個人情報の漏えいの原因には従業員による資料の紛失や管理ミス以外にも、外部からのサイバー攻撃や、従業員や退職者などによる情報持ち出しといったものも含まれます。

企業が管理する個人情報が一度漏えいすると、クレジットカード番号などの金融情報などが漏洩するだけでなく、被害規模が数百万人から数千人におよぶ可能性もあるため、万が一に備え、適切な対応方法を知る必要があります。

この記事では情報漏えいで想定される損害・被害事例などを紹介した後、企業がとるべき対応方法を解説します。

個人情報漏えい・データ流出の原因

個人情報漏えい・データ流出の原因は以下の通りです。

人為的なミス

JNSAの調査によると、情報漏えいを起こす原因の約6割は「内部要因」であり、またその大半が「誤操作」「紛失」「置き忘れ」「管理ミス」などの⼈的ミスとされています。

始めから情報を盗むことを目的とした不正アクセスが原因となるのものは約2割程度ですが、不正アクセスによる情報漏えいは、人的ミスよりも大量に情報が漏えいする傾向があり、その分インシデントの被害も⼤きくなります。

不正アクセス

不正アクセスは、悪意ある第三者が、OSやソフトウェアの脆弱性を攻撃することや、盗んだ他人のID・パスワードを使用して組織の内部システムやサーバーなどに侵入することを指します。

不正アクセスについて調査したい方はこちら＞

情報持ち出し

情報持ち出しとは従業員などが意図的に、または無意識に、機密情報や個人情報を外部に持ち出すことを指します。特に退職時に顧客データやノウハウを持ち出す「手土産転職」や、USBメモリなどの外部記録媒体を使用した持ち出しが問題となっています。

2023年にデジタルデータソリューション株式会社が行った調査によると、過去に社内不正が発生した企業のうち、57％が関係者による情報持ち出しによるものであることが判明しています。

出典：PR Times

情報持ち出しの調査方法について詳しくはこちら＞

情報漏えい・データ流出で起きた被害事例

実際に情報漏えい・データ流出で起きた被害事例を紹介します。

CASE1／巧妙に遠隔操作で営業機密を持ち出し

2015年、家電量販の大手企業に勤めていた元社員が不正競争防止法違反（営業秘密の領得）の疑いで逮捕・起訴されました。

この元社員は退職前に遠隔操作ソフトを事務所のパソコンにインストールし、転職先から不正に営業秘密の情報を取得していたと言います。裁判長は持ち出したデータを「競合他社にとって利益をもたらす可能性が高い」として営業秘密に当たると判断。元社員は懲役2年、執行猶予3年、罰金100万円の有罪判決となりました。

出典：日本経済新聞

CASE2／2895万件の顧客情報が流出し、社会的信用も失墜

2014年6月下旬に発覚した大手通信教育事業者の情報漏えい事件では、派遣社員のシステムエンジニアが、顧客情報を不正にコピーして名簿業者に渡していました。結果的に2895万件もの顧客情報が流出し、会員も減少するなど社会的信用は失墜しました。なお、この企業は補償に200億円もの大金を充てることになり、純利益は2年連続で赤字に陥りました。

出典：日本経済新聞

個人情報漏えい・データ流出で想定される損害

企業が顧客情報を漏えいすると、企業は次のような法的責任を問われることになります。

刑事罰の対象となる

個人情報保護法20・21条では「個人情報を扱う企業は、データの安全管理のために必要な措置を講じ、従業員に対する適切な監督を行わなければならない」と規定されています。

従業員による不手際で、顧客情報が漏えいした場合、企業は個人情報保護法違反によって行政的な監督や注意勧告の対象となります（命令違反で6ヶ月以下の懲役、または30万円以下の罰金）。また、従業員の不手際でなく、外部のハッカーによって情報漏えいが発生した場合も、企業は個人情報保護法に基づく「安全管理措置責任」を問われることになります。

損害賠償請求の対象となる

顧客情報を漏えいすると、民事上の罰則が適用されることもあります。たとえば情報漏えいによる顧客が企業を相手取り、損害賠償請求を起こすこともあります。賠償金はケースによって異なりますが、合計すると数千万円以上になる可能性もあり、金銭的に大きな被害を企業が被る可能性があるのは言うまでもありません。

