不正検知・ノウハウ

個人情報が流出するとどうなる?被害事例や罰則・対応方法などを解説

個人情報流出とは、企業や組織などが収集した個人情報が外部に流出することです。顧客の情報だけではなく、職員の情報も当てはまります。

その原因は、フィッシングやサイバー攻撃などのように悪意のある第三者によるものや、自分たちのミスによるものなどさまざまです。

この記事では、個人情報流出にまつわる下記の内容を解説します。

  • 個人情報が流出したらどうなるか
  • 個人情報が流出した場合の対応方法
  • 個人情報が流出する原因と対策

なお、情報漏洩の定義や企業が取るべき対策については、次の記事でも詳しく解説していますのでご参照ください。


\不正発覚した時に企業としてどう対応しますか?/

個人情報が流出した場合どうなる?4つの視点で徹底解説

個人情報が流出した場合、どうなるのでしょうか。その疑問を解消すべく、下記4つの視点から解説します。

  1. 流出した個人情報の使われ方
  2. 個人情報が流出した場合に企業が受ける法的措置・罰則
  3. 個人情報流出が企業に与える主なダメージ
  4. 事例でみる「個人情報流出の被害規模」

場合によっては数億円以上の損失が生まれるおそれがあり、企業の存続が危ぶまれるケースもあります。

どのような被害が出るのかしっかり理解して対策を考えましょう。

1. 流出した個人情報の使われ方

流出した個人情報は、下記のように利用されるリスクがあります。

  • 流出した情報を使いアカウントにログイン→さらなる情報を盗む
  • アカウントの乗っ取り、なりすまし
  • クレジットや金融機関でお金を奪う
  • 特殊詐欺・悪徳商法・ストーカー・脅しのターゲットにする
  • ダークウェブ(闇のEC)で取引される

悪用者は、流出した情報を使ってアカウントにログインし、氏名・住所・電話番号・クレジットカード情報などを盗む場合があります。

また、アカウントを乗っ取って本人になりすましたり、クレジットカードを使ったり、金融機関からお金を奪ったりなどの被害も起こり得ます。

ほかにも、いわゆるオレオレ詐欺のような特殊詐欺や悪徳商法、ストーカーや脅しのターゲットにされるリスクもあるのです。

そして、流出した情報はダークウェブという闇のECで取引される場合があります。

ダークウェブとは、専用ブラウザを使った特殊な経路からでないとアクセスできない、違法商品のマーケットです。

下記の記事では、ダークウェブの仕組みや犯罪事例を解説していますので、さらに詳しく知りたい方はご覧ください。

2. 個人情報が流出した場合に企業が受ける法的措置・罰則

個人情報が流出してしまうと、企業も個人情報保護法に基づいた罰金や懲役刑を受けるおそれがあります。

事業者様は「個人情報取扱事業者」として、個人情報保護法を守らなくてはなりません。

個人情報保護法違反の場合、罰金は最大1億円です。

また、個人情報提供者への金銭的賠償が必要になるケースもあります。

NPO法人日本ネットワークセキュリティ協会によると、1人あたりの平均想定賠償額は28,303円です。

加えて、訴訟に発展した場合は訴訟にかかるコストも必要です。

また、管理を委託された個人情報が流出した場合、各種対応に関する費用も請求される場合があります。

中小企業であっても、億単位の損害賠償が請求されるおそれがあることを理解しておきましょう。

3. 個人情報流出が企業に与える主なダメージ

個人情報流出が企業に与える主なダメージは、次のとおりです。

    • 株価の下落
    • 社会的信用の低下
    • 売上・利益の低下
    • クレーム対応発生(コア業務ができなくなる)
    • 顧客・ユーザー離れ

