サイト内の現在位置

【2022年版】個人情報漏洩の被害事例と対処法・対策を徹底解説

【2022年版】個人情報漏洩の被害事例と対処法・対策を徹底解説

個人情報漏洩は、インターネットの脅威のひとつです。この記事では、個人情報とはなにか、個人情報漏洩が起こったときの対処法、事前に防ぐための対策を解説します。

個人情報とは?範囲や使われ方について

個人情報とは、生存する個人に関する情報で「個人識別符号が含まれるもの」や「要配慮個人情報」も含まれます。

個人情報には、「特定の個人が識別できる情報」と「ほかの情報と容易に照合でき、個人を識別可能な情報」があります。前者は氏名、個人の電話番号、個人のメールアドレス、後者は個人と紐づくサイトの行動履歴、ECサイトの購入履歴などが個人情報に当たります。

個人識別符号が含まれるものとは、「身体的特徴などをデータ化したもの」「行政機関などが個人に振り分けた符号」のことです。前者にはDNA情報、声紋、指紋、後者にはマイナンバー、免許証番号、旅券番号があります。

要配慮個人情報とは、「差別や偏見を生じないよう取扱に特に配慮を必要とする個人情報」のことで、顔写真、人種、宗教、所属組織、病歴、犯罪歴などが該当します。

企業や個人で個人情報の範囲や使われ方が異なります。それぞれの個人情報について見ていきましょう。

企業の場合

企業が氏名と紐づけて、その人物の情報を管理しているのであれば、基本的にその情報は個人情報となります。
また、ほかの情報と容易に照合することができ、その照合によって特定の個人を識別することができるものも個人情報です。たとえば、個人情報と紐づく移動履歴や購買履歴などがそれに当たります。
また、個人情報のうち、特定の個人情報を検索できるよう体系的に構成した「個人データ」や、個人データのうち、個人情報取扱事業者に開示・訂正・消去等の権限があり、6ヶ月を超えて保有する「保有個人データ」も個人情報となります。

個人の場合

個人の場合は、「個人情報」「個人識別符号が含まれるもの」「要配慮個人情報」すべてが個人情報となります。

情報漏洩とは

情報漏洩は、言葉の通り情報が外部へ漏洩することを言います。
情報には「機密情報」「顧客情報」そして前述した「個人情報」などがありますが、どの情報であっても外部へ漏洩した場合は情報漏洩と言います。
「機密情報」「顧客情報」「個人情報」は情報の中でも特に外部にへ漏洩すると大きな被害につながりやすいため、注意をして取り扱う必要があります。

個人情報漏洩が起こる外部からの原因とは

個人情報漏洩が起こるのには原因があります。どのような原因があるか、確認していきましょう。

マルウェアの強さ

ユーザのデバイスに不利益をもたらす悪意あるプログラムのことを「マルウェア」といいます。複数の種類があり、「トロイの木馬」「ワーム」「スパイウェア」「ウイルス」「ランサムウェア」などがマルウェアです。
マルウェアに感染すると、個人情報や顧客情報の流出、ネットバンクへの不正侵入、IPアドレスの悪用といったリスクがあります。
年々マルウェアは巧妙化しているため、細心の注意が必要です。

フィッシングなどを利用した手口

「フィッシング」や「スキミング」などにより、個人情報が盗まれることもあります。
フィッシングとは、金融機関やEC事業者等を装った偽のメールで偽のサイトに誘導し、個人情報やクレジットカード情報を入力させて盗み取る手口です。
スキミングとは、実際の店舗でカードの磁気情報を盗み取られたり、カード券面を撮影されたりする手口のことをいいます。
これらの手口は、個人情報が不正利用されるだけでなく、情報漏洩による被害拡大にも繋がってしまいます。

紙や媒体などの盗難

情報漏洩はマルウェアやフィッシングなどのデジタル要因以外でも発生します。個人情報が記載されている紙や、個人情報を保存している媒体が盗難にあい、漏洩につながる場合があるのです。
個人情報を保管している媒体や紙は、鍵のかけられるロッカーや、入室に認証が必要なフロアなど、物理的にセキュリティが強固な場所へ保管するようにしましょう。

個人情報漏洩が起こる人為的な原因とは

人為的ミスが原因で情報漏洩が起こる場合もあります。人為的なミスは、ちょっとしたミスだったり、うっかりミスがきっかけの場合が多いですが、これらが重大な情報漏洩につながってしまう恐れがあります。

