特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)の調査によると、2018年の漏洩人数は561万3,797人。インシデント件数は443件。一件あたりの漏洩人数は1万3,334人で、平均想定損害賠償額は6億3,767万円とのこと。
この数字だけでも、セキュリティ対策が必要だと実感できますよね。
参考:2018年 情報セキュリティインシデントに関する調査報告書│特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
これらの原因は「紛失・置き忘れ」が118件(26.6%)で最多。次いで、誤操作が109件(24.6%)です。
大きな被害を生み出す情報漏洩ですが、原因は身近なところにもあり、対策方法も数多く考えだされています。
そこでこの記事では個人情報漏洩の原因や被害事例を解説。
個人情報を保有する企業と、その情報に該当する個人の2つの視点から対策方法をご紹介します。
目次
個人情報漏洩とは? 個人情報に含まれるものの定義
個人情報漏洩とは、「個人情報を保有する者」および「個人情報に該当する者」の意図に反して、情報が第三者に渡ることを指します。
この個人情報として挙げられるのは
- 名前
- 生年月日
- 住所
- 血液型
- 性別
- 職業
- 電話番号
- 収入
- 生体情報
- クレジットカード番号・暗証番号
- 金融機関情報・暗証番号
など「特定の個人を識別できるもの」です。
こういった個人情報は、特殊なブラウザソフトなどを使わなければ接続できないインターネットサイト「ダークウェブ」などで売買されたり、なりすましなどの不正手口に活用されたりします。
個人情報漏洩時には大きな被害発生が考えられる
ここで、個人情報漏洩時に考えられる被害内容を把握しておきましょう。
個人情報漏洩に遭った個人・保有者の被害
個人情報漏洩に遭った個人・保有者の被害としては、
- 迷惑メールやDMが届く
- Webサービスのアカウントが乗っ取られる
- クレジットカードや銀行口座、住所、氏名などの情報が不正利用される
といったものが挙げられます。
Webサービスのアカウントが乗っ取られた場合、それに紐づいているID・パスワードや使命、住所、個人情報が不正者に知られてしまいます。
それらの情報はダークウェブで売買されたり、ECサイトで不正利用されたり、詐欺や架空請求に悪用されたりします。
近頃はポイントが付与され現金と同じように利用できるサービスも増えました。
そのようなサービスのアカウント情報が漏洩した場合、不正送金されてしまう可能性もあります。
また、公的機関の関係者を装って「漏洩した情報を削除をする」と言い、金銭を要求する不正者も報告されています。
個人情報漏洩に遭った企業の被害
個人情報漏洩に遭った企業の被害としては、
- 原因の調査・対応によって人的コストが生じる
- 民事・刑事上の責任が発生
- 社会的信用の失墜
- 企業イメージのダウン
が挙げられます。
企業の場合は不正者に狙われた被害者というだけではなく、ユーザーの情報を漏洩してしまった加害者になり得るのがポイントです。
個人情報漏洩はプライバシー権の侵害にあたり、損害賠償の責任が発生します。被害者から慰謝料などの損害賠償を請求される可能性も考えておかなくてはいけません。(訴訟前にお詫び金を支払う方法がとられる場合もあります)
この際の賠償金やお詫び金の額は、事件の規模によって異なります。
また、個人情報保護法の安全管理義務違反、第三者提供違反などに該当した場合は「6か月以下の懲役または30万円以下の罰金」という刑事罰が科せられます。
そして、情報漏洩してしまった場合に失うユーザーからの信頼は何よりも大きな損失です。
\10万円でトライアルも受付中!/
トライアルのお申込はこちら
個人情報漏洩の被害事例
さらに、個人情報漏洩の具体的な被害事例をいくつかご紹介します。
| 事例 | 日時 | 内容 |
|---|---|---|
| 東京都の都税クレジットカードお支払いサイト | 2017年3月10日 | IPAからの情報提供で不正アクセスが発覚。 2015年4月~2017年3月9日までの利用者のクレジットカード番号・有効期限・メールアドレスなど約67万件の情報流出の可能性が。 |
| 株式会社プリンスホテル | 2018年6月26日 | 外国語ウェブサイトへの不正アクセスが2回発生。 合計12万4,963件の個人情報が流出。そのうち、6万6,960件はクレジットカード情報を含めていました。 |
