2023年1月から5月に公表された情報漏洩の事例について、民間企業、医療機関、教育機関、公的機関に分け、代表的なものをまとめました。小規模な事案を含めれば、今や情報漏洩は毎日のように起きています。他人事では済まない情報漏洩のリスクに備えるため、発生原因のみならず発生後の対応も含め、参考になる事例を整理しました。
企業事例1
- 発表日:2023/5/19
- 企業名:株式会社エーザイ
- 参考記事:エーザイ|不正アクセスによる個人情報流出の可能性に関するお詫びとご報告
| 漏洩媒体 | サーバー |
| 漏洩数 | 約11,000件 |
| 原因区分 | 外部攻撃 |
(原因)
グループ海外法人の社員のアカウントを不正に使用した外部者の不正アクセスによる。
(漏洩項目)
取引先関係者様の氏名、メールアドレス。その他情報については、漏洩の可能性はない見通し。
(初動対応)
直ちに不正アクセスの遮断と対処。被害状況及び原因の解明。
(内部対応)
グループ企業のネットワークに対する監視の強化。
(被害者対応)
個別メールにて対応、加えて専用窓口の設置。
(2次被害への対応)
流出した可能性のある情報を、継続的にモニタリング。
(公的対応)
個人情報保護委員会への報告等、各国規制に沿った対応を実施。
企業事例2
- 発表日:2023/5/12
- 企業名:トヨタ自動車株式会社
- 参考記事:トヨタ自動車|クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて
| 漏洩媒体 | サーバー |
| 漏洩数 | 約215万件 |
| 原因区分 | 人為ミス |
(原因)
関連会社に管理を委託するデータの一部が、クラウド環境の誤設定により、公開状態となっていた。
(漏洩項目)
車載端末ID、車台番号、車両の位置情報、時刻。
※ これだけでは個人の特定は不可。
(初動対応)
判明後、外部からのアクセスを遮断。全てのクラウド環境を含めた調査を継続して実施。
(内部対応)
データ取扱いルールの説明が、不十分だったことが原因。従業員への教育を徹底と、クラウド設定を監査するシステムを導入。クラウド環境の設定調査を実施し、継続的に設定状況を監視する仕組みを構築。
(被害者対応)
個別メールにて対応。加えて、専用のコールセンターを設置。
(2次被害への対応)
2次利用、2次被害ともに確認されていない。
(公的対応)
発表なし。
(追加情報)2023/5/31時点
その後の調査で、お客様情報を含むデータの一部が外部からアクセスできる状態だったと判明したが、2次利用、2次被害なく、前回 5/12の公表以降、クラウド設定監視システムの導入完了、設定調査、設定監視の仕組みが稼働している。
※参考記事:トヨタ自動車|クラウド設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて
企業事例3
- 発表日:2023/3/31
- 企業名:株式会社NTTドコモ
- 参考記事:NTTドコモ|【お詫び】「ぷらら」及び「ひかりTV」などをご利用のお客さまの個人情報流出の可能性のお知らせとお詫び
| 漏洩媒体 | パソコン |
| 漏洩数 | 最大 約529万件 |
| 原因区分 | 外部攻撃/人為ミス |
(原因)
業務委託先企業のパソコンから、顧客情報が流失した可能性があることを、ネットワーク監視によって確認。
(漏洩項目)
「ぷらら」及び「ひかりTV」の顧客情報(氏名/住所/電話番号/メールアドレス/生年月日/フレッツ回線ID/お客さま番号)。なおクレジットカード情報、金融機関情報は含まれない。
(初動対応)
流出元と想定されるパソコンをネットワークから隔離。
(内部対応)
調査を継続中。
(被害者対応)
問合せ窓口の設置。
(2次被害への対応)
不正利用の事実は確認されていない。
(公的対応)
発表なし。
企業事例4
- 発表日:2023/2/16
- 企業名:浜松ケーブルテレビ株式会社
- 参考記事:浜松ケーブルテレビ|モデム制御サーバーへの不正アクセスに関するご報告とお詫び
| 漏洩媒体 | サーバー |
| 漏洩数 | 最大 約22,671件 |
| 原因区分 | 外部攻撃 |
(原因)
モデム制御サーバーがセキュリティ設定の不備によりXorDDoS(マルウェア)に感染。サーバー内情報が外部流出した可能性は低いものの、完全否定できない。
(漏洩項目)