企業の信頼性が落ちる

顧客情報の漏えいが発覚すると、企業の信頼性が落ち、経済的な損失を被る場合があります。

長い年月をかけ地道に培った社会的信用は、たった一度の情報漏えいで失われてしまいます。たとえば情報漏えいでブランドイメージに傷がつくと、マーケットシェアを他社に奪われ、顧客との取引停止や契約破棄につながりかねません。

情報漏えいによる経済的な損失も、1件あたり4億円超にのぼり、損害賠償額の平均とあわせると、企業の全体的損失は、約10億円以上になります（売上低下は数年以上続く恐れがあるため、約10億円以上という額もあくまで目安に過ぎません）。

このように、失墜した信用を取り戻すには、莫大な時間とコスト、そしてマイナスをカバーする惜しみない努力が必要となってしまうのです。

出典：日経クロステック

情報漏えい・データ流出時の対応方法

企業で情報漏えいやデータ流出が判明した場合、以下の方法で対応を行いましょう。

被害拡大防止のための応急処置を行う

情報漏えい発覚後、漏えい件数に関わらず、被害拡大防止のため、次の対応を迅速に取りましょう。たとえ1件の情報漏えいでも、あくまでそれは氷山の一角に過ぎないからです。

被害拡大防止のため、原因やシチュエーションに応じて「ネットワークの遮断」「情報の隔離」「サービスの停止」「セキュリティソフトの更新」など応急処置を取りましょう。

また企業のIDとパスワードが流出した場合は、利用している全サービスのIDとパスワードを変更し、場合によってはクレジットカードの利用履歴などもチェックしましょう。

責任者を決め、対応チームを構築する

漏えい情報の管理責任者は、漏えいの発覚後、関係する人物や組織を洗い出したり、場合によっては対応チームを編成するなど、具体的なプロジェクトとして対応を推し進める必要があります。仮に、責任者やスケジュールを定めず、なし崩し的に調査してしまうと、情報を取りこぼしたり、被害の全容が把握できなくなる恐れがあります。

情報を5W1Hで収集・整理する

過不足なく情報を収集・整理し、原因を特定するには、発生日時、発生場所、発災当事者、漏えい内容、漏えい原因、漏えいの流れ（5W1H）を念頭に置いて調査を行いましょう。上記の事実関係に抜け漏れがあると、被害の全容がわからなくなる恐れがあります。

関係各所に個人情報漏えいを報告する

情報漏えいが発覚した場合、詳細な状況を迅速に関係者に伝える必要があります。

漏えいした情報に顧客など個人情報が含まれている場合、個人情報保護法に準拠した対応が必要となります。特に個人情報保護法が改正される2022年4月以降は、情報漏えいが1件でも発生した場合、本人および個人情報保護委員会への通知が原則義務化されました。

必要に応じ、警察、監督官庁、IPAへの報告・届出、ないしマスコミやホームページを介して公表も検討しましょう。

また取引先の情報が含まれる場合は、取引先の意向に沿った対応も並行して行います。

漏えいした情報に公共性・公益性の高い情報が含まれている場合は、監督官庁に報告したり、マスコミなどに情報開示する必要があります。

どのようなルートで報告・通知を行うか、社内規程やプライバシーポリシーで策定されている場合、フローに沿って円滑に行いましょう。

被害状況調査をフォレンジック専門業者と提携する

デジタルデータの情報漏えいが発覚した場合、企業はコンプライアンスにのっとり、被害実態の調査を行う必要があります。しかし、前述したようにデジタルデータは改ざんが容易なため、証拠とするには適切な保全の手順を踏む必要があります。企業内のシステム担当者がむやみに操作するのは控えましょう。

このような場合、デジタルデータから法的証拠を保全・収集・解析する「フォレンジック専門業者」と提携することで、最も適切かつ安全に被害調査を行うことができます。

電子的な記録は、容易に改変されてしまうため、システム担当者が不適切な操作を行うと、情報漏えいや不正アクセスの痕跡が不可逆的に上書きされ、調査が困難になる恐れがあります。

また民事裁判などで訴訟しても、証拠データが改変されている場合、法廷に証拠を提出することが出来なくなってしまいますので、証拠を失わないよう、専門家に端末の調査を相談することをおすすめします。