| 株式会社ヤマダ電機 | 2019年5月29日 | 運営する「ヤマダウェブコム・ヤマダモール」にて不正アクセスが発生。 ペイメントアプリケーションの改ざんにより、期間中に登録された顧客の情報、最大3万7,832件が流出。情報にはクレジットカード情報も含まれていました。 |
| 千葉県富津市
総務部防災安全課 |
2020年1月17日 | 富津市の総務部防災安全課にて避難行動要支援者名簿作成に使用したUSBメモリを紛失。 個人情報1万795件に流出の可能性が。 |
| JR東日本 | 2020年3月5日 | 運営する「えきねっと」に対しサイバー攻撃が発生。 スマートフォンアプリから3,729件のユーザーアカウントに不正にログインされました。 そのうち、13件は住所、電話番号、クレジットカード情報などを不正に閲覧された可能性が。 |
このように個人情報漏洩は様々な業界で発生しています。
個人情報漏洩の原因
個人情報漏洩が発生する原因は、大きく分けて
- マルウェアの巧妙化
- フィッシングやスキミングなどの手口
- 関係者による作業ミス・誤操作・紛失
上記の3点が挙げられます。詳しく見ていきましょう。
個人情報漏洩の原因1.マルウェアの巧妙化
マルウェアとは、不正かつ有害に動作させる意図で作られたソフトウェアや悪質なコードの総称です。
このマルウェアや感染手口が年々巧妙化。差出人として実在の人物を装ったり、受信者に関連のある件名で油断させたりして、悪意ある添付ファイルや不正サイトへのリンクを介しマルウェアに感染させる「標的型攻撃メール」の発生が危険視されています。
個人情報漏洩の原因2.フィッシングやスキミングなどの手口
金融機関やEC事業者等を装った偽のメールでサイトに誘導し、個人情報やクレジットカード情報を入力させる「フィッシング」。
そして、実際の店舗でカードの磁気データを読み取られたり、カード券面を撮影されたりする「スキミング」。
この2つは不正利用の手口でもあり、情報漏洩の被害拡大に繋がっています。
関連記事でも解説していますので、ぜひ併せてご覧ください。
個人情報漏洩の原因3.関係者による作業ミス・誤操作・紛失
関係者による持ち出し、モバイル端末の紛失、作業ミス、誤操作なども個人情報漏洩の原因となっています。
自宅で作業をするため個人情報を持ち出した事例や、メールやFAXの誤送付など、うっかりミスが情報漏洩に繋がってしまうのです。
では、個人情報漏洩の対策にはどのようなものがあるのでしょうか?
次項からは、「情報に該当する個人」と「情報を保有する企業」の2つの視点から、対策をお伝えします。
【個人情報漏洩の対策】情報に該当する個人ができる5つの方法
まずは情報に該当する個人ができるものとして、
- 安全確認の取れていないWebサイト上で個人情報を入力しない
- セキュリティソフトの定期更新を行い個人情報漏洩を防ぐ
- ファイル共有ソフトを利用を最小限に抑え個人情報漏洩を防ぐ
- 暗証番号を定期変更・使いまわしを辞め個人情報の漏洩被害を最小限に抑える
- 明細を定期的に確認し個人情報漏洩にいち早く気付くようにする
という5つの対策をご紹介します。
1.安全確認の取れていないWebサイト上で個人情報を入力しない
ECサイトの利用やオンラインバンキングによる送金など、インターネット上で個人情報を龍力するタイミングはいたるところにあります。
それを狙った不正者も多く、実在する企業やサービスを装ったサイトを使い、個人情報を抜き取る手口もあるのです。
具体的には
- 個人情報を入力するべージのURLに鍵マークがあるか(常時SSL化しているか)
- メールや他サイトからリンクをたどった場合、ドメイン名が公式と同じか
といった部分を確認し、安全か判断できないWebサイト上では個人情報を入力しないようにしましょう。
また、Google ChromeやFirefox、Microsoft Edge、Safariなど、使用しているブラウザによっては警告メッセージを表示する場合もあります。
1つの指標として知っておきましょう。
2.セキュリティソフトの定期更新を行い個人情報漏洩を防ぐ
セキュリティソフトの導入・更新も個人情報漏洩対策として有効です。
詳細はそれぞれ異なりますが、定期的なウイルススキャンが行えたり、危険なサイトへアクセスした場合に警告を表示したりするものもあります。
