情報漏洩(えい)が起こるとどうなる?
企業が行うべき対応・対策について解説
企業が情報漏洩(えい)を起こすと、社会的な信用が大きく失われます。加えて、損害賠償を請求されたり、刑罰が科せられる可能性もあるため、個人情報の取り扱いは慎重に行う必要があります。万が一流出した場合は、迅速かつ適切に対応しなければなりません。
この記事では、個人情報漏洩(えい)の発生件数や原因、万が一発生した場合のリスク、企業が行うべき対応、対策などについて解説します。
サイバー攻撃にあった際の被害を最小限に抑えるための方法もご紹介しますので、ぜひ参考にしてください。
個人情報漏洩(えい)の発生件数・現状
東京商工リサーチの調査によると、2023年の個人情報漏洩(えい)・紛失事故の件数は175件で、調査を開始した2012年以降の12年間で最も多い件数でした。
事故を起こした会社の数は147社で、前年の150社に次ぐ多さです。
同年の個人情報漏洩(えい)数は40,908,718人分で、こちらも最多記録を更新しています。
| 2023年 | 2022年 | 増減 | |
|---|---|---|---|
| 個人情報漏洩(えい)・紛失事故の件数 | 175件 | 165件 | +10件 |
| 個人情報漏洩(えい)・紛失事故を起こした会社の数 | 147社 | 150社 | -3社 |
| 漏洩(えい)した個人情報の数 | 40,908,718人分 | 5,927,057人分 | +34,981,661人分 |
出典:2023年の「個人情報漏えい・紛失事故」が年間最多件数175件
また、2023年に発生した事故の特徴として、100万人以上の個人情報が漏洩(えい)する「大型事故」の件数が多い点が挙げられます。最も規模が大きな事故では、928万人分もの顧客情報が流出しました。
個人情報漏洩(えい)の発生件数は、2012〜2023年の約10年間で1,265件に達しました。漏洩(えい)した可能性のある個人情報は1億6,662万人分であり、日本の人口を超えています。
個人情報漏洩(えい)の主な原因
個人情報漏洩(えい)は「外部からの攻撃によるもの」と「従業員による内部的なもの」の2つに大別されます。
以下では、個人情報漏洩(えい)の主な原因について、より詳しく解説します。
外部からの攻撃による情報漏洩(えい)
東京商工リサーチの調査によると、2023年の個人情報漏洩(えい)・紛失事故の原因として最も多かったのは「ウイルス感染・不正アクセス」で、全体の過半数を占めました。ウイルスの感染経路や不正アクセスの手口を知って、企業に合った対策をとりましょう。
マルウェア・ウイルス感染
マルウェアとは、コンピューターウイルス(以下、ウイルス)をはじめとする、悪意あるソフトウェアの総称です。内部情報を外部に送信するタイプのマルウェアに感染すると、個人情報漏洩(えい)が発生する可能性があります。
悪意のある第三者が、企業のネットワークやIT機器などにマルウェアを侵入させ、不正に情報を盗み出すケースが後を絶ちません。
不正アクセス
不正アクセスとは、詐欺行為や個人情報の流出を目的として、アクセス制限がかかったサーバーやパソコンなどに侵入する行為です。ログインIDやパスワードなど、ログイン情報を不正に入手する行為も、不正アクセスに分類されます。
不正アクセスの被害にあうと、情報システムが停止したり、個人情報を盗まれたりする可能性が高いです。
不正アクセスの手口は、年を追うごとに悪質化しています。ログイン情報の悪用のみならず、サーバーの脆弱性(情報セキュリティの欠陥)を狙って侵入するケースもあります。
従業員による内部的な情報漏洩(えい)
自社の従業員が個人情報を漏洩(えい)させるケースは、誤って流出してしまうケースと、故意に持ち出すケースがあります。いずれのケースについても、従業員一人ひとりに対して、個人情報保護に対する意識を高めることが対策になるでしょう。
それぞれのケースについて、詳しく解説します。
従業員のミス
従業員のミスによって、個人情報が流出するケースです。ミスの具体例としては、以下のようなものが挙げられます。
-
盗難・紛失・破棄
- ○ 個人情報を保存していたパソコンが盗難にあう
- ○ 個人情報が記録された機器を置き忘れる
- ○ 個人情報が記載された資料を誤って紛失・破棄する
-
誤送信・誤公開
- ○ 個人情報が記載されたメールを誤ったアドレスに送信する
- ○ Webサイトに個人情報を誤ってアップロードする
