お問い合わせ
近年、個人情報漏えいが増加しています。情報漏えいは、個人のプライバシーだけでなく、企業の信用そのものにも大きな悪影響を与えます。
この記事では、改正個人情報保護法に準拠した対応および被害事例を紹介します。情報漏えいによる被害を最小限に抑えるためにも、リスクを理解し、適切な対策を講じてください。
目次
個人情報の漏えいが発覚した場合はどうすればよいのか?
情報持ち出しなどの社内不正や、ハッキングなどのサイバー攻撃によって個人情報(氏名、住所、電話番号、クレジットカード番号、パスワードなど)の漏えいが発覚した場合、端末のハッキングや詐欺、不正送金などの金銭被害に発展する可能性があります。
個人情報の漏えいが発覚した場合、企業や警察から連絡が入る場合もあります。このようにして情報漏えいが発覚した場合は、速やかにアカウントや端末のパスワードを変更することが一般的に推奨されます。
しかし、状況によってはパスワードの変更やアカウントの作り直しを行っても不正アクセス被害などが発生することがあります。
個人情報漏えいが発覚した場合に有効なのが端末の「フォレンジック調査」です。フォレンジック調査とは、パソコンやスマホなどデジタル機器から、不正アクセスやデータ漏えいなどの痕跡を調査し、インシデントの詳細な事実を明らかにする調査です。これによって情報漏えいの有無や、漏えいの経路などを明らかにできることがあります。
企業の情報漏えいインシデント対応が義務化されています
個人情報の漏えいが発生した場合、速やかに関係当局に報告し、データ収集や解析、ログの調査を行ったうえで、侵害の経緯や被害範囲を明らかにする法的義務が組織にはあります。
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしマルウェアに感染したり、不正アクセスが発生した場合、まず感染経路や漏えいしたデータを確認することが重要です。
特に「脆弱性」を悪用した攻撃を受けた場合、再度、攻撃を受けないよう、適切な対応を行うとともに、どの端末のどのデータが詐取されたのかを確認する必要があります。
しかし、セキュリティツールはマルウェアを検知・駆除できますが、感染経路や情報漏えいの有無を適切に調査することはできません。したがって、自社調査だけでは客観性や正確性が担保できないことがあるため、調査を実施する場合、フォレンジック(Forensic)の専門家と提携することをおすすめします。
フォレンジック調査の詳細については、下記の記事でも詳しく解説しています。
\相談から最短30分でWeb打ち合わせを開催/
漏えい等報告が必要なケース
個人情報の保護に関する法律の第六十八条(漏えい等の報告等) では次のように規定されています。
通知を受けた行政機関の長等(地方公共団体など)は、個人情報の流出・消失が起こり、個人の権利や利益を害する可能性が高い事態が起きた場合、個人情報保護委員会に報告しなければならない。またその場合、規則に従って、本人にその旨を通知する必要がある。
特に令和4年(2022年)4月1日からは、データの漏えい等が発生ないし、その恐れがあり、個人の権利利益を害するおそれがある場合、個人情報取扱事業者は、個人情報保護委員会への報告と、本人への通知が必要となりました。
たとえば以下のような場合、個人情報保護委員会への報告と本人への通知が必要です。
- (1)要配慮個人情報が含まれる個人データの漏えい等
- (2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
- (3)不正の目的をもって行われたおそれがある個人データの漏えい等
- (4)個人データに係る本人の数が1,000人を超える漏えい等
- (5)条例要配慮個人情報が含まれる保有個人情報の漏えい等
(1)要配慮個人情報が含まれる個人データの漏えい等
要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪歴、身体障害、精神障害など「社会的差別の原因となるおそれのある個人情報」をいいます。
要配慮個人情報が含まれる個人データが漏えいした場合、個人のプライバシーが侵害されるだけでなく、差別や偏見につながる可能性があります。そのため、要配慮個人情報の漏えい等が発生した場合は、速やかに個人情報保護委員会へ報告する必要があります。
