個人情報流出とは、企業や組織などが収集した個人情報が外部に流出することです。顧客の情報だけではなく、職員の情報も当てはまります。
その原因は、フィッシングやサイバー攻撃などのように悪意のある第三者によるものや、自分たちのミスによるものなどさまざまです。
この記事では、個人情報流出にまつわる下記の内容を解説します。
- 個人情報が流出したらどうなるか
- 個人情報が流出した場合の対応方法
- 個人情報が流出する原因と対策
なお、情報漏洩の定義や企業が取るべき対策については、次の記事でも詳しく解説していますのでご参照ください。
\不正発覚した時に企業としてどう対応しますか?/ 
目次
個人情報が流出した場合どうなる?4つの視点で徹底解説
個人情報が流出した場合、どうなるのでしょうか。その疑問を解消すべく、下記4つの視点から解説します。
- 流出した個人情報の使われ方
- 個人情報が流出した場合に企業が受ける法的措置・罰則
- 個人情報流出が企業に与える主なダメージ
- 事例でみる「個人情報流出の被害規模」
場合によっては数億円以上の損失が生まれるおそれがあり、企業の存続が危ぶまれるケースもあります。
どのような被害が出るのかしっかり理解して対策を考えましょう。
1. 流出した個人情報の使われ方
流出した個人情報は、下記のように利用されるリスクがあります。
- 流出した情報を使いアカウントにログイン→さらなる情報を盗む
- アカウントの乗っ取り、なりすまし
- クレジットや金融機関でお金を奪う
- 特殊詐欺・悪徳商法・ストーカー・脅しのターゲットにする
- ダークウェブ(闇のEC)で取引される
悪用者は、流出した情報を使ってアカウントにログインし、氏名・住所・電話番号・クレジットカード情報などを盗む場合があります。
また、アカウントを乗っ取って本人になりすましたり、クレジットカードを使ったり、金融機関からお金を奪ったりなどの被害も起こり得ます。
ほかにも、いわゆるオレオレ詐欺のような特殊詐欺や悪徳商法、ストーカーや脅しのターゲットにされるリスクもあるのです。
そして、流出した情報はダークウェブという闇のECで取引される場合があります。
ダークウェブとは、専用ブラウザを使った特殊な経路からでないとアクセスできない、違法商品のマーケットです。
下記の記事では、ダークウェブの仕組みや犯罪事例を解説していますので、さらに詳しく知りたい方はご覧ください。
2. 個人情報が流出した場合に企業が受ける法的措置・罰則
個人情報が流出してしまうと、企業も個人情報保護法に基づいた罰金や懲役刑を受けるおそれがあります。
事業者様は「個人情報取扱事業者」として、個人情報保護法を守らなくてはなりません。
個人情報保護法違反の場合、罰金は最大1億円です。
また、個人情報提供者への金銭的賠償が必要になるケースもあります。
NPO法人日本ネットワークセキュリティ協会によると、1人あたりの平均想定賠償額は28,303円です。
加えて、訴訟に発展した場合は訴訟にかかるコストも必要です。
また、管理を委託された個人情報が流出した場合、各種対応に関する費用も請求される場合があります。
中小企業であっても、億単位の損害賠償が請求されるおそれがあることを理解しておきましょう。
また、情報漏洩が起こってしまった際の炎上や風評被害に備えて以下から資料をぜひダウンロードしてください!
