お問い合わせ
個人単位で発生する情報漏えいと異なり、企業の個人情報流出は一度に数万人以上の情報が不特定多数に閲覧されるリスクがつきまといます。
知らないうちに自身の住所やクレジットカード番号などが流出すると、犯罪者によって悪用され、サイバー攻撃や詐欺の被害に遭うことが容易に予想されます。
企業の場合は責任問題となり、適切な対応ができなければ信用を失い、顧客離れや取引停止に追い込まれ、倒産するリスクがあります。
本記事では最悪の事態を防ぐために、主に企業から流出した個人情報の行方と、個人情報流出による被害と対策について解説します。
\24時間365日相談受付/
目次
個人情報が流出するとどうなる?
個人情報が流出してしまうと、ダークウェブ(一般的な検索ブラウザでは検索できないサイト)などの犯罪性が高いサイト群で売買されることがあります。
住所氏名以外にも、アカウント情報やクレジットカード番号、銀行口座の暗証番号の流出には特に注意が必要ですが、法人ネットワークのログイン情報やパスワードも漏えいしていないか注意しなければなりません。
個人情報の漏えいが故意に行われた場合、犯人は懲役刑となります。一方で企業も個人情報の取り扱いがずさんであれば、個人情報保護法に基づき最大で1億円の罰金の支払いを求められる可能性があります。
実際の個人情報流出事例
過去、実際に発生した個人情報の流出事例は以下の通りです。
| 発生年 | 法人・団体名 | 漏えい件数(人数) | 漏えい原因 | 漏えい内容 | 備考 |
|---|---|---|---|---|---|
| 2014年 | ベネッセコーポレーション | 3504万件 | データベースの顧客情報が名簿業者に売却されたため | 氏名、住所、電話番号、メールアドレスなど | 刑事・民事で法廷闘争が行われた |
| 2015年 | 東京商工会議所 | 1万2139人分 | ウイルス感染 | 会員企業の社員の名刺に基づく情報、およそ3年分 | 二次被害として、不正なインターネット利用やクレジットカードの不正利用が発生した |
| 2019年 | トレンドマイクロ株式会社 | 約12万件 | 社員による情報持ち出し | 氏名やメールアドレス、同社で対応したサポートのチケット番号 | 情報を提供された第三者が情報を悪用し、サポート詐欺を行った |
| 2021年 | 株式会社横浜銀行 | 4万1,729件 | 誤送信 | 顧客のカナ氏名、電話番号、メールアドレス、口座番号情報など | 第三者への転送等の送信先以外への流出は確認されていない |
| 2022年 | 株式会社矢野経済研究所 | 10万1988件 | 不正アクセス | 会員のメールアドレス、ログイン情報 | 不正アクセス後、サイト閉鎖、ログインパスワードの初期化が行われた |
| 2023年 | ソースネクスト株式会社 | 12万982件 | 不正アクセス | クレジットカード番号、有効期限、セキュリティコード、カード名義人名他 | クレジットカード情報が不正利用の可能性が確認された |
個人情報が流出する原因
個人情報が流出する原因には以下の物が挙げられます。
ネット詐欺
ネット詐欺とはインターネットを利用した詐欺です。有名なものには以下の詐欺があります。
- フィッシング詐欺…銀行や通販サイトなどの偽サイトに誘導し、個人情報を入力させる
- 当選詐欺…嘘の当選メールを送り、景品を贈ると嘘をついて個人情報を入力させる
- サポート詐欺…「ウイルスに感染しました」などと嘘の警告を表示させ、偽のソフトやアプリのインストールを行わせる
近年は偽サイトや偽警告が作りこまれ、一目で判別することが困難になりつつあります。
マルウェア感染
マルウェアとは悪意あるソフトウェアの総称です。マルウェアの例として以下の種類が挙げられます。
- コンピューターウイルス…電子メールやホームページ閲覧などによってコンピュータに侵入する
- スパイウェア…コンピュータ内部に侵入し、ユーザーの個人情報などを収集し攻撃者に送信する
- ランサムウェア…被害者のパソコンのデータをロック、暗号化し、身代金を要求する
マルウェアのうち、情報漏えいに使用されるのはスパイウェアやランサムウェアです。ランサムウェアはネットワークに侵入する過程で情報の窃取も行うため、情報の公開と引き換えに身代金の支払いを要求する場合もあります。
従業員のミス
従業員のミスも個人情報漏えいの原因の一つです。特に顧客とやり取りする機会の多い場合や、個人情報を大量に取り扱う機会が多いほど、漏えいが発生しやすくなります。
企業の情報管理体制の不備
企業の情報管理体制や社内のセキュリティシステムに不備があると、不正アクセスや内部不正を防ぐことができず、個人情報が漏えいしかねません。
社内のセキュリティシステムの設定や保守契約について把握していない場合や、個人情報の持ち出し規定を設けていない場合は、個人情報漏えいのリスクやサイバー攻撃に遭遇するリスクが高くなります。
従業員の不正行為
従業員の不正行為も個人情報の漏えいを発生させ、企業に実害を与えることがあります。従業員が同業他社へ転職する際に個人情報の持ち出しが行われる場合もあります。
内部不正による情報漏えいが発生した場合は、必要な調査を行い、個人情報保護委員会へ報告することが必要です。場合によっては懲戒解雇や民事訴訟、刑事告訴を行う必要もあるため、外部の専門家などと連携して社内の書類や端末の調査を行いましょう。
個人情報が流出した場合の被害
個人情報が流出した場合、個人と法人で被害の内容が異なります。以下それぞれの被害例を紹介します。
個人の場合の被害
