情報漏洩被害の発生事例を紹介|漏洩の原因と対策方法も解説
近年、個人情報の流出が問題となることが多々あります。情報漏洩が発生すると企業は適切な対応を取る必要がある他、会社への信頼が損なわれる可能性もあります。情報漏洩はどのような原因で起こり、発生することでどのような被害を受けるのでしょうか。
当記事では、情報漏洩の実際の発生事例を解説します。合わせて情報漏洩の原因と対応方法についても解説するため、実際の被害を知り、情報漏洩について知識を深めておきましょう。
目次
1. 情報漏洩はなぜ起こる?
情報漏洩はさまざまな要因によって発生し、中には人為的なミスにより起こってしまうこともあります。ここでは、情報漏洩が何によって、どのように発生してしまうのかを解説します。
1‐1. ウイルス・マルウェアへの感染
マルウェアとは、有害な動作を行う意図で作られた悪質なソフトウェアやコードの総称です。ウイルスはマルウェアの1種で、さまざまなプログラムに侵入して動作を妨げたり、ユーザーの意図に反する有害な影響を及ぼしたりするプログラムです。インターネットやLANを経由して他のコンピュータに感染することを目的にしているものもあります。
ウイルスをはじめとするマルウェアに感染すると、コンピュータ情報の書き換えや外部流出などの被害を受け、情報漏洩につながるケースもあるため注意が必要です。
1‐2. 不正アクセス
不正アクセスは、デバイスやシステムなどに外部から不正にログインすることを指します。コンピュータが不正アクセスを受ける主な原因は、暗証番号を盗まれる識別符号窃用型と、ハッカーなどにサーバーを攻撃されるセキュリティ・ホール攻撃型の2つです。
ただし、不正アクセス要因のほとんどを識別符号窃用型が占めているのが特徴です。暗証番号などを盗む手段としては、IDやパスワードのリストを入手してログインする方法、考えられるすべてのパスワードのパターンでログインを試みる方法があります。
また、セキュリティ・ホール攻撃型の場合は、WEBアプリケーションを外部から攻撃するなどの手口により不正アクセスが行われます。不正アクセスを受けた場合もサーバー内の情報データが外部に拡散され、情報漏洩につながる可能性があるため、大変危険です。
1‐3. 人為的なミス
人為的な情報漏洩の例として、以下の3つが挙げられます。
2. 情報漏洩の事例
情報漏洩はさまざまな経緯で発生します。ここでは、実際にどのような情報漏洩が起きているのか、原因や被害、経緯などを解説します。どういった対応が行われたかについても触れているため、情報漏洩の防止に役立ててください。
2‐1. 森永製菓株式会社の事例
2022年3月に森永製菓株式会社が管理運用する複数サーバに対して、不正アクセスによる障害が発生しました。調査によると、第三者がネットワーク機器の脆弱性を悪用してサーバーへ侵入した可能性が高いとされています。
被害として、2018年5月1日〜2022年3月13日における「森永ダイレクトストア」利用者の以下の顧客情報が外部へ流出した可能性が否定できないと発表されました。
被害があったインターネット回線は完全に遮断され、不正アクセスが起きないよう対策されました。被害対象の顧客に対しては、郵送にて個別の謝罪連絡や専用窓口での対応が行われています。
出典:森永製菓株式会社「不正アクセス発生による個人情報流出の可能性のお知らせとお詫び」
2‐2. 金沢大学の事例
2020年2月、スイス・ローザンヌに出張していた教員のカバンが盗まれ、業務用ノートパソコンを紛失する事例が発生しています。当該パソコンのネットワークIDなどは停止され、外部からのアクセスもありませんでしたが、端末内には在学生や卒業生など多くの個人情報が保存されていました。
大学のサイトには今後の対応として、ルールに沿って個人情報を適切に管理すること、教職員の個人情報管理に対する意識向上に取り組むことなどが記載されています。
出典:金沢大学「個人情報を保存したノートパソコンの窃盗による紛失について(事実報告とお詫び)」