3. 個人情報流出が企業に与える主なダメージ
個人情報流出が企業に与える主なダメージは、次のとおりです。
- 株価の下落
- 社会的信用の低下
- 売上・利益の低下
- クレーム対応発生(コア業務ができなくなる)
- 顧客・ユーザー離れ
上場している企業であれば、株価が下落して資金繰りに悪影響が出るおそれがあります。
また、社会的信用が低下することで、BtoB企業であれば契約を切られたり、BtoC企業であれば顧客が離れていくリスクも潜んでいます。
そうなれば、企業の売上・利益低下は避けられません。
そして、従業員がクレーム対応に追われ、一時的にコア業務ができなくなります。
個人情報流出時の状態やダメージの大きさによっては、企業の存続が危ぶまれることもあります。
4. 事例でみる「個人情報流出の被害規模」
では、実際に過去の事例ではどれくらいの被害が出ているのでしょうか。
下記の表は、過去に発生した主な被害事例の内容をまとめたものです。
| 企業名 | 事例の内容 |
|---|---|
| 株式会社SODA | 同社が運営するフリマアプリにて、外部からの不正アクセスが発生。約275万件の顧客情報が流出 |
| トヨタ自動車株式会社(実際にデータの管理をしていたのは「トヨタコネクティッド株式会社」というトヨタの関連企業) | 同社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像、車載端末ID、車台番号、車両の位置情報、時刻など、215万人分が流出したおそれ |
| 株式会社矢野経済研究所 | 同社サイトのサーバーに不正アクセスが発生。会員のメールアドレスと暗号化されたログインパスワードが最大101,988件漏えいしたおそれ |
| JR東日本 | JR東日本が提供するネット予約サービス「えきねっと」において、3,729人のアカウントに不正ログインが発生。氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部(カード番号の下4桁、有効期限、ブランド名)、連携している交通系ICカードの番号などが閲覧されたおそれ |
このように大手企業も被害を受けており、なかには数百万件規模の顧客情報が流出した事例もありました。
個人情報流出は、自社の従業員による人的ミスだけではなく、悪用者からの不正アクセスが原因で発生することもあるため、各企業には専門的な対策が求められます。
詳細は後ほど「個人情報流出を防ぐ主な対策」で解説しますので、参考にしてください。
また、下記の記事では2021年以降に発生したすべての被害事例をまとめているので、さらに事例を知りたい方はご覧ください。
なお、東京商工リサーチによると、2022年に上場企業とその子会社で個人情報の漏えい、紛失事故を公表した社数・事故件数は、2012年の調査開始以降、過去最多となりました。
2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、事故件数は165件、漏えいした個人情報は592万7,057人分(前年比3.0%増)だった。
※引用:東京商工リサーチ
個人情報を取り扱う企業においては、万が一漏洩させてしまった場合のために「個人情報漏洩保険」に加入するのも1つの手段です。
個人情報漏洩保険の主な補償内容は、次の4つです。
- 初期対応のサポート費用
- 事故原因の調査や見舞金などの費用
- 賠償金や訴訟による費用
- 再発防止を防ぐための費用
下記の記事では、個人情報漏洩保険で補償される費用の内容やおすすめの保険5選を紹介していますのでご覧ください。
個人情報が流出した場合の主な3つの対応方法
個人情報が流出した場合に取るべき対応を3つ紹介します。
- 原因の特定と調査
- 対外的対応(報告・通知・公表)
- 復旧と再発防止
被害を大きくしないためにも、これらの対応を落ち着いて行うことが大切です。
【対応1】原因の特定と調査
個人情報の流出が判明した場合、もしくは流出したおそれがある場合、まずは二次被害を防がなければなりません。
ネットワークを遮断し、被害を受けたサービスの停止、情報の隔離を行いましょう。
そのうえで、原因の特定・被害の全貌の調査を急ぎます。
【対応2】対外的対応(報告・通知・公表)
続いて、顧客や関係機関からの信頼低下を最小限にするためにも、下記のような対外的な対応を行いましょう。
- 取引先や流出したおそれのある方に、メール・DM・CMなどで連絡
- お詫びの言葉
- パスワードやIDなどの変更をすすめるメッセージ
- 問い合わせと苦情対応
- 個人情報保護委員会に報告、警察に通報
場合によっては、賠償金の支払いが必要になるケースもあります。
また、2022年に法改正がおこなわれ、情報漏洩が発生した場合やそのおそれがある場合の「個人情報保護委員会」への報告が義務化されました。
個人情報保護委員会に報告する方法は、次の記事で詳しく解説していますので参考にしてください。
【対応3】復旧と再発防止
