人情報が悪用されている可能性もあります。

株式会社電通国際情報サービスの個人情報流出

株式会社電通国際情報サービスの個人情報が流出したことを、2023年6月6日に同社が報告しました。(株)電通国際情報サービスによると、同社とグループ企業が運営しているリモートアクセス機器から不正アクセスを受けました。被害を受けたサーバーには、グループ会社だけではなく協力会社のアカウント情報、取引先のメールアドレスなどが流出した可能性があります。

東京都杉並区が委託した学童クラブ利用者の情報流出

社会福祉法人によって運営されているサーバーが、ランサムウェアに感染してしまい、東京都杉並区が委託している学童クラブで情報流出の可能性が発生しました。杉並区は、情報漏洩に関して2023年6月7日に公表しています。サーバー内のファイルにアクセスできない状況があり、学童クラブを利用している児童や家族の個人情報が流出した可能性があることを報告しています。

トヨタコネクテッド株式会社で顧客情報が閲覧された可能性

トヨタネクテッド株式会社は、2023年5月12日に会社内で管理していた顧客情報が閲覧された可能性があることを発表しました。個人情報の流出原因は、クラウド環境の設定を誤ったためとしています。人為的なミスにより、個人情報が一般的に公開されてしまいました。一時的に公開されてしまっている間に、社外の人が情報を閲覧していないか調査しています。

株式会社NTTdocomoが業務委託している企業から個人情報が流出

株式会社NTTdocomoは、「ぷらら」や「ひかりTV」などに関する業務を委託しています。2023年3月30日に委託企業が使用している末端のパソコンから、顧客の個人情報が流出した可能性があると発表しています。流出の原因となったパソコン端末は、隔離して流出原因の究明をおこなっています。

個人情報漏洩の主な原因とは

個人情報の漏洩の主な原因は、「紛失・置忘れ」「誤操作・管理ミス」「不正アクセス」です。外部からの不正アクセスだけではなく、人為的なミスによる情報漏洩が主な原因として挙げられます。ここからは、個人情報漏洩の主な原因を詳しく解説していきます。

紛失・置忘れ

個人情報漏洩の主な原因として、USBメモリなどのような保存用の機器の紛失や置忘れが挙げられます。個人情報が保存されている記憶装置を紛失してしまうと、情報漏洩の可能性が発生します。人為的なミスによって、情報漏洩が起こる場合もあるので従業員には注意喚起が必要です。

誤操作・管理ミス

誤操作や管理ミスも情報漏洩が発生する主な原因の一つです。企業内で働いている従業員が、個人情報や機密情報にアクセスした際に誤操作をおこなうことで情報漏洩してしまいます。人為的なミスによる情報漏洩なので、企業側は情報にアクセスできるアカウントの制限が必要です。

不正アクセス

不正アクセスも情報漏洩が発生する原因の一つです。企業のコンピューターシステムの弱点を悪意のあるハッカーによって攻撃されて、内部の保存データにアクセスされてしまいます。不正アクセスを防ぐためには、企業のコンピューターシステムのセキュリティを向上させる必要があります。

情報漏洩が起こった際の企業が受ける被害

情報漏洩が起こった際に企業が受ける被害は甚大です。情報漏洩被害は、企業の運営に関わる広い範囲に影響を及ぼします。主な被害は以下の通りです。

• 損害賠償の支払い発生
• 社会的信用が無くなる
• 業務効率が低下する

損害賠償の支払いが発生する

情報漏洩を起こしてしまった企業は、損害賠償を請求されて支払い義務が発生します。企業に対する罰則は、「刑事上の罰則」と「民事上の罰則」の2種類が課せられます。刑事罰は、企業の役員や個人情報を扱った従業員に課せられます。さらに、民事上の損害賠償責任が発生して、被害を受けた個人一人ひとりに対して賠償金を支払わなければいけません。被害者が多ければ多いほど、損害賠償金額は増加します。