盗難や紛失でよくあるのが、個人情報の入ったパソコン・USBメモリなどを電車に置き忘れたり、置き引きや車上荒らしにあったりするパターンです。
2023年には、病院の職員が論文作成のために院内から持ち出したUSBを紛失した事故が報告されました。
故意の持ち出し
従業員が意図的に個人情報を持ち出し、外部の第三者に譲渡したり、売却したりするケースもあります。犯行の動機として、企業への逆恨みや、売却によって得られる対価などが挙げられます。
内部犯行は情報漏洩(えい)の被害範囲が大きくなりやすいため、慎重に対応しなければなりません。社内に犯人と思われる人物がいる場合は、証拠を隠されないように専門家にすみやかに相談し、必要な措置をとるように しましょう。また、犯人が従業員だと発覚した場合は、懲戒免職や降格といった処分を検討する必要があります。
2023年には、保険会社の元社員が転職先の企業で使用するために、顧客情報を不正に持ち出す事件が発生しました。
個人情報が漏洩(えい)した場合のリスク
個人情報が漏洩(えい)した場合の主なリスクとしては、以下が挙げられます。
- 企業の社会的信用が失われる
- 損害賠償が発生する
- 罰金・懲役刑を受ける
それぞれ見ていきましょう。
企業の社会的信用が失われる
個人情報が漏洩(えい)すると、たとえ故意でなくても、会社のイメージや社会的信用は大きく損なわれます。社会的信用の低下から顧客が離れたり、取引先から契約を断られたりすれば、業績の悪化は免れないでしょう。
特に、要配慮個人情報(人種、病歴、犯罪歴、障がい、健康診断の結果など)や、クレジットカードの暗証番号など、二次被害に繋がる個人情報が流出した場合は、信頼回復が非常に困難です。
損害賠償が発生する可能性がある
個人情報漏洩(えい)が発生した場合、損害賠償責任を負う可能性があります。
損害賠償の金額は、1件あたり数千円〜1万円程度の支払いが認められるケースが多いです。漏洩(えい)した個人情報の内容や被害範囲によって、賠償金の額は変わります。件数が多いと、総額で数千万円以上の損害になる場合もあります。
個人情報漏洩の損害賠償については、以下の記事もご参照ください。
罰金・懲役刑を受ける
個人情報が漏洩(えい)したからといって、ただちに刑罰を受けるわけではありません。
漏洩(えい)が発生した際は、状況により、個人情報保護法に基づき設置された「個人情報保護委員会」が、企業への立入調査を行います。このとき、企業が立入調査を拒んだり、虚偽の報告をしたりすると50万円以下の罰金が科せられることがあります。流出の規模や原因について正確に把握するためにも、調査に協力しましょう。
また、調査後には個人情報保護委員会より改善命令が出されることがありますが、これに従わなかった場合、企業名を公表されたうえに、1年以下の懲役または100万円以下の罰金が適用されます。
さらに、企業の代表者や従業員(退職者を含む)が、不正な利益を得るために個人情報を第三者に提供・盗用した場合は、1年以下の懲役または50万円以下の罰金が科せられることがあります。
個人情報が漏洩(えい)した場合に企業が行うべき対応
個人情報が漏洩(えい)した場合、企業には以下の順に対応が求められます。
- 上司・上層部に報告する
- ただちに個人情報漏洩(えい)の応急措置を行う
- 状況に応じて情報が漏洩(えい)した旨を公表する
- 原因・被害の範囲を調査する
- 個人情報保護委員会へ報告する
- 本人へ報告・謝罪を行う
- 再発防止策を検討・実施する
情報漏洩(えい)の被害件数・影響範囲が明らかに多い場合や、被害が拡大するおそれがある場合は、速やかに情報漏洩(えい)した旨を公表しましょう。
公表すると同時に、漏洩(えい)した個人情報の範囲や原因の特定調査を進めます。調査範囲が多岐にわたる可能性が高く、多くの場合は外部に委託するため、調査費用は高額になる傾向にあります。
企業が行うべき個人情報漏洩(えい)対策
企業が個人情報漏洩(えい)のリスクに備えるには、次の対策が有効です。
- セキュリティソフトの導入・更新
- OS・ソフトウェアの最新化
- 個人情報の取り扱いに関するルールの制定
- セキュリティ研修の実施
- 従業員との守秘義務契約の締結
- サイバー保険への加入
以下より詳しく見てみましょう。
セキュリティソフトを導入・更新する
個人情報漏洩(えい)を予防するためには、セキュリティソフトの導入が効果的です。