誤送信・誤操作

人為的なミスで発生しがちなのが、メールの誤送信やシステムの誤操作です。

  • メールの送信先を誤り無関係の方へ情報を送ってしまう
  • 個人情報が書かれたデータを誤ってアップしてしまう など

特にメールの送信先誤りは多くの方が経験、もしくはやってしまいそうになったことがあるのではないでしょうか?業務の中で触れる機会が多いからこそ、メールは取り扱いに要注意する必要があります。

社内データの無断持ち出し・外部への送信・SNSへの投稿

個人情報の外部への持ち出しも人為的な原因に挙げられます。例えば、会社の許可が必要と気づかずに情報を持ち出してしまったり、個人情報と気づかずにメールやSNSなどで外部へデータを送信してしまうことが考えられます。必ずしも悪意があって持ち出しをするわけではない点が人為的ミスで注意すべきポイントです。

紙や媒体などの紛失・置き忘れ

個人情報が記載された紙や保存している媒体の紛失・置き忘れから個人情報漏洩につながる場合もあります。
特に多いのが電車や新幹線の網棚などへの置き忘れです。忘れ物は誰でもやりかねませんが、個人情報など、重要な情報を所持している際にはより注意を払って管理・持ち運びする必要があります。個人情報を所持しているときは肌身離さず持っておくなど、管理を徹底するようにしましょう。

データを消去せずに廃棄

処分したパソコンやサーバから情報が漏洩することもあります。
フォーマットをおこなっただけではデータの消去は完全ではありません。端末を廃棄したり、リース返却する前に確実にデータを消去したうえで、破棄・返却するようにしましょう。

システムの設定ミス・管理不備

システムの設定や、セキュリティ管理の不備から情報漏洩につながる場合があります。
次のような管理は徹底するようにしましょう。

  • 不要になったIDは破棄する
  • 個人情報を含むファイル閲覧の権限は業務上関連がある者にとどめる
  • 個人情報を記載している紙を破棄する際はシュレッダーにかける
  • 外部ソフトのインストールをする際は管理する など

特に最近広く使われるようになったクラウドは、設定を少し誤るだけで全員に公開してしまう場合もありますので、注意してください。

セキュリティ対策に必要な人員・予算の不足

セキュリティ対策を行う上では人員・予算を十分に確保する必要があります。専門家を雇えない場合、最適なセキュリティ対策の実施ができていない場合があります。また、予算が足りずに最適なセキュリティ対策が実施できないことも考えられます。
自社にとって最適なセキュリティ対策ができるように、人員と予算の確保をするようにしましょう。

なぜ狙われる?個人情報漏洩によるリスク

個人情報漏洩が起きた場合に考えられるリスクを、「企業」「個人」に分けて解説します。

企業のリスク

企業が個人情報を漏洩してしまった場合、さまざまなリスクが生じます。
たとえば、次のようなリスクです。

  • 個人情報漏洩の原因究明、調査、検証、対応による人的コストがかかる
  • 損害賠償の責任
  • 民事・刑事上の責任発生
  • 業務効率の低下
  • 企業イメージが下がる
  • 社会的信用が失われる など

狙われた企業は、被害者ではありますが、同時に個人情報を漏洩させてしまった加害者でもあるのです。個人情報漏洩はプライバシー権の侵害にあたるため、被害者に対しての慰謝料やお詫び金といった損害賠償を支払うケースもあります。
また、刑事上の罰則として、国からの是正勧告に従わない場合、「6ヶ月以下の懲役又は30万円以下の罰金刑」が科されます。不正な利益を得る目的で個人情報を漏洩した場合、「1年以下の懲役又は50万円以下の罰金刑」が科されます。これは、行為者だけでなく、企業に対しても、50万円以下の罰金刑が科されます。

個人へのリスク

個人情報漏洩の被害に遭った個人へのリスクは、次のようなものがあります。

  • 氏名、住所、クレジットカード、銀行口座などの個人情報の不正利用
  • 不正送金
  • 架空請求
  • 詐欺の被害
  • Webサービス、SNSアカウントののっとり
  • 企業になりすました迷惑メール、DMが届く など

