特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)の調査によると、2018年の漏洩人数は561万3,797人。インシデント件数は443件。一件あたりの漏洩人数は1万3,334人で、平均想定損害賠償額は6億3,767万円とのこと。
この数字だけでも、セキュリティ対策が必要だと実感できますよね。
参考:2018年 情報セキュリティインシデントに関する調査報告書│特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
これらの原因は「紛失・置き忘れ」が118件(26.6%)で最多。次いで、誤操作が109件(24.6%)です。
大きな被害を生み出す情報漏洩ですが、原因は身近なところにもあり、対策方法も数多く考えだされています。
そこでこの記事では個人情報漏洩の原因や被害事例を解説。
個人情報を保有する企業と、その情報に該当する個人の2つの視点から対策方法をご紹介します。
目次
個人情報漏洩とは? 個人情報に含まれるものの定義
個人情報漏洩とは、「個人情報を保有する者」および「個人情報に該当する者」の意図に反して、情報が第三者に渡ることを指します。
この個人情報として挙げられるのは
- 名前
- 生年月日
- 住所
- 血液型
- 性別
- 職業
- 電話番号
- 収入
- 生体情報
- クレジットカード番号・暗証番号
- 金融機関情報・暗証番号
など「特定の個人を識別できるもの」です。
こういった個人情報は、特殊なブラウザソフトなどを使わなければ接続できないインターネットサイト「ダークウェブ」などで売買されたり、なりすましなどの不正手口に活用されたりします。
個人情報漏洩の被害事例
個人情報漏洩の具体的な被害事例をいくつかご紹介します。
| 事例 | 日時 | 内容 |
| 東京都の都税クレジットカードお支払いサイト | 2017年3月10日 | IPAからの情報提供で不正アクセスが発覚。 2015年4月~2017年3月9日までの利用者のクレジットカード番号・有効期限・メールアドレスなど約67万件の情報流出の可能性が。 |
| 株式会社プリンスホテル | 2018年6月26日 | 外国語ウェブサイトへの不正アクセスが2回発生。 合計12万4,963件の個人情報が流出。そのうち、6万6,960件はクレジットカード情報を含めていました。 |
| 株式会社ヤマダ電機 | 2019年5月29日 | 運営する「ヤマダウエブコム・ヤマダモール」にて不正アクセスが発生。 ペイメントアプリケーションの改ざんにより、期間中に登録された顧客の情報、最大3万7,832件が流出。情報にはクレジットカード情報も含まれていました。 |
| 千葉県富津市
総務部防災安全課 |
2020年1月17日 | 富津市の総務部防災安全課にて避難行動要支援者名簿作成に使用したUSBメモリを紛失。 個人情報1万795件に流出の可能性が。 |
| JR東日本 | 2020年3月5日 | 運営する「えきねっと」に対しサイバー攻撃が発生。 スマートフォンアプリから3,729件のユーザーアカウントに不正にログインされました。 そのうち、13件は住所、電話番号、クレジットカード情報などを不正に閲覧された可能性が。 |
このように個人情報漏洩は様々な業界で発生しています。
個人情報漏洩の原因
個人情報漏洩が発生する原因は、大きく分けて
- マルウェアの巧妙化
- フィッシングやスキミングなどの手口
- 関係者による作業ミス・誤操作・紛失
上記の3点が挙げられます。詳しく見ていきましょう。
個人情報漏洩の原因1.マルウェアの巧妙化
マルウェアとは、不正かつ有害に動作させる意図で作られたソフトウェアや悪質なコードの総称です。
このマルウェアや感染手口が年々巧妙化。差出人として実在の人物を装ったり、受信者に関連のある件名で油断させたりして、悪意ある添付ファイルや不正サイトへのリンクを介しマルウェアに感染させる「標的型攻撃メール」の発生が危険視されています。
個人情報漏洩の原因2.フィッシングやスキミングなどの手口
金融機関やEC事業者等を装った偽のメールでサイトに誘導し、個人情報やクレジットカード情報を入力させる「フィッシング」。
そして、実際の店舗でカードの磁気データを読み取られたり、カード券面を撮影されたりする「スキミング」。
この2つは不正利用の手口でもあり、情報漏洩の被害拡大に繋がっています。
関連記事でも解説していますので、ぜひ併せてご覧ください。
個人情報漏洩の原因3.関係者による作業ミス・誤操作・紛失
関係者による持ち出し、モバイル端末の紛失、作業ミス、誤操作なども個人情報漏洩の原因となっています。
自宅で作業をするため個人情報を持ち出した事例や、メールやFAXの誤送付など、うっかりミスが情報漏洩に繋がってしまうのです。
では、個人情報漏洩の対策にはどのようなものがあるのでしょうか?