今は、スマホやタブレット、パソコンなど複数のデバイスを持っている方もいます。
その場合、それぞれの端末で導入・更新を行いましょう。リモートワーク時に使用する、業務用のデバイスにも注意です。
3.ファイル共有ソフトを利用を最小限に抑え個人情報漏洩を防ぐ
不特定多数が利用するファイル共有ソフトを使用すると、不正者にアクセスされる可能性もあがります。
ファイル共有ソフトを利用する際は、
- 個人での利用は最小限に抑える
- ファイル共有ソフトを利用をする際はセキュリティソフトも導入する
- ビジネスでの利用時は信頼できる有料サービスを活用する
といった点を心掛けましょう。
4.暗証番号を定期変更・使いまわしを辞め個人情報の漏洩被害を最小限に抑える
同じID・パスワードを、複数のWebサイトで使用している方は注意です。
仮にどこかで漏洩してしまった際、その情報を使って他サイトにもアクセスされてしまうためです。不正者はID・パスワードを特定した状態で不正アクセスを行うので、気付くのが遅れ、被害が拡大してしまう可能性もあります。
それを防ぐためにも、暗証番号を定期変更し、同じID・パスワードを使いまわすのは辞めましょう。
5.明細を定期的に確認し個人情報漏洩にいち早く気付くようにする
明細の定期確認はクレジットカードや金融機関情報の漏洩時対策です。
いち早く気付くことができれば不正者の特定にも役立ちますし、情報漏洩後の被害を最小限に抑える効果も期待できます。不正利用はキャッシュバックなどの補償対象になるケースもあるため、異変に気付いた場合は速やかに金融機関やクレジットカード会社に伝えましょう。
さらに、電子メールやFAXを送る前に宛先を確認する癖をつけることや、不正手口に関しての情報収集も効果的です。
【個人情報漏洩の対策】企業ができる4つの方法
個人情報を保有する企業の対策としては
- 個人情報流出に関する教育を行う
- 守秘義務に関する書面を取り交わす
- Webサイトやソフトの脆弱性対策を行う
- セキュリティソフトの導入・更新
の4つが挙げられます。
1.個人情報流出に関する教育を行う
前項で、情報漏洩の原因として
- 関係者による持ち出し
- モバイル端末の紛失
- 作業ミス
- 誤操作
といったものがあるとお伝えしました。
これらを防ぐためにも、社内のリテラシーを高めるのは必須です。
セキュリティポリシーや実施要領を定め、定期的な教育も行いましょう。
近頃は急速なテレワーク化が進んでいます。
- 外部で業務をする際に使用する情報の管理方法
- モバイル端末やUSBメモリなど外部記憶媒体の使用有無
など、セキュリティ確保のルールを作りも同時に行いましょう。
テレワークの導入に伴うセキュリティ対策についてはこちらの記事もご覧ください。
2.守秘義務に関する書面を取り交わし個人情報漏洩を防ぐ
個人情報流出に関する教育の中で、守秘義務に関する書面を取り交わすのもおすすめです。
業務上知り得た情報は口外せず守るべきだと考える方もいますが、必ずしも全員がそう思っているとは限りません。
入社時に書面を取り交わすことで、情報に対する認識を整えましょう。万が一情報が漏洩した場合も、どれほど重大な事態なのか社内で共通の理解がしやすくなります。
3.Webサイトやソフトの脆弱性対策を行い個人情報漏洩を防ぐ
不正者は運営しているWebサイトや使用しているソフトの脆弱性(セキュリティ上の問題点)を狙ってサイバー攻撃を行います。
脆弱性は基本的にサービス開始時にはない状態で公開されますが、新しいサービスが開発されたりアップデートが行われたり、インターネット上の環境が変化する中でどうしても新たに生まれてしまいます。
そのため、運営の中で必要に応じて脆弱性対策を行う必要があります。具体的にはWebサイトやソフトの脆弱性を発見・修復する不正検知サービスの導入が効果的です。
特に、WordPressなどプログラムの仕組みが公開されているオープンソースのCMSを使用している場合は注意が必要です。
その公開された情報の中から脆弱性を見つけ、Webサイトそのものにマルウェアが埋め込み、利用者が入力した情報を不正に入手する不正者もいるためです。
自社サイトへの訪問者をマルウェアの危険にさらさないためにも、CMSの最新バージョンが公開された際は、速やかにアップデートしましょう。
4.セキュリティソフトの導入・更新
そして、ぜひ取り入れてもらいたいのがセキュリティソフトです。