従業員の処分を行う

従業員が情報を持ち出した場合は、従業員に対して、民法709条または不正競争防止法21条による民事上・刑事上の措置を講じることもあります。

情報漏えいを起こした社員を処分する際、過去の裁判例から懲戒解雇の基準を満たしてることを確認し、専門家などと協力して証拠を収集しましょう。

証拠が不十分な場合、懲戒解雇が認められない場合があります。

被害者への損害補償を行う

裁判所から被害者からの慰謝料請求が認められた場合、損害賠償金を補償する義務が生じます。なお、流出した個人情報が、プライバシー権侵害にかかわるセンシティブな内容になるほど損害賠償額が高額になる傾向があります。

有効な再発防止策を実施

今後同じことを繰り返さないように、従業員に対する教育を徹底し、データの取り扱いルールの策定、セキュリティシステムの導入・更新を欠かさず行い、情報漏えいの再発防止策の検討・実施に必要な措置を速やかに講じましょう。

個人情報漏えいによる被害調査は専門業者に相談する

DDFの調査事例

こちらではデジタルデータフォレンジック（DDF）の情報持ち出しに関する調査事例を紹介します。

相談内容

退職した社員がクラウドサーバー内のデータを持ち出しし、競合他社にデータを使用された可能性がある。

退職した社員が情報持ち出しを行った痕跡を調査して、裁判に使用したい。

調査結果

• 外部機器接続履歴調査
• クラウドサービス利用調査
• メール使用状況調査
• ファイルアクセス履歴調査

社用PCに対して以上の調査を行った結果、業務時間外に外部機器を複数回にわたり接続していたことが判明しました。

また社員が退職する直前の時期に、データ削除用のソフトウェアを使用した痕跡が認められたため、情報持ち出しの証拠隠滅に使用された可能性が考えられる。

個人情報漏えい・データ流出の再発防止策

社内で個人情報漏洩やデータ流出が発生し、全ての対応が終わった後は再発防止策の策定が重要です。個人情報漏えい・データ流出の再発防止に有効な対策は以下の通りです。

個人情報取り扱いに関する社内規則を作成・改定する

社内規則に、情報の分類、取り扱い方法、保管・廃棄の手順、従業員の責任などを明確に定めましょう。法改正や新たな脅威に対応するため、定期的な見直しが重要です。規則を従業員に周知徹底し、遵守状況を監査することで、組織全体の情報セキュリティ意識を高め、漏洩リスクを軽減できます

守秘義務契約を締結する

守秘義務契約の締結は、情報漏洩の法的抑止力となります。従業員や取引先との間で、取り扱う情報の範囲、秘密保持の期間、違反時の罰則などを明確に定めます。これにより、意図的な情報漏洩を防ぐとともに、契約違反時の損害賠償請求が可能になります。

また、退職後も一定期間は守秘義務が継続するよう規定することで、長期的な情報保護が可能になります。

個人情報・機密情報にアクセス制限をかける

アクセス制限は、不正アクセスや内部不正を防ぐ重要な対策です。役割ベースのアクセス制御（RBAC）を導入し、業務上必要最小限の権限のみを付与します。また、重要情報へのアクセスログを記録・監視し、不審な動きを検知する仕組みを構築します。

定期的な権限見直しや、退職者のアカウント即時無効化など、適切なアカウント管理も重要です。これらの対策により、情報漏洩リスクを大幅に低減できます。

従業員へのセキュリティ研修を実施する

セキュリティ研修は、従業員の意識向上と実践的なスキル習得に不可欠です。最新の脅威動向、情報の適切な取り扱い方法、インシデント発生時の対応手順などを定期的に教育します。

また、フィッシング攻撃などの実践的な演習を通じて、従業員のセキュリティスキルを向上させます。研修内容は役割に応じてカスタマイズし、継続的に実施することで、組織全体のセキュリティレベルを高めることができます。

セキュリティソフトを最新に更新する

セキュリティソフトの最新化は、新たな脅威からシステムを守る基本対策です。ウイルス定義ファイルを常に最新の状態に保ち、新種のマルウェアに対応します。また、OSやアプリケーションのセキュリティパッチも迅速に適用し、既知の脆弱性を修正します。

自動更新機能を有効にするか、定期的な手動更新を実施することで、常に最新のセキュリティ対策を維持できます。これにより、外部からの攻撃や情報漏洩のリスクを最小限に抑えることができます。