次項からは、「情報に該当する個人」と「情報を保有する企業」の2つの視点から、対策をお伝えします。
【情報に該当する個人の対策】個人情報が漏洩した場合の被害を最小限に抑える
情報に該当する個人の対策としては、
- 暗証番号の定期変更
- 明細の定期確認
が挙げられます。
暗証番号の定期変更は不正アクセスの防止にも繋がりますし、情報漏洩後の被害を最小限に抑える効果も期待できます。
また、明細の定期確認はクレジットカードや金融機関情報の漏洩時対策です。
加えて、電子メールやFAXを送る前に宛先を確認するクセをつけることや、不正の手口に関して情報を収集するのも効果的です。
【個人情報を保有する企業の対策】個人情報に関する教育や脆弱性対策をする
個人情報を保有する企業の対策としては
- 個人情報流出に関する教育を行う
- 守秘義務に関する書面を取り交わす
- Webサイトやソフトの脆弱性対策を行う
- セキュリティソフトの導入・更新
が挙げられます。
情報漏洩の原因として「関係者による持ち出し、モバイル端末の紛失、作業ミス、誤操作」があるとお伝えしました。これらを防ぐためにも、社内のリテラシーを高めるのは必須。そのために書面で守秘義務契約を結ぶのも効果的です。
また、オープンソースのCMSは特定のバージョンにセキュリティホールが見つかった場合、そこを突いてマルウェアが埋め込まれるケースがあります。脆弱性対策や更新作業は常に必要です。
補足ですが、近頃は急速なテレワーク化が進んでいます。
それに伴い、情報をクラウドサービスに預けたり、モバイル端末やUSBメモリなどの外部記憶媒体を使用したりするケースもあるでしょう。
その際は万が一にも情報漏洩に繋がらないよう、セキュリティ確保のルールを作りも同時に行いましょう。
テレワークの導入に伴うセキュリティ対策についてはこちらの記事もご覧ください。
個人情報漏洩には事前の対策を
万が一個人情報が漏洩した場合、情報に該当する個人も、個人情報を保有する企業も様々な対応が必要になります。
例えば、「情報に該当する個人」は被害を最小限におさえるため
- 漏洩した情報の把握
- 暗証番号などの変更
などが必要になるでしょう。
漏洩した情報によってはキャッシュカードを再発行したり、引っ越しせざるを得ない状況にもなりかねません。
また、情報漏洩によりクレジットカードの不正利用などが発生した場合は、チャージバックの申請や警察との対応なども必要となり、大変な労力がかかります。
一方で、「個人情報を保有する企業」の場合は、
- 事実確認
- 応急処置の実施
- サービスの復旧
- 被害の公表
などが必要です。
さらに、情報漏洩が発生した時点で、ユーザーからの信頼を失ってしまいます。
悪意をもった第三者により情報漏洩してしまった場合、企業としては被害者という認識になるでしょう。しかし、情報に該当する個人にとっては企業が加害者となります。
個人も企業も、それぞれ煩雑な対応に追われてしまうため、やはり個人情報漏洩は未然に防ぐことが重要です。
今回ご紹介したように情報漏洩の被害事例はどれも身近なものです。誰にでも情報漏洩の可能性があることを踏まえ、最大限の対策を行いましょう。