サイバー攻撃を検知できたり、Webサイトやソフトの脆弱性を診断できたり、セキュリティソフトと言っても様々です。
中には、他で漏洩した情報を使って不正者が不正アクセスを試みた際に、挙動などから異変を察知できるものもあります。個人情報漏洩だけでなく、セキュリティ精度を高めるという点でも導入がおすすめです。運営にあったものを選びましょう。
また、導入後は定期的にアップデートを行い、常に細心の状態を保ちましょう。
個人情報を漏洩してしまった場合の対応策
万が一の場合に備え、漏洩してしまった場合の対応策も考えておきましょう。
漏洩時の対策をたてておけば、被害を最小限に抑えられます。
個人情報を漏洩してしまった個人・保有者の対応策
個人・保有者の場合は、
- 管理者への連絡
- ID・パスワードの変更
- 迷惑メール設定の見直し
- クレジットカードや銀行口座を必要に応じて停止
- 知人や家族に連絡
といった手順をとります。
もし自分で異変に気付いた場合は、漏洩が考えられるサービスの管理者へ連絡します。漏洩が考えられるサービス上の対応は、管理者の指示に従いましょう。
さらに、漏洩した情報でのアクセスが考えられる他サービスのID・パスワードも変更します。メールアカウントやSNS、ネットバンキング、クラウドサービスといったインターネット上のサービスは、流出した情報を元にアクセスを試みる不正者がいるためです。
とくに、クレジットカードや銀行の口座の情報が漏洩した可能性がある場合は、各サポートセンターに連絡し、必要に応じて使用停止などの措置をとるのも大切です。
近頃では個人のSNSを乗っ取り、複数人の個人情報にアクセスする手口も確認されています。
自分のアカウントから周囲の人にまで不正者の手が伸びるのは、なんとしても防ぎたいものです。仮に気付いた場合は、知人や家族に「乗っ取りにあった」「URLなど変なメッセージが届いたとしても反応しないでほしい」と連絡しましょう。被害の拡大防止につながります。
個人情報を漏洩してしまった企業の対応策
企業の場合は、
- 事実確認・漏洩内容の特定
- 漏洩継続の阻止
- 公的機関への対応要請
- 問い合わせ窓口の設置
- 公表・謝罪
- 事後対応
- 原因究明
- 再発防止対策
といった手順をとります。
まず事実確認・漏洩内容の特定を行います。
個人情報だった場合は個人情報保護法に準拠する問題なので、公的機関への対応要請をすると同時に、対応を急ぐ必要があります。
それ以外の場合は、公共性の高さによって判断しましょう。
漏洩継続の阻止としては、ネットワークの遮断や情報の隔離、一時的なサービス停止といった対応がとれます。
公表・謝罪を行う際は、
- 漏洩内容
- 漏洩の規模
- 対処方法
- 考えられるリスク
- 問い合わせ先
などの情報を、ホームページやマスコミ、メールマガジンなどで発信します。それからは、被害者に対するお詫びや補償、損害賠償などの措置も再発防止対策と同時に行うこととなります。
なお、個人情報漏洩時には対策本部を設置し、一元管理を行いましょう。サービス利用者や公的機関など社外との連絡窓口も必要です。
個人情報漏洩には事前の対策を
万が一個人情報が漏洩した場合、情報に該当する個人も、個人情報を保有する企業も様々な対応が必要になります。
例えば、「情報に該当する個人」は被害を最小限におさえるため
- 漏洩した情報の把握
- 暗証番号などの変更
などが必要になるでしょう。
漏洩した情報によってはキャッシュカードを再発行したり、引っ越しせざるを得ない状況にもなりかねません。
また、情報漏洩によりクレジットカードの不正利用などが発生した場合は、チャージバックの申請や警察との対応なども必要となり、大変な労力がかかります。
一方で、「個人情報を保有する企業」の場合は、
- 事実確認
- 応急処置の実施
- サービスの復旧
- 被害の公表
などが必要です。
さらに、情報漏洩が発生した時点で、ユーザーからの信頼を失ってしまいます。
悪意をもった第三者により情報漏洩してしまった場合、企業としては被害者という認識になるでしょう。しかし、情報に該当する個人にとっては企業が加害者となります。
個人も企業も、それぞれ煩雑な対応に追われてしまうため、やはり個人情報漏洩は未然に防ぐことが重要です。
今回ご紹介したように情報漏洩の被害事例はどれも身近なものです。誰にでも情報漏洩の可能性があることを踏まえ、最大限の対策を行いましょう。
\10万円でトライアルも受付中!/
トライアルのお申込はこちら