上場している企業であれば、株価が下落して資金繰りに悪影響が出るおそれがあります。

また、社会的信用が低下することで、BtoB企業であれば契約を切られたり、BtoC企業であれば顧客が離れていくリスクも潜んでいます。

そうなれば、企業の売上・利益低下は避けられません。

そして、従業員がクレーム対応に追われ、一時的にコア業務ができなくなります。

個人情報流出時の状態やダメージの大きさによっては、企業の存続が危ぶまれることもあります。

4. 事例でみる「個人情報流出の被害規模」

では、実際に過去の事例ではどれくらいの被害が出ているのでしょうか。

下記の表は、過去に発生した主な被害事例の内容をまとめたものです。

企業名事例の内容
株式会社SODA同社が運営するフリマアプリにて、外部からの不正アクセスが発生。約275万件の顧客情報が流出
トヨタ自動車株式会社(実際にデータの管理をしていたのは「トヨタコネクティッド株式会社」というトヨタの関連企業)同社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像、車載端末ID、車台番号、車両の位置情報、時刻など、215万人分が流出したおそれ
株式会社矢野経済研究所同社サイトのサーバーに不正アクセスが発生。会員のメールアドレスと暗号化されたログインパスワードが最大101,988件漏えいしたおそれ
JR東日本JR東日本が提供するネット予約サービス「えきねっと」において、3,729人のアカウントに不正ログインが発生。氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部(カード番号の下4桁、有効期限、ブランド名)、連携している交通系ICカードの番号などが閲覧されたおそれ

このように大手企業も被害を受けており、なかには数百万件規模の顧客情報が流出した事例もありました。

個人情報流出は、自社の従業員による人的ミスだけではなく、悪用者からの不正アクセスが原因で発生することもあるため、各企業には専門的な対策が求められます

詳細は後ほど「個人情報流出を防ぐ主な対策」で解説しますので、参考にしてください。

また、下記の記事では2021年以降に発生したすべての被害事例をまとめているので、さらに事例を知りたい方はご覧ください。

なお、東京商工リサーチによると、2022年に上場企業とその子会社で個人情報の漏えい、紛失事故を公表した社数・事故件数は、2012年の調査開始以降、過去最多となりました。

2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、事故件数は165件、漏えいした個人情報は592万7,057人分(前年比3.0%増)だった。

※引用:東京商工リサーチ

個人情報を取り扱う企業においては、万が一漏洩させてしまった場合のために「個人情報漏洩保険」に加入するのも1つの手段です。

個人情報漏洩保険の主な補償内容は、次の4つです。

  1. 初期対応のサポート費用
  2. 事故原因の調査や見舞金などの費用
  3. 賠償金や訴訟による費用
  4. 再発防止を防ぐための費用

下記の記事では、個人情報漏洩保険で補償される費用の内容やおすすめの保険5選を紹介していますのでご覧ください。

個人情報が流出した場合の主な3つの対応方法

個人情報が流出した場合に取るべき対応を3つ紹介します。

  1. 原因の特定と調査
  2. 対外的対応(報告・通知・公表)
  3. 復旧と再発防止

被害を大きくしないためにも、これらの対応を落ち着いて行うことが大切です。

【対応1】原因の特定と調査

個人情報の流出が判明した場合、もしくは流出したおそれがある場合、まずは二次被害を防がなければなりません。

ネットワークを遮断し、被害を受けたサービスの停止、情報の隔離を行いましょう。

そのうえで、原因の特定・被害の全貌の調査を急ぎます。

【対応2】対外的対応(報告・通知・公表)

続いて、顧客や関係機関からの信頼低下を最小限にするためにも、下記のような対外的な対応を行いましょう。

  • 取引先や流出したおそれのある方に、メール・DM・CMなどで連絡
    • お詫びの言葉
    • パスワードやIDなどの変更をすすめるメッセージ
  • 問い合わせと苦情対応
  • 個人情報保護委員会に報告、警察に通報