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
財産的被害が生じるおそれがある個人データとは、クレジットカード番号、口座番号、生年月日などの個人情報、あるいは企業秘密などの機密情報をいいます。
これらの個人データが漏えいし、不正に利用されると、損害を被ったりする可能性があります。そのため、財産的被害が生じるおそれがある個人データの漏えい等が発生した場合は、速やかに個人情報保護委員会へ報告する必要があります。
(3)不正の目的をもって行われたおそれがある個人データの漏えい等
これは、不正アクセスやマルウェア(ランサムウェア)感染などの不正行為により個人データが漏えいしたケースをいいます。この場合、個人や企業に重大な被害が及ぶ可能性があるため、速やかに個人情報保護委員会へ報告する必要があります。
(4)個人データに係る本人の数が1000人を超える漏えい等
個人情報保護法で定められた一定要件(1000人)を満たす漏えい等が発生した場合は、速やかに個人情報保護委員会へ報告し、個人情報の所有者へ通知する必要があります。
(5)条例要配慮個人情報が含まれる保有個人情報の漏えい等
条例要配慮個人情報とは、本人に対する不当な差別、偏見その他の不利益が生じないよう、その取扱いに特に配慮を要する個人情報を地方公共団体の条例で特別に規定したものです。
条例要配慮個人情報に該当する具体的な個人情報は、地方公共団体によって異なりますが、例えば以下のような個人情報条例が該当する場合があります。
- 性的指向
- 性自認
- 妊娠
- 出産
- 育児
- 障害
- 疾病
- 経済的困窮
- DV被害
- 虐待被害
- 人身売買被害
条例要配慮個人情報の取扱いについては、厳格な規制が設けられており、漏えい・滅失・毀損を防止するための安全管理措置を講じる必要があります。
いずれにせよ、個人情報の漏えい等が発生した場合は、速やかに被害の全容を正確に把握し、個人情報保護委員会へ報告するとともに個人情報の所有者へ通知する必要があります。
\サイバーセキュリティの専門家へ24時間365日で無料相談/
個人情報保護法における漏えい等の報告フロー
個人情報保護法における漏えい等の報告フローは、以下のとおりです。
- 【速報】漏えい等の事実が発覚した時点で、速やかに委員会へ通報(3〜5日以内)
- 【確報】被害を調査して委員会へ詳細を続報(速報から30日以内)
- 【通知】本人に漏えい等の事実を通知(漏えい等の事実を把握した日から7日以内)
データ漏えいが発生した場合、速やかに個人情報保護委員会へ報告し、指示に従って対応することが重要です。また外部の専門家に調査を依頼し、再発防止を講じることが重要です。
【速報】漏えい等の事実が発覚した時点で、速やかに委員会へ通報(3〜5日以内)
当該組織が個人情報の漏えい等の事実を確認した場合、速やかに個人情報保護委員会への通報が必要です。通報は事実を確認した日から3〜5日以内に行うようにしてください。なお、内容には、漏えい等の事実やその背景、影響範囲について簡潔かつ明確に記載します。
【確報】被害を調査して委員会へ詳細を続報(速報から30日以内)
通報後、速報から30日以内に、委員会へ被害の調査結果や影響範囲、再発防止策などの詳細な報告を行ってください。報告には、漏えい等の事実、原因や経緯、被害の程度、個人情報の保護策の再評価などが含まれるべきです。
しかし、自社だけでの調査は不完全とされています。その理由は、以下のとおりです。
- 漏えいの原因や影響範囲を把握しきれない場合がある。
- 再発防止策を十分に講じれない可能性がある。
そのため、データ漏えいが発生した場合は、外部のサイバーセキュリティ専門家に調査を依頼することが重要です。
専門技術を保有する外部の専門家は、漏えいの原因や影響範囲を的確に把握し、再発防止策を十分に講じることができます。これにより、個人情報の所有者に漏えいの事実を適切に通知することができます。
\サイバー攻撃被害 24時間365日受付/
【通知】本人に漏えい等の事実を通知する(漏えい等の事実を把握した日から7日以内)
漏えい等の事実を把握した場合、被害を受ける可能性のある個人に対しては、速やかに通知する必要があります。通知は、漏えい等の事実を把握した日から7日以内に行うようにしてください。