社会的信用が無くなる

情報漏洩をしてしまった企業は、社会的な信用が低下してしまいます。信用の低下は、これまで企業が上げていた利益や売り上げを低下させることにつながります。また、信用の低下は投資家や市場にも影響があり、一部上場企業であれば株価の下落も引き起こします。キャッシュフローが滞るため、企業を運営していくことさえも難しくなります。

業務の効率が低下する

情報漏洩を起こした企業は、業務の効率が低下してしまうことも被害の一つです。情報漏洩してしまった企業は、各機関への報告やメディアへの対応をしなければいけません。また、会社の受付には情報が漏洩してしまった個人からの問い合わせや、顧客への対応に手を取られてしまいます。イレギュラーな業務に時間を割かなければいけないので、通常業務に支障が出ます。

情報漏洩が起こった際の対処の手順

情報漏洩が起こってしまった際には、きちんとした手順を踏んで対応しなければいけません。対応を誤ってしまうと、被害をさらに広げてしまうことになります。情報漏洩が起こってしまった際の対処の手順は以下の通りです。

1. 情報漏洩の問題への対策をする部門を迅速に創設
2. 情報漏洩が発生した原因調査と被害状況を確認
3. 情報漏洩が発生したことを公表
4. 個人情報保護委員会への報告
5. 被害を最小限に抑える対応
6. 二次被害への対策
7. 被害報告書類を作成して各機関に提出

情報漏洩を引き起こさないための対策

情報漏洩が起こってしまうと、企業が受ける損害は甚大です。情報漏洩を起こさないためにもきちんとした対策をしておかなければいけません。ここからは、情報漏洩を引き起こさないための対策を解説します。

社内ルールの策定

個人情報や会社の機密情報の取扱いに関する社内ルールを策定することは、情報漏洩を引き起こさないための必須対策です。会社内で保存している個人情報や機密情報への取り扱いが可能な人材の選定、そして、個人情報にアクセスする場合の管理を徹底しておこなうことも必要です。個人情報を扱う場合は、情報漏洩のリスクを完全になくさなければいけません。

従業員への教育とルール遵守の徹底

情報漏洩を引き起こさないための対策として、会社内で働いている従業員への教育と策定したルール遵守を徹底させることも必須です。情報漏洩が発生する原因として挙げられているのは、人為的なミスが多いのが現実です。情報を取り扱う際には細心の注意をしなければいけないことを、従業員に再教育して注意喚起をしなければいけません。情報漏洩の危険性を認識させて、策定したルールを徹底して守ってもらうようにしてください。

セキュリティの強化

情報漏洩を防ぐための対策として、システムのセキュリティを強化することも挙げられます。情報漏洩は、悪意のあるハッカーなどによる不正なアクセスによる場合も多いです。個人情報や機密情報を保存している企業にとって、不正アクセスへの対策は必須です。不正アクセスの手口は、古い方法から新しい方法までさまざまです。すべての不正アクセスに対応するためには、システムが新しいセキュリティツールを導入すべきです。

情報漏洩検知ツールの導入

情報漏洩検知ツールを導入することも、対策の一つです。情報漏洩が発生してしまった際には、すぐに対応をしなければいけません。そのため、情報漏洩の発生を素早く検知することが求められます。SMS DataTechが抵抗する「ダークウェブアイ」は導入することで、アカウント情報の漏洩を検知し、情報漏洩が発生してしまった場合でも、迅速に対応することが可能です。情報漏洩の被害を最小限に抑えられます。

まとめ

企業が情報漏洩を起こしてしまうと、個人情報を悪用されるリスクが高まります。情報漏洩は損害賠償の支払い義務が発生するだけではなく、企業側の信頼度を低下させます。結果的に、企業の利益が著しく下がってしまいます。情報漏洩の被害を出さないためには、従業員の教育だけではなく、企業内のシステムを再度点検してセキュリティを強化することが必要です。
情報漏洩への対応を強化したい方、また「ダークウェブアイ」に興味のある方は、SMS DataTechにご連絡ください。