場合によっては、賠償金の支払いが必要になるケースもあります。

また、2022年に法改正がおこなわれ、情報漏洩が発生した場合やそのおそれがある場合の「個人情報保護委員会」への報告が義務化されました。

個人情報保護委員会に報告する方法は、次の記事で詳しく解説していますので参考にしてください。

【対応3】復旧と再発防止

最後に、システムの復旧や再発防止策の策定・実施を行います。

下記のような対策を検討しましょう。

被害のパターン対策
不正アクセスやウィルスなど悪意のある第三者によって引き起こされたパターン
  • 無料のファイル共有ソフトを使うことをやめて、専用のファイル転送サービスを導入
  • 情報の暗号化やアクセス制御ルールの改定・運用
  • 脆弱性が見つかったら各自がすぐに対応し、情報システム部門で適用状況を確認
人為的なミスにより引き起こされたパターン
  • 情報セキュリティ教育の強化
  • 情報資産の保管方法の見直し、情報資産の持ち出し管理規定の改定・運用

従業員のミスや不正の場合は、懲戒免職や降格などの処分を下さなければならないケースもあります。

個人情報流出後の対応は下記の記事で網羅的に解説しているので、セキュリティ担当の方はぜひご一読ください。

個人情報が流出する主な原因

個人情報流出を防ぐ対策をするためには、よくある原因を把握することが大切です。

下記の表は、個人情報が流出する主な原因とその具体例をまとめたものです。

主な原因具体例
セキュリティ対策が不十分
  • 外部から社内ネットワークへのアクセスが簡単
  • ログイン画面に行きやすい
  • ID・パスワードが単純
  • 古いソフトウェアの使用
  • データの改ざんが容易
  • ウイルス対策ソフトや不正検知サービスの未使用
人的ミスの発生
  • メールの誤送信
  • 資料の紛失や廃棄ミス
  • PCの置き忘れ
  • 第三者の個人情報を誤表示
内部不正の発生
  • 競合企業へのデータの受け渡し
  • 退職者による機密情報へのアクセス
  • グループ会社の社員による情報の持ち出し

たとえば、セキュリティ対策が不十分だとマルウェアに感染するおそれがあります。

マルウェアとは、悪意のある不正なプログラムを総称した言葉で、感染すると情報が流出する場合もあるので注意が必要です。

また、従業員や取引先の内部不正で個人情報が流出することもあります。たとえば、下記のようなケースです。

  • 退職時に重要技術情報を持ち出して転職先で使用する
  • 機密情報を競合企業へ売る
  • 意図しない誤操作で個人情報を漏らす

内部不正が起きる要因や代表的な対策について詳しく知りたい方は、次の記事をチェックしてみてください。

なお、東京商工リサーチでは、上場企業とその子会社で発生した個人情報の漏えい・紛失事故のうち、原因別で多いものはなにか調査した結果を公表しています。

同調査での「原因別ランキングTOP4」は、次のとおりです。

  • 1位:ウイルス感染・不正アクセス
  • 2位:誤表示・誤送信
  • 3位:紛失・誤廃棄
  • 4位:盗難

この結果からもわかるように、個人情報漏えいや紛失事故は、外部からの攻撃だけではなく企業関係者の不注意が原因となるケースも少なくありません。

個人情報が流出する原因の詳しい解説を知りたい方は、下記の記事をご一読ください。

個人情報流出を防ぐ主な対策

個人情報流出を防ぐ対策は、従業員が個別に実施できるものから企業全体で取り組むべきものまで多岐にわたります。

下記の表は、個人情報流出を防ぐ主な対策と具体例をまとめたものです。

主な対策具体例
セキュリティの強化
  • ログイン画面のURLを複雑化
  • 予測されにくいID・パスワードの設定
  • アクセス権限の制限
  • 個人情報の印刷やコピーを禁止
  • PC操作ログの取得
  • ウイルス対策ソフトや不正検知サービスを導入
  • 取引先のセキュリティ対策の確認
従業員への教育
(体制の強化)
  • 全社員向けの研修の開催
  • マニュアルの整備、周知の徹底
  • 情報の持ち出し禁止
  • メール送信時におけるダブルチェックの徹底
  • 守秘義務に関する書面の締結