通知の内容には、「漏えいした個人情報の種類」、「影響の可能性」、「対処方法」などを明確かつ分かりやすく記載してください。また、通知方法についても適切な方法を選択し、個人情報保護法に準拠した手続きを行ってください。
以上が個人情報保護法における漏えい等の報告フローです。迅速かつ適切な対応を行い、個人情報の保護と被害の最小化に努めるようお願いいたします。
出典:個人情報保護委員会
情報漏えいが起きてしまった場合の流れ
情報漏洩が起きてしまった場合、以下のような流れでの対応が必要とされます。
- 漏えいの状況を把握する
- 漏えいした情報の種類とデータ量を特定する
- 漏えいした情報にアクセスした可能性がある人物を特定する
- 漏えいした情報の被害を最小限に抑える対策を講じる
- 漏えいした情報の本人や関係者に通知する
- 個人情報保護委員会や監督官庁に報告する
- 情報漏えいの原因を調査し、再発防止策を講じる
①漏えいの状況を把握する
情報漏えいがどのような経路で発生したのかを迅速に把握するため、関連するログや記録を調査し、漏えいの範囲や影響を特定します。
②漏えいした情報の種類とデータ量を特定する
漏えい情報の種類や個数、漏えいした範囲を特定することで、被害の程度を把握します。
ただし、情報漏えいの状況を正確に把握するには、フォレンジック調査で膨大なデータを調査する必要があります。
フォレンジック専門家は、データ収集、ログ分析、データ復元などの高度なスキルを持っており、効率的にデータを解析し、情報の種類やデータ量を詳細に特定することができます。
③漏えいした情報にアクセスした可能性がある人物を特定する
アクセス権限を持つ人物や不正の痕跡を調査し、漏えいした情報にアクセスした可能性がある人物を特定します(これには内部の不正行為やハッカーの関与が考えられます)。
④漏えいした情報の被害を最小限に抑える対策を講じる
被害を最小限に抑えるためには、漏えいした情報を悪用される可能性を排除するための防止措置を講じる必要があります。
これには、漏えいした情報のアクセス権限の剥奪、パスワードの変更、セキュリティパッチの適用、暗号化などのセキュリティ対策が含まれます。
⑤漏えいした情報の本人や関係者に通知する
漏えいした情報の本人や関係者に対して、適切な通知を行います。この際、情報漏えいの事実や影響範囲、対応策などを適切な形で伝えることが重要です。
⑥個人情報保護委員会や監督官庁に報告する
情報漏えいが発生した場合は、個人情報保護委員会や監督官庁に速やかに報告することが求められます。この際、第三者の調査機関と提携して、適切な報告手続きを行いましょう。
\フォレンジック調査の専門家へ24時間365日無料相談/
⑦情報漏えいの原因を調査し、再発防止策を講じる
個人情報漏えいの原因を徹底的に調査し、再発防止策を実施します。これにはセキュリティポリシーの見直し、セキュリティ対策の強化などが含まれます。
ただし、現在の不正アクセス・サイバー攻撃は、より巧妙で複雑なものとなっており、従来のセキュリティソフトでは対策が追いつかなくなっています。そのため、ネットワークの入口・内部・出口で、多層防御を行う必要があります。
効果的な情報セキュリティ対策については下記の記事でも詳しく解説しています。
個人情報保護法における漏えい等の罰則
万が一漏えい等が発生した場合、個人情報取扱事業者は、速やかに委員会と本人に報告するよう努めなければなりません。
個人情報保護法における漏えい等の罰則は、以下のとおりです。
- 安全管理措置の不備など重大な過失があった場合:100万円以下の罰金または2年以下の懲役
- 報告を怠った場合:50万円以下の罰金または1年以下の懲役
安全管理措置の不備など重大な過失があった場合:100万円以下の罰金または2年以下の懲役
安全管理措置に不備や重大な過失があった上で漏えい等が発生した場合、100万円以下の罰金または2年以下の懲役が科される可能性があります。
安全管理措置の不備や重大な過失の具体例としては以下のようなものが考えられます。
- 不適切なアクセス制限
- セキュリティ対策の欠如
- 暗号化やデータの保護措置の欠如
- 不適切なデータの保管・廃棄処理
報告を怠った場合には、罰金が科される可能性があります。
報告を怠った場合:50万円以下の罰金または1年以下の懲役