セキュリティソフトには、サイバー攻撃を検知できたり、Webサイトやソフトウェアの脆弱性を診断できたりと、さまざまな機能が搭載されています。情報漏洩(えい)対策だけではなく、総合的なセキュリティの強化に繋がる施策といえるでしょう。
なかには攻撃者の挙動から不正アクセスを検知できるセキュリティソフトもあります。
また、マルウェアは日々進化しているため、セキュリティソフトも定期的にアップデートし、最新の状態を保つことが重要です。
セキュリティソフトのアップデートは基本的な情報漏洩(えい)対策ですが、徹底できていない企業もあるため、改めて確認しておく必要があります。
OS・ソフトウェアを最新の状態に保つ
OSやソフトウェアも定期的にアップデートし、最新の状態を保ちましょう。
攻撃者は、OSやソフトウェアの脆弱性を狙ってサイバー攻撃を仕掛けてきます。アップデートすることで脆弱性を解消し、個人情報漏洩(えい)のリスクを減らせます。
OSやソフトウェアを定期的にアップデートする仕組みを社内に作り、すべての業務用の端末を常に最新の状態にしておきましょう。
個人情報の取り扱いに関する社内ルールを定める
個人情報漏洩(えい)を未然に防ぐためには、あらかじめ個人情報の取り扱いに関する明確なルールを定めておくのが望ましいです。
| ルール | 項目例 |
|---|---|
| メールの誤送信を防ぐためのルール |
|
| 情報端末の安全な取扱いに関するルール |
|
| ID・パスワードの管理に関するルール |
|
ただし、社内ルールに従っていたとしても、何らかの原因で情報漏洩(えい)が発生する可能性があります。
その対策として、社員が小さなことでも報告できるような環境づくりや、実際に情報漏洩(えい)が発生したときの対応マニュアルの作成も求められます。
セキュリティ研修を実施する
定期的なセキュリティ研修を実施して、従業員の情報セキュリティリテラシーを向上させることも、個人情報漏洩(えい)対策として効果的です。
社内ルールを設定したり、パスワードの適切な管理を呼びかけたりしても、従業員のセキュリティリテラシーが低い状態では、情報漏洩(えい)につながる可能性があります。
例えば、過去に起きた事例について学ぶと、従業員が適切に危機感を持てたり、内部不正による個人情報漏洩(えい)への抑止になったりするでしょう。
従業員と守秘義務契約を締結する
従業員と守秘義務契約を締結することで、個人情報漏洩(えい)の抑止力となります。
従業員全員が当然に「業務で得た個人情報を外部に漏らしてはならない」と考えているとは限りません。入社時に必要な説明を行い書面上で契約を取り交わし守秘義務をしっかり認識してもらうことで、個人情報に対する認識を整えられるでしょう。
守秘義務契約を結んだ結果、万が一情報漏洩(えい)が発生した場合、すべての従業員が事件の重大性を理解しやすいといえます。特に、重要な個人情報を取り扱う職種は、あらかじめ、取り扱う情報の重要性について説明したうえで、書面で守秘義務契約を締結しておきましょう。
万が一に備えて保険に加入する
万が一個人情報が漏洩(えい)した場合に備えて「サイバー保険」への加入も検討しましょう。
サイバー保険とは、個人情報漏洩(えい)をはじめとするサイバー事故の被害にあったときに、損害賠償費用や事故対応費、利益損害費を補償する保険です。
サイバー攻撃の手口は多様化しており、あらゆる手段を駆使してセキュリティを突破してきます。したがって、セキュリティ対策をいくら強化しても、サイバー攻撃を完全になくすことは不可能です。
予防を徹底することは大前提ですが、それでも個人情報漏洩(えい)が起きてしまった場合に備えて、サイバー保険に加入すると安心です。
また、サイバー保険に加入すれば、最低限のセキュリティ対策を実施している証明になるため、企業の信頼性も上がるでしょう。
企業全体で個人情報漏洩(えい)のリスクに備えよう
個人情報漏洩(えい)のリスクは、企業全体での対策が必要です。マルウェアによる外部からの攻撃はもちろん、従業員のミスや故意の持ち出しといった、内部からの流出にも備えなければなりません。
個人情報漏洩(えい)が起こらないよう対策することは前提ですが、万が一の場合に備えて、サイバー保険への加入も検討しておくと良いでしょう。サイバー保険は、事故対応費用や損害賠償費用の補償だけでなく、従業員の意図的な持ち出しなどによる損害の補償に対応したものもあります。
損保ジャパンでもサイバー保険をご用意しています。個人情報漏洩(えい)に備えてサイバー保険への加入をご検討中の企業は、ぜひご相談ください。