この表をご覧いただくとわかるように、セキュリティ対策といっても専門的な知識が必要なものばかりではありません

少しの手間と工夫で出来ることもあるので、ぜひ無理なく始められるものから取り組んでみてください。

個人情報流出を防ぐ対策について、詳細は下記の記事で解説しています。ここまで読んで、個人情報流出対策を実施したいと感じた方は、ぜひご一読ください。

個人情報流出を防ぐために不正アクセス検知システムを導入しよう

社内ネットワークのIDやパスワードを知られた場合、外部から不正ログインされてしまうおそれがあります。

不正ログインされてしまうと、顧客や従業員の個人情報を抜き取られるリスクがあるため注意しなければなりません。

このような個人情報流出を防ぐためには、不正アクセス検知システムの活用が効果的です。

たとえば、かっこ株式会社の「O-MOTION」は、独自のデバイス情報や操作情報をもとに不正のおそれがあるアクセスをリアルタイムに検知します。

不正疑いのあるユーザーを検知した際は、「2要素認証」「アクセス遮断」を組み合わせて不正なアクセスを防止することが可能です。

「O-MOTION」を導入すると、フィッシングサイトで個人情報が流出してしまった場合も被害を最小限に抑えられます。

トライアルキャンペーンも実施中の「O-MOTION」について、詳しくは以下のバナーをクリックのうえご確認ください!

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

まとめ:個人情報流出から自社を守ろう

個人情報が流出すると、株価や社会的信用・売上などが低下し、さらに数億円以上の被害が出るおそれがあります。

万が一、個人情報が流出した場合は下記3つの対応を行いましょう。

  1. 原因の特定と調査
  2. 対外的対応(報告・通知・公表)
  3. 復旧と再発防止

原因がわかったら、以後同じことが起こらないように再発防止策を講じることが大切です。

再発防止策の一つに「情報セキュリティ教育の強化」があり、情報セキュリティに対する意識を従業員の一人一人に啓発することが求められます。

当サイトでは、インターネットセキュリティを基礎から学びたい方に向けて、漫画形式で解説した資料を無料配布しています。

企業や組織の情報セキュリティ対策を強化したい方は、以下のバナーをクリックのうえお気軽にダウンロードしてください。

\不正発覚した時に企業としてどう対応しますか?/

ピックアップ記事

  1. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?
  2. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  3. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について
  4. クレジットマスターの手口や被害とは?不正利用を防ぐための対策3選
  5. 【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について

関連記事

  1. 不正検知・ノウハウ

    電子決済とは?利用する上での注意点や使うメリット

    「電子決済が便利そうだけどどういったものかよくわからない」「電子決…

  2. 不正検知・ノウハウ

    EC受注の拡大と安全性に関する講演レポート「かっこ株式会社」

    売上拡大に繋がるECサイトの構築手法や在庫管理のノウハウについて、20…

  3. 不正検知・ノウハウ

    メタバースでなりすましされた場合のリスクとは?対策6つを紹介!

    「メタバースでもなりすましによる不正は起こるの?」「メタバースを利…

フィッシング対策状況を今すぐチェック。「フィッシング対策セルフチェックシートWebサイトのなりすまし対策に!鉄壁PACK for フィッシング
クレジットカードの不正利用対策はしていない!?独自調査レポート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード
自社の商品の転売状況を「転売チェッカー」で調べてみませんか?

おすすめ記事

  1. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  2. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  3. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  4. QRコード決済は危険?不正利用される原因や安全に使える電子決…
  5. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 3Dセキュア

    3Dセキュアは不正検知システムとの併用がおすすめ!その理由と両者の違いを解説
  2. チャージバック

    SuicaやPayPayなどの電子マネーの不正利用を防ぐ方法は?
  3. 不正アクセス

    不正アクセスの件数は実際どのくらい?総務省のデータを元に徹底解説
  4. 不正アクセス

    UTMとは?主な6つの機能とメリット・押さえておくべきポイントも解説
  5. 標的型攻撃メール 対策

    不正アクセス

    標的型攻撃メールへの6つの対策|個人情報をサイバー攻撃から守る
PAGE TOP