個人情報の漏えい等の事実を報告せず、適切な措置を講じなかった場合、50万円以下の罰金または1年以下の懲役が科される可能性があります。よって個人情報の漏えい等が発生した際には、遅滞なく個人情報保護委員会への報告が求められます。
なお、情報漏えいの経路や原因を明らかにする場合は、デジタル端末を科学的な手法を用いて解析する「フォレンジック調査」が有効です。
フォレンジック調査をおこなうことで、漏えいの原因となった感染経路、脆弱性、漏えいデータなどを正確に把握し、被害範囲に関して適切な報告をおこなうことができます。
情報漏えいによる被害調査は専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
DDFの調査事例
| 調査背景 | 退職した社員から情報漏洩の疑いがある。退職者は競合他社へ転職済み。その際、顧客情報やマニュアルを含めた機密データを持ち出している可能性があるため、当社に調査を依頼。 |
| 調査機器 | ノートパソコン 1 台 |
| 調査内容 |
退職者が使用していたパソコンの「証拠保全」と「削除データ復旧」「外部接続機器、クラウドサービスの利用履歴」を調査。 |
| 調査結果 |
USB 接続履歴、削除Office データ、検索キーワードを調査した結果、転職先にデータが持ち込める状態になっている事が確認された。更に、退職者のインターネット閲覧履歴・検索キーワードの解析から、業務に関係のない検索履歴を確認。業務時間中の職務怠慢の可能性も併せて報告。 |
情報漏えい調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様 最短30分でお打合せ可能です/
調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
日本国内の主な個人情報漏えい事件
上記は、2004年から2022年までの主な情報漏えい事件の一覧です。情報漏えい事件は、個人情報の流出だけでなく、二次被害としてなりすましや詐欺、不正利用などの問題が発生する可能性があります。よって企業や団体は、情報漏えい対策を講じることが重要です。
| 発生年 | 法人・団体名 | 漏えい件数(人数) | 漏えい原因 | 漏えい内容 | 備考 |
|---|---|---|---|---|---|
| 2004年 | Yahoo! BB | 約450万人 | 情報の管理体制の不備 | 住所、氏名、電話番号、メールアドレス | 不祥事を因縁にソフトバンクから金銭を脅し取ろうとした恐喝未遂も発生した。 |
| 2011年 | 衆議院サーバーハッキング事件 | 2676人 | メールに添付されたファイルからトロイの木馬に感染 | 国会議員、議員秘書、事務局職員のID・パスワード | 犯人を特定できないまま2014年に公訴時効が成立。 |
| 2011年 | PlayStation Network個人情報流出事件 | 約7700万人 | 不正アクセス | 氏名、住所、電話番号、メールアドレス、クレジットカード番号など | サービス停止に要した費用は1億7,100万ドル(約230億円) |
| 2012年 | ザ・ムービー事件 | 約1183万件 | 個人情報を抜き取るAndroidマルウェア | 電話番号、メールアドレス | 当該アプリはGoogle Playで配信されていた。 |
| 2013年 | 2ちゃんねる個人情報流出事件 | 約20万人 | 不正アクセス | ①有料会員の個人情報4万件
②有料サービス登録者情報15万件 ③利用者や関係者のトリップやキャップ情報 |
①二次被害に流出した個人情報をもとに書き込み主を特定する晒し行為が発生。会社から退職勧告を受けたり、家にいたずらされたりするなど被害が出た。
②事件後、2ちゃんねるの運営方針をめぐり、管理業務を行っていたレースクイーン社代表のジム・ワトキンスが新管理人となる。 |
| 2014年 | ベネッセ個人情報流出事件 | 3504万件 | データベースの顧客情報が名簿業者に売却された | 氏名、住所、電話番号、メールアドレスなど | 刑事・民事で法廷闘争が行われた |
| 2015年 | 東商企業・会員情報流出問題 | 1万2139人分 | ウイルス感染 | 会員企業の社員の名刺に基づく情報、およそ3年分 | 二次被害として、不正なインターネット利用やクレジットカードの不正利用が発生した |