2‐3. 株式会社東急コミュニティーの事例
2021年3月に、株式会社東急コミュニティー元社員が2019年10月と2020年11月に行った、個人情報の持ち出しと第三者法人への流出が発覚しました。流出先に対しては、弁護士を通じて情報使用の差し止め及び廃棄が請求されています。
また、2021年12月には元社員が、9月退職時に持ち出した個人情報を不正使用する事例が発生しました。具体的には、当該会社が指定管理を受けている港区民向けの住宅において、退職後にもかかわらず元社員が入居者に対して挨拶等を行ったというものです。不正利用に伴い、入居者14名の氏名や住所、電話番号が流出したことが判明しています。
事例発覚後は、個人情報が流出した入居者への謝罪や警察への相談、国土交通省をはじめとする関係機関への報告といった対応が行われました。
出典:株式会社 東急コミュニティー「元弊社従業員による不正な個人情報の持ち出し及び流出に関するお詫びとご報告」
出典:株式会社東急コミュニティー「元弊社従業員による個人情報の不正使用について」
2‐4. H.I.S.ホールディングス株式会社の事例
2022年7月にH.I.S.ホールディングス株式会社が運営する「変なホテル金沢 香林坊」のパソコンがウイルス感染する事例が発生しました。チェックインシステムを管理するパソコンがウイルス攻撃を受けたことにより、個人情報の毀損及び漏洩した可能性があるとされています。
外部による専門的な調査や個人情報保護委員会への報告などが行われ、ホームページ上ではセキュリティチェック体制の厳格化に務める旨も示されました。
出典:株式会社エイチ・アイ・エス「ウイルス感染による個人情報漏えいの可能性に関するお知らせ(続報)」
3. 情報漏洩への対応方法
情報漏洩については、日頃から対策をとっておくことが大切です。しかし、具体的にどのような対策をとればよいのか迷う方もいるかもしれません。
ここでは、情報漏洩への対応方法として、次の2点を解説します。
3‐1. 情報漏洩が発生したらすぐに報告する
情報漏洩が発生し、大きな被害などが想定される場合は、個人情報保護委員会への報告と被害にあった人への通知が義務付けられています。報告が義務化されている事案は以下の通りです。
要配慮個人情報の漏洩には、健康診断等の結果を含む個人情報が流出した場合などが該当します。クレジットカード情報などが漏洩し、財産的被害のおそれがある場合や、第三者による不正アクセスで個人データが流出した場合にも報告が必須です。
また、サイトの設定ミスなどにより、個人データが1,000件以上漏洩した可能性がある場合にも報告を行わなければなりません。上記4件に関する事案については、漏洩等の「おそれ」があるケースも報告対象となる点に注意が必要です。
漏洩等に関する報告は、速報と確報の2段階で行います。速報は、当該事態を知った時点から概ね3〜5日以内に、把握している内容を報告します。なお、報告対象の事態を知ってから30日以内、または不正目的によるおそれがある漏洩の場合は60日以内に確報を行うのがルールです。
出典:個人情報保護委員会事務局「個人情報保護法改正に伴う漏えい等報告の義務化と対応について」
3‐2. セキュリティ対策をしっかり行う
情報漏洩を防いだり、再発防止策を行ったりする観点から、セキュリティ対策に注力することが求められます。特に、以下の2点についての対策が有効です。
まとめ
ウイルス・マルウェアへの感染や不正アクセス、人為的なミスにより、情報漏洩が発生することがあります。情報漏洩が起こった場合、個人情報保護委員会と情報漏洩の被害を受けた本人への報告が求められます。
情報漏洩を防ぐには、セキュリティ対策をしっかり行うことが大切です。人為的なミスが起こらないように社員にセキュリティ教育を行うのはもちろん、サイバー攻撃を防ぐためにセキュリティ対策ソフトも導入しておくとよいでしょう。
自社のセキュリティ分析に役立つ「Security Steward」はこちら