お問い合わせ
個人単位で発生する情報漏えいと異なり、企業の個人情報流出は一度に数万人以上の情報が不特定多数に閲覧されるリスクがつきまといます。
知らないうちに自身の住所やクレジットカード番号などが流出すると、犯罪者によって悪用され、サイバー攻撃や詐欺の被害に遭うことが容易に予想されます。
企業の場合は責任問題となり、適切な対応ができなければ信用を失い、顧客離れや取引停止に追い込まれ、倒産するリスクがあります。
本記事では最悪の事態を防ぐために、主に企業から流出した個人情報の行方と、個人情報流出による被害と対策について解説します。
\24時間365日相談受付/
目次
個人情報が流出するとどうなる?
個人情報が流出してしまうと、ダークウェブ(一般的な検索ブラウザでは検索できないサイト)などの犯罪性が高いサイト群で売買されることがあります。
住所氏名以外にも、アカウント情報やクレジットカード番号、銀行口座の暗証番号の流出には特に注意が必要ですが、法人ネットワークのログイン情報やパスワードも漏えいしていないか注意しなければなりません。
個人情報の漏えいが故意に行われた場合、犯人は懲役刑となります。一方で企業も個人情報の取り扱いがずさんであれば、個人情報保護法に基づき最大で1億円の罰金の支払いを求められる可能性があります。
実際の個人情報流出事例
過去、実際に発生した個人情報の流出事例は以下の通りです。
| 発生年 | 法人・団体名 | 漏えい件数(人数) | 漏えい原因 | 漏えい内容 | 備考 |
|---|---|---|---|---|---|
| 2014年 | ベネッセコーポレーション | 3504万件 | データベースの顧客情報が名簿業者に売却されたため | 氏名、住所、電話番号、メールアドレスなど | 刑事・民事で法廷闘争が行われた |
| 2015年 | 東京商工会議所 | 1万2139人分 | ウイルス感染 | 会員企業の社員の名刺に基づく情報、およそ3年分 | 二次被害として、不正なインターネット利用やクレジットカードの不正利用が発生した |
| 2019年 | トレンドマイクロ株式会社 | 約12万件 | 社員による情報持ち出し | 氏名やメールアドレス、同社で対応したサポートのチケット番号 | 情報を提供された第三者が情報を悪用し、サポート詐欺を行った |
| 2021年 | 株式会社横浜銀行 | 4万1,729件 | 誤送信 | 顧客のカナ氏名、電話番号、メールアドレス、口座番号情報など | 第三者への転送等の送信先以外への流出は確認されていない |
| 2022年 | 株式会社矢野経済研究所 | 10万1988件 | 不正アクセス | 会員のメールアドレス、ログイン情報 | 不正アクセス後、サイト閉鎖、ログインパスワードの初期化が行われた |
| 2023年 | ソースネクスト株式会社 | 12万982件 | 不正アクセス | クレジットカード番号、有効期限、セキュリティコード、カード名義人名他 | クレジットカード情報が不正利用の可能性が確認された |
個人情報が流出する原因
個人情報が流出する原因には以下の物が挙げられます。
ネット詐欺
ネット詐欺とはインターネットを利用した詐欺です。有名なものには以下の詐欺があります。
- フィッシング詐欺…銀行や通販サイトなどの偽サイトに誘導し、個人情報を入力させる
- 当選詐欺…嘘の当選メールを送り、景品を贈ると嘘をついて個人情報を入力させる
- サポート詐欺…「ウイルスに感染しました」などと嘘の警告を表示させ、偽のソフトやアプリのインストールを行わせる
近年は偽サイトや偽警告が作りこまれ、一目で判別することが困難になりつつあります。
マルウェア感染
マルウェアとは悪意あるソフトウェアの総称です。マルウェアの例として以下の種類が挙げられます。
- コンピューターウイルス…電子メールやホームページ閲覧などによってコンピュータに侵入する
- スパイウェア…コンピュータ内部に侵入し、ユーザーの個人情報などを収集し攻撃者に送信する
- ランサムウェア…被害者のパソコンのデータをロック、暗号化し、身代金を要求する
マルウェアのうち、情報漏えいに使用されるのはスパイウェアやランサムウェアです。ランサムウェアはネットワークに侵入する過程で情報の窃取も行うため、情報の公開と引き換えに身代金の支払いを要求する場合もあります。
従業員のミス
従業員のミスも個人情報漏えいの原因の一つです。特に顧客とやり取りする機会の多い場合や、個人情報を大量に取り扱う機会が多いほど、漏えいが発生しやすくなります。
企業の情報管理体制の不備
企業の情報管理体制や社内のセキュリティシステムに不備があると、不正アクセスや内部不正を防ぐことができず、個人情報が漏えいしかねません。
社内のセキュリティシステムの設定や保守契約について把握していない場合や、個人情報の持ち出し規定を設けていない場合は、個人情報漏えいのリスクやサイバー攻撃に遭遇するリスクが高くなります。
従業員の不正行為
従業員の不正行為も個人情報の漏えいを発生させ、企業に実害を与えることがあります。従業員が同業他社へ転職する際に個人情報の持ち出しが行われる場合もあります。
内部不正による情報漏えいが発生した場合は、必要な調査を行い、個人情報保護委員会へ報告することが必要です。場合によっては懲戒解雇や民事訴訟、刑事告訴を行う必要もあるため、外部の専門家などと連携して社内の書類や端末の調査を行いましょう。
個人情報が流出した場合の被害