| 2019年 | 神奈川県HDD転売・情報流出事件 | 3TBのHDD18個 | ハードディスクがヤフオクとメルカリで転売 | 神奈川県庁で扱われていた個人情報や機密情報 | 転売した元男性社員に対し懲役2年執行猶予5年の判決が下った。 |
| 2022年 | 年金管理システムサイバー攻撃問題 | 125万件 | ウイルス感染 | 氏名、基礎年金番号、生年月日、住所 | 職員のパソコンが情報系システムでつながっていたため、少なくとも10台以上がウイルス感染した。 |
| 2024年 | NTTビジネスソリューションズ | 928万件以上 | 情報持ち出し | 氏名、住所、電話番号(性別・年齢等その他の情報が含まれるものも一部) | NTTビジネスソリューションズの元派遣社員が約7年間にわたり、顧客情報を名簿業者に漏えいしていた。 |
なぜ個人情報が漏洩するのか:最多は「不正アクセス」次いで「誤操作、設定不備」
個人情報の漏えいは、複数の原因で起こります。
デジタルアーツ社が2022年2月に公開した「過去3年分の国内セキュリティインシデント集計」によれば、個人情報の漏えいで最も多いのが「不正アクセス」です。
不正アクセスとは、悪意のある第三者が、不正な手段でシステムに侵入して、個人情報を盗み出すことで、脆弱性を突いたハッキングが過半数を占めています。
次に多いのが「誤操作や設定不備」です。誤操作とは不注意やミスによる漏えいで、設定不備はシステムやソフトウェアの設定が不十分で、個人情報が漏えいしてしまうことです。
つまり、個人情報の漏えいを防ぐには、不正アクセスや設定不備の対策が大切です。
たとえば、以下のようなものがあります。
- セキュリティソフトを導入し、最新の状態に保つ
- パスワードを定期的に変更し、強固なものにする
- 不必要に個人情報をインターネット上に公開しない
- 端末を紛失・盗難しないように注意する
- 端末を不正アクセスから保護する設定を行う
- 社内ネットワークを保護する設定を行う
- 従業員にセキュリティ教育を行う
これら対策を講じることで、個人情報の漏えいを最大限防ぐことができます。
仮に、個人情報の漏えいが発生した場合は、速やかに関係当局に報告し、適切な調査・報告を行う必要があります。
\官公庁や上場企業、捜査機関 対応実績対数/
個人情報の漏えいを未然に防ぐために行うべきこと
個人情報漏えいを未然に防ぐためには、以下の対策を行うことが大切です。
- セキュリティ意識の向上
- ネットワークセキュリティの強化
- アクセス制御の強化
- データの暗号化
- バックアップと復旧計画の策定
- 定期的なセキュリティ評価
セキュリティ意識の向上
- 従業員に対してセキュリティ教育を実施する
- フィッシング詐欺やスパムメールなどの手口を理解し、警戒心を持たせる
- 強力なパスワードの使用と定期的な変更を促す
ネットワークセキュリティの強化
- ファイアウォールや侵入検知システム(IDS)などのセキュリティツールを導入する
- ソフトウェアのアップデートやセキュリティパッチの定期的な適用を行う
- 不要なネットワークサービスやポートを無効化する
アクセス制御の強化
- 個別のユーザーアカウントを作成し、必要最小限のアクセス権限にする。
- ユーザーの活動を監視し、不審な活動(アクティビティ)を検出する仕組みを導入する。
- 機密データへのアクセスには二要素認証を導入する
データの暗号化
- 機密データを暗号化することで、情報漏洩時の被害を最小限に抑える
- モバイルデバイスや外部メディアなどのデータも暗号化する
バックアップと復旧計画の策定
- 定期的にバックアップを取得する
- バックアップデータの保管先は感染防止のため物理的に切り離された場所に保管する
- 不正アクセスによりデータが損なわれた場合を想定した復旧計画を策定する
定期的なセキュリティ評価
- 上記の項目を基準として、セキュリティ対策の状況を定期的に評価し、改善を行う
- 評価の結果をもとに、脆弱な箇所を改善し、セキュリティ対策を強化する
これらの対策を講じ、定期的なセキュリティ評価を講じることで、個人情報の漏えいなどのリスクを低減することができます。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