また、闇のマーケットである「ダークウェブ」に個人情報が渡り、被害が拡大することもありえます。

個人情報漏洩が起きた際の対処法

もし、個人情報漏洩が起きた場合には、どのような対処法をとればよいのでしょうか。対処の流れを紹介します。

状況の確認

個人情報漏洩が起こったとき、真っ先にすることは「状況の確認」です。
確認すべきは、次のことです。

  • 発覚の経緯(だれがどこで発見したのか)
  • 個人情報漏洩が判明した日時
  • 流出した個人情報の内容
  • 流出した個人情報の件数
  • 現時点での対応状況 など

これらの発生状況を正確に把握しなければ、被害を止める具体策や次にどのような対策をとれば良いのか判断できません。
個人情報漏洩が発生すると慌ててしまいますが、冷静に事実確認、状況確認を行いましょう。

二次被害防止

二次被害を出さない、被害を拡大させないためにも、対策本部を設置し必要な応急処置を行います。
たとえば、外部からアクセスすることで被害が広がるようなら、外部からのアクセスを遮断します。そのほか有効な応急処置には、情報の隔離、ネットワークの遮断、サービスの停止などがあります。

原因究明

状況を確認できたら、次にやるべきことは「原因究明」です。
「なぜ、個人情報漏洩が起きたのか」、その原因を突き止めましょう。原因がわかれば、本質的な解決策が見えてきます。

再発防止

個人情報漏洩を二度と起こさないよう、再発防止策を検討、実施しましょう。
個人情報漏洩の原因に基づき、防止策を検討します。たとえば、人為的なミスが原因ならば、同じミスを起こさない業務フローを変えたり、スパイウェアなどで悪意ある第三者が盗まれたのであれば、セキュリティ面を強化します。そのほか、個人情報漏洩が起きた原因以外にも、防止策を強化したほうが良い部分があれば検討してください。
防止策が固まったら、それを実施していきましょう。

企業が個人情報漏洩を未然に防ぐためにできる対策

【2022年版】個人情報漏洩の被害事例と対処法・対策を徹底解説

企業が行なっておくべき個人情報漏洩対策を解説していきます。

従業員への教育

個人情報漏洩対策で重要なのが、従業員への教育です。
個人情報の重要性と個人情報をどのように取り扱うかを従業員へ浸透させておきます。従業員への教育を怠っていると、いつしか個人情報流出を引き起こし、企業に大きな損害を招くことも考えられます。
社内で定期的に個人情報についての教育・研修を行い、意識を向上させるようにしましょう。

セキュリティソフトの導入

セキュリティソフトのなかには、サイバー攻撃やマルウェアの検知、Webサイトやソフトの脆弱性診断などの機能を備えているものもあります。
個人情報漏洩防止に加え、セキュリティ対策にもなるので、セキュリティソフトを導入しましょう。

個人情報の管理や持ち出しの取り締まり

個人情報の管理や持ち出しのルールを作成し、徹底することも個人情報漏洩の対策になります。
次のようなルールを社内で徹底しましょう。

  • 個人情報は厳重に扱う
  • しっかりとした管理をする
  • 原則、個人情報は社外に持ち出さない など

書面の取り交わし

個人情報流出を防ぐため、入社時に守秘義務に関する書面を社員と取り交わしておくのも有効です。書面の取り交わしにより、社員に対して情報に対する認識を整え、情報漏洩がいかに重大な事態なのかを理解させる機会になります。

内部不正を防ぐ

残念なことに、近年増えているのが内部不正による情報漏洩です。
情報は、個人情報のみならず、会社の資産となる特許や特許技術も、内部不正によって漏洩するケースがあります。
このような内部不正を防ぐには、次のような対策を行い、内部不正しにくい環境を作ることが大切です。

  • 重要情報にアクセスできる人の制限
  • 多要素認証
  • メールやインターネットの利用履歴のチェック
  • アクセスログの監視
  • USBメモリなどの外部記憶媒体の利用制限
  • 入退室制限/入退室管理 など

システムの脆弱性の確認

システムやソフトウェア、アプリケーションなどの脆弱性を狙い、不正アクセスを行なって個人情報を盗み、結果、情報漏洩することもあります。
この脆弱性を防ぐには、システムの場合は脆弱性を常にチェックしておくこと、ソフトウェアやアプリケーションの場合は、定期的なアップデートを行なうことです。
これらにより、脆弱性を減らすことができ、不正アクセスなどの対策になります。