個人情報が流出した場合、本人は以下の被害を受ける可能性があります。
- 金銭被害
- オレオレ詐欺などの特殊詐欺や悪徳商法の被害
- ストーカーや脅迫される被害
- SNSなどのアカウント乗っ取りの被害
- 個人情報がサイバー犯罪の侵入に使用される被害
本人から個人情報を引き出すために、フィッシング詐欺やサポート詐欺が利用される場合があるため、個人情報の入力を求めるメールには注意が必要です。
法人の場合の被害
法人が個人情報を流出させてしまった場合は、顧客や取引先から責任を追及され、契約解除や顧客離れが発生し、最悪の場合は倒産の恐れがあります。
その他に個人情報が流出することによって発生する被害には以下のものが挙げられます。
- 社会的信頼の低下
- 利益の減少
- 企業内秘密の流出
- 顧客の離反
- 企業に所属する従業員への被害
- 倒産の被害
なお法人がサイバー攻撃や内部不正により個人情報が漏えいした場合、法律により個人情報保護委員会へ速報と確報の報告義務が発生します。
企業の個人情報流出における法的措置・罰則
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしサイバー攻撃や情報持ち出しにより個人情報が漏えいした場合、まず感染経路や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
個人情報が流出した場合の対処法
個人情報の流出が発覚した場合、企業の場合は迅速な初動対応、報告、再発防止が必要です。企業が行うべき個人情報流出の対処法は以下の通りです。
個人情報漏えいの初動対応を行う
個人情報の漏えいが発覚したら、インシデントに応じた初動対応が重要になります。
特にサイバー攻撃が発生した場合は、ネットワークを遮断し、被害を受けたサービスの停止、個人情報を隔離させましょう。
またクレジットカード番号や銀行口座番号が漏えいした場合は、すぐに対象のクレジットカード会社や銀行に連絡しましょう。
個人情報漏えいの原因を調査する
初動対応が完了したら社内で調査を行い、個人情報が漏えいした原因の特定や、漏えいした情報の種類について調査を行います。
ただし、近年は個人情報の漏えいがパソコンやスマートフォンを介して行われるため、端末の調査が必要になることが多いです。端末に保存されたデータを調査するには、フォレンジック調査と呼ばれる専門的な調査が必要になります。
フォレンジック調査とは、パソコンやスマートフォンなどデジタル端末を調査し、そこからインシデントを究明、ないし解決するため、電子的証拠を収集する手法です。
フォレンジック調査では、調査の過程で証拠保全や、特殊なツールを用いた削除データの検出・復元なども行われます。
フォレンジック調査で取り出せる証拠データ例としては次のものがあります。
- 最近開いたファイルに関する履歴の確認
- 外部への情報流出履歴の確認
- インターネットおよび社内サーバへのアクセス履歴の確認
- プログラムの実行履歴の確認
- 削除したファイルの調査
- 特定ブラウザの調査
- Office文書のプロパティ情報の調査
以上のフォレンジック調査ができるフォレンジック調査会社に依頼すると、公的機関に提出できる調査報告書の作成や、システムの脆弱性診断なども行ってもらえる場合があるため、お客様対応で十分な調査が行えない場合におすすめです。
個人情報漏えいについて報告・通知・公表を行う
個人情報の漏えいが発覚した場合、企業では漏えいした本人や取引先、従業員に漏えいの事実を公表する必要があります。
また、個人情報の漏えい発覚から3~5日以内と30日以内までに個人情報保護委員会へ速報と確報を報告することを忘れないようにしましょう。確報には調査が必要になるため、社内対応に忙しい場合は、外部の調査会社に相談しましょう。
システムの復旧・再発防止策を実行する
調査が一通り完了したら、各原因に対応したシステムの復旧や再発防止策を実行しましょう。個人情報漏えいの中でも深刻な、サイバー攻撃と内部不正に対する再発防止策は以下の通りです。
サイバー攻撃の場合
- セキュリティの更新を行う
- バックアップを取る
- システムの保守会社との契約を見直す
- より性能が優れたセキュリティサービスを導入する
内部不正の場合
- 情報持ち出しの規定を改定する
- 犯人の懲戒解雇を行う
- 犯人に民事訴訟を起こす
- 刑事告訴を行う
個人情報漏えい調査・対策を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセス、社内不正、情報持ち出しのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\累計3.2万件の相談実績 24時間365日無料相談OK!/
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
法人様は最短30分でWeb打ち合せ(無料)を設定
個人情報流出の予防策
個人情報の流出を予防するには、セキュリティを強固にするか、社内の個人情報の取り扱いを徹底化する必要があります。
個人情報流出を予防する具体的な方法の例は以下の通りです。
- 個人情報の外部の持ち出しを禁止する
- 個人情報に閲覧制限をかける
- 職場の私用の端末の持ち込みを禁止する
- 最新のセキュリティソフトを導入する
- セキュリティを最新の状態に更新する
- パスワードや認証方法を複雑にする
- パスワードの使いまわしを止める
- 従業員の教育を行う
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