最後に、システムの復旧や再発防止策の策定・実施を行います。
下記のような対策を検討しましょう。
| 被害のパターン | 対策 |
|---|---|
| 不正アクセスやウィルスなど悪意のある第三者によって引き起こされたパターン |
|
| 人為的なミスにより引き起こされたパターン |
|
従業員のミスや不正の場合は、懲戒免職や降格などの処分を下さなければならないケースもあります。
個人情報流出が起こってしまった際の炎上や風評被害に備えて以下から資料をぜひダウンロードしてください。
個人情報流出後の対応は下記の記事で網羅的に解説しているので、セキュリティ担当の方はぜひご一読ください。
個人情報が流出する主な原因
個人情報流出を防ぐ対策をするためには、よくある原因を把握することが大切です。
下記の表は、個人情報が流出する主な原因とその具体例をまとめたものです。
| 主な原因 | 具体例 |
| セキュリティ対策が不十分 |
|
| 人的ミスの発生 |
|
| 内部不正の発生 |
|
たとえば、セキュリティ対策が不十分だとマルウェアに感染するおそれがあります。
マルウェアとは、悪意のある不正なプログラムを総称した言葉で、感染すると情報が流出する場合もあるので注意が必要です。
また、従業員や取引先の内部不正で個人情報が流出することもあります。たとえば、下記のようなケースです。
- 退職時に重要技術情報を持ち出して転職先で使用する
- 機密情報を競合企業へ売る
- 意図しない誤操作で個人情報を漏らす
内部不正が起きる要因や代表的な対策について詳しく知りたい方は、次の記事をチェックしてみてください。
なお、東京商工リサーチでは、上場企業とその子会社で発生した個人情報の漏えい・紛失事故のうち、原因別で多いものはなにか調査した結果を公表しています。
同調査での「原因別ランキングTOP4」は、次のとおりです。
- 1位:ウイルス感染・不正アクセス
- 2位:誤表示・誤送信
- 3位:紛失・誤廃棄
- 4位:盗難
この結果からもわかるように、個人情報漏えいや紛失事故は、外部からの攻撃だけではなく企業関係者の不注意が原因となるケースも少なくありません。
個人情報が流出する原因の詳しい解説を知りたい方は、下記の記事をご一読ください。
個人情報流出を防ぐ主な対策
個人情報流出を防ぐ対策は、従業員が個別に実施できるものから企業全体で取り組むべきものまで多岐にわたります。
下記の表は、個人情報流出を防ぐ主な対策と具体例をまとめたものです。
| 主な対策 | 具体例 |
| セキュリティの強化 |
|
| 従業員への教育 (体制の強化) |
|
この表をご覧いただくとわかるように、セキュリティ対策といっても専門的な知識が必要なものばかりではありません。
少しの手間と工夫で出来ることもあるので、ぜひ無理なく始められるものから取り組んでみてください。
個人情報流出を防ぐ対策について、詳細は下記の記事で解説しています。ここまで読んで、個人情報流出対策を実施したいと感じた方は、ぜひご一読ください。
個人情報流出を防ぐために不正アクセス検知システムを導入しよう
社内ネットワークのIDやパスワードを知られた場合、外部から不正ログインされてしまうおそれがあります。
不正ログインされてしまうと、顧客や従業員の個人情報を抜き取られるリスクがあるため注意しなければなりません。
このような個人情報流出を防ぐためには、不正アクセス検知システムの活用が効果的です。
たとえば、かっこ株式会社の「O-MOTION」は、独自のデバイス情報や操作情報をもとに不正のおそれがあるアクセスをリアルタイムに検知します。
不正疑いのあるユーザーを検知した際は、「2要素認証」「アクセス遮断」を組み合わせて不正なアクセスを防止することが可能です。
「O-MOTION」を導入すると、フィッシングサイトで個人情報が流出してしまった場合も被害を最小限に抑えられます。
トライアルキャンペーンも実施中の「O-MOTION」について、詳しくは以下のバナーをクリックのうえご確認ください!
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
まとめ:個人情報流出から自社を守ろう
個人情報が流出すると、株価や社会的信用・売上などが低下し、さらに数億円以上の被害が出るおそれがあります。
万が一、個人情報が流出した場合は下記3つの対応を行いましょう。
- 原因の特定と調査
- 対外的対応(報告・通知・公表)
- 復旧と再発防止
原因がわかったら、以後同じことが起こらないように再発防止策を講じることが大切です。
再発防止策の一つに「情報セキュリティ教育の強化」があり、情報セキュリティに対する意識を従業員の一人一人に啓発することが求められます。
当サイトでは、インターネットセキュリティを基礎から学びたい方に向けて、漫画形式で解説した資料を無料配布しています。
企業や組織の情報セキュリティ対策を強化したい方は、以下のバナーをクリックのうえお気軽にダウンロードしてください。
\不正発覚した時に企業としてどう対応しますか?/