個人情報が流出した場合、個人と法人で被害の内容が異なります。以下それぞれの被害例を紹介します。
個人の場合の被害
個人情報が流出した場合、本人は以下の被害を受ける可能性があります。
- 金銭被害
- オレオレ詐欺などの特殊詐欺や悪徳商法の被害
- ストーカーや脅迫される被害
- SNSなどのアカウント乗っ取りの被害
- 個人情報がサイバー犯罪の侵入に使用される被害
本人から個人情報を引き出すために、フィッシング詐欺やサポート詐欺が利用される場合があるため、個人情報の入力を求めるメールには注意が必要です。
法人の場合の被害
法人が個人情報を流出させてしまった場合は、顧客や取引先から責任を追及され、契約解除や顧客離れが発生し、最悪の場合は倒産の恐れがあります。
その他に個人情報が流出することによって発生する被害には以下のものが挙げられます。
- 社会的信頼の低下
- 利益の減少
- 企業内秘密の流出
- 顧客の離反
- 企業に所属する従業員への被害
- 倒産の被害
なお法人がサイバー攻撃や内部不正により個人情報が漏えいした場合、法律により個人情報保護委員会へ速報と確報の報告義務が発生します。
企業の個人情報流出における法的措置・罰則
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしサイバー攻撃や情報持ち出しにより個人情報が漏えいした場合、まず感染経路や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
個人情報が流出した場合の対処法
個人情報の流出が発覚した場合、企業の場合は迅速な初動対応、報告、再発防止が必要です。企業が行うべき個人情報流出の対処法は以下の通りです。
個人情報漏えいの初動対応を行う
個人情報の漏えいが発覚したら、インシデントに応じた初動対応が重要になります。
特にサイバー攻撃が発生した場合は、ネットワークを遮断し、被害を受けたサービスの停止、個人情報を隔離させましょう。
またクレジットカード番号や銀行口座番号が漏えいした場合は、すぐに対象のクレジットカード会社や銀行に連絡しましょう。
個人情報漏えいの原因を調査する
初動対応が完了したら社内で調査を行い、個人情報が漏えいした原因の特定や、漏えいした情報の種類について調査を行います。
ただし、近年は個人情報の漏えいがパソコンやスマートフォンを介して行われるため、端末の調査が必要になることが多いです。端末に保存されたデータを調査するには、フォレンジック調査と呼ばれる専門的な調査が必要になります。
フォレンジック調査とは、パソコンやスマートフォンなどデジタル端末を調査し、そこからインシデントを究明、ないし解決するため、電子的証拠を収集する手法です。
フォレンジック調査では、調査の過程で証拠保全や、特殊なツールを用いた削除データの検出・復元なども行われます。
フォレンジック調査で取り出せる証拠データ例としては次のものがあります。
- 最近開いたファイルに関する履歴の確認
- 外部への情報流出履歴の確認
- インターネットおよび社内サーバへのアクセス履歴の確認
- プログラムの実行履歴の確認
- 削除したファイルの調査
- 特定ブラウザの調査
- Office文書のプロパティ情報の調査
以上のフォレンジック調査ができるフォレンジック調査会社に依頼すると、公的機関に提出できる調査報告書の作成や、システムの脆弱性診断なども行ってもらえる場合があるため、お客様対応で十分な調査が行えない場合におすすめです。
個人情報漏えいについて報告・通知・公表を行う
個人情報の漏えいが発覚した場合、企業では漏えいした本人や取引先、従業員に漏えいの事実を公表する必要があります。
また、個人情報の漏えい発覚から3~5日以内と30日以内までに個人情報保護委員会へ速報と確報を報告することを忘れないようにしましょう。確報には調査が必要になるため、社内対応に忙しい場合は、外部の調査会社に相談しましょう。
システムの復旧・再発防止策を実行する
調査が一通り完了したら、各原因に対応したシステムの復旧や再発防止策を実行しましょう。個人情報漏えいの中でも深刻な、サイバー攻撃と内部不正に対する再発防止策は以下の通りです。
サイバー攻撃の場合
- セキュリティの更新を行う
- バックアップを取る
- システムの保守会社との契約を見直す
- より性能が優れたセキュリティサービスを導入する
内部不正の場合
- 情報持ち出しの規定を改定する
- 犯人の懲戒解雇を行う
- 犯人に民事訴訟を起こす
- 刑事告訴を行う
個人情報漏えい調査・対策を行う場合、専門業者に相談する
社内不正・横領・情報持ち出し・職務怠慢のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
個人情報流出の予防策
個人情報の流出を予防するには、セキュリティを強固にするか、社内の個人情報の取り扱いを徹底化する必要があります。
個人情報流出を予防する具体的な方法の例は以下の通りです。
- 個人情報の外部の持ち出しを禁止する
- 個人情報に閲覧制限をかける
- 職場の私用の端末の持ち込みを禁止する
- 最新のセキュリティソフトを導入する
- セキュリティを最新の状態に更新する
- パスワードや認証方法を複雑にする
- パスワードの使いまわしを止める
- 従業員の教育を行う
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