適切なアクセス権限の付与

個人情報を保存するフォルダにアクセス権限を付与することも、情報漏洩を未然に防ぐ対策になります。アクセス権限により、ファイル閲覧できる人員を限定するのは特に有効です。重要な情報だからこそ、だれでも見られるようにするのではなく、必要な人員が必要な時に見られるようにアクセス権限の設定をしましょう。

データの暗号化・マスキング

USBメモリなど持ち出せる端末を使用している場合は、データの暗号化やマスキングを行うのも対策として有効です。万が一、紛失や盗難された際も、暗号化されていれば解読は困難なため、情報漏洩のリスクを低減できます。また、外部で利用する際に不要な情報のマスキングを行っておくことで、そもそも持ち出す個人情報自体を減らすことも、情報漏洩リスクの低減になります。

セキュリティ対策に十分な人員・機器の確保

セキュリティに詳しい人員の確保やセキュリティを守るための機器の導入は重要です。
情報はただのデータではなく、会社の資産です。情報漏洩が発生してしまうと、取引先からの信用を失ってしまいます。資産を守るためにそれなりの投資をしましょう。

従業員が個人情報漏洩を未然に防ぐためにできる対策

個人情報漏洩を未然に防ぐため、従業員にもできることがあります。日頃から対策をとるように心がけましょう。

パスワードの管理や使い方

社内で、パスワードの管理・使い方を徹底するようにしてください。
当たり前のことですが、

  • みだりに第三者に教えない
  • 第三者の目に触れるところに放置しない
  • 簡単に推測されないパスワードを設定する
  • パスワードの使い回しはしない
  • ファイル共有は、公開範囲を適切に設定する

などを行いましょう。

二段階認証

二段階認証や二要素認証が導入されている場合は、必ず活用するようにしましょう。
二段階認証とは、二つの段階を経て認証を行うことをいいます。たとえば、一段階目でIDとパスワードを入力し、二段階目で秘密の質問に回答し、正解すれば認証されるというものです。
一方、二要素認証は、異なる二つの要素を組み合わせて認証を行うことをいいます。IDとパスワード、秘密の質問といった「知識要素」、スマホのSMS認証やICカードなどの「所有要素」、顔や指紋のような「生体要素」のうち、いずれか2つ以上を組み合わせて認証します。
二段階認証や二要素認証は、手間がかかるように思われますが、それほどではありません。リスク軽減につながるので活用するようにしてください。

OSなどのアップデート

OSやブラウザ、ソフトウェア、アプリケーションの定期的なアップデートにより、さまざまな攻撃を防ぐことができます。というのも、OSなどは、既存の脆弱性を塞ぐためのセキュリティパッチが随時公開されているためです。社内でアップデートルールを決め、実施する仕組みを作っておきましょう。

個人情報漏洩の被害事例

個人情報の漏洩にはさまざまなパターンがあります。

  • サイバー攻撃により、保存していた個人情報が外部に流出した
  • メールの誤送信により、開示してはいけない人へ個人情報を送ってしまった
  • 個人情報をまとめているリストが盗難にあった
  • 取引先の個人情報を誤って持ち出してしまい、紛失してしまった など
    悪意の有無関係なく、個人情報の漏洩は発生する可能性があります。常日頃から、漏洩させないようにどうすればよいか考え、対策を行うようにしましょう。

情報漏洩を防ぐならNECフィールディング

NECフィールディングには、「ファイルサーバ統合管理ソフトウェアNIAS(NEC Information Assessment System)構築サービス」があります。

このサービスでは、ファイルサーバアクセス権の管理や効率的な整理・削除、運用の効率化を実現するファイルサーバ管理ソフト、NIAS(NEC Information Assessment System)の導入から運用保守までトータルにサポートします。ソフトウェアのインストール・設定作業、動作確認、管理者教育、ドキュメント作成までスムーズに提供します。

情報漏洩の不安があるのであれば、ぜひ「ファイルサーバ統合管理ソフトウェアNIAS構築サービス」をご検討ください。

万全な対策で個人情報漏洩を未然に防ぐ

個人情報漏洩リスクは、どの企業にもあります。
紹介した対策を参考にしていただき、個人情報漏洩を防ぎましょう。

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。