同軸インターネットをご利用頂いているお客様の、顧客IDと住所
※ 顧客IDは自動採番の管理用通番なので、流出による実質的な被害はありません。また、氏名・電話番号・決済情報・その他ご契約内容は、別サーバーで管理されているため、顧客ID・住所から個人を特定することはできず、契約・決済情報が流出する恐れはありません。
(初動対応)
当該サーバーの停止。外部専門機関へ調査依頼。
(内部対応)
再発防止を徹底するとともに、情報管理の強化ならびに徹底に努める。
(被害者対応)
問合せ窓口の明示
(2次被害への対応)
発表なし。
(公的対応)
発表なし。
企業事例5
- 発表日:2023/2/14
- 企業名:ソースネクスト株式会社
- 参考記事:ソースネクスト|当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
| 漏洩媒体 | Webサイト |
| 漏洩数 | 約12万件 |
| 原因区分 | 外部攻撃 |
(原因)
webサイトのシステム脆弱性を利用した第3者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(漏洩項目)
カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
氏名、メールアドレス(パスワードの漏えいはなし)、郵便番号(任意入力項目)、住所(任意入力項目)、電話番号(任意入力項目)。
(初動対応)
当該サイトでのカード決済停止。
(内部対応)
システムのセキュリティ対策、監視体制の強化。
(被害者対応)
電子メールにて個別の連絡と対応。いたずらな混乱を避けるため、調査会社の調査結果、並びにカード会社との連携を行った後、発表することとなりました。
(2次被害への対応)
クレジットカード情報の不正利用の可能性を確認。カード会社と連携し、漏えい可能性のあるカードによる取引のモニタリングを継続し、不正利用の防止に努めます。
不正利用が疑われる場合は、カード会社への問合せで対応できる体制を構築。クレジットカードの差替え費用は、負担が生じないようクレジットカード会社と調整済み。
(公的対応)
第三者調査機関による調査を実施。個人情報保護委員会、総務省関東総合通信局に報告済み。
所轄警察署に被害申告済み。
医療機関1
- 発表日:2023/3/29
- 企業名:社会医療法⼈財団 慈泉会 相澤病院
- 参考記事:相澤病院|患者さん個人情報等の漏えい(不正取得)について(お詫び)
| 漏洩媒体 | パソコン |
| 漏洩数 | 3,137名 (亡くなられた方868名を含む) |
| 原因区分 | 内部不正 |
(原因)
元職員が後輩職員に、業務マニュアルが見たいと言って、業務用フォルダーに保存してあったデータをコピーして持ち去ったと思われる。
(漏洩項目)
透析治療患者さん、高気圧酸素療法患者さん(亡くなられた患者さんを含む)の住所・氏名・生年月日等、基本的な識別情報のほか、各種医療情報、家族情報等が含まれていた。
(初動対応)
漏洩情報の正確な把握と整理。捜査機関への協力。
(内部対応)
病院全職員に個⼈情報が含まれたデータ等を厳格に取り扱うことを周知徹底。個⼈情報保護に関する研修や管理体制についても再点検・⾒直し。
(被害者対応)
漏洩データの内容を記載した書面を、個別に発送することで通知。問合せ専用窓口、電話受付の実施。
(2次被害への対応)
書面による通知以外に、電話連絡することがない旨、不審電話への注意喚起。
(公的対応)
個⼈情報保護法に基づく内閣府の個⼈情報保護委員会へ報告。地元警察署に事件相談、告訴状の提出。
教育機関1
- 発表日:2023/2/9
- 企業名:明治大学
- 参考記事:明治大学|本学サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について
| 漏洩媒体 | サーバー |
| 漏洩数 | 36,692件 |
| 原因区分 | 外部攻撃 |
(原因)
生田キャンパスの教育研究システムのサーバーに、第三者からの攻撃が行われ、不審なプログラムが実行された。
(漏洩項目)
学生および本学構成員36,692件のメールアドレス。氏名・住所・ 電話番号・パスワード・成績情報などの個人情報は、窃取されていないことを確認。なお48件については、メールアドレスから氏名が類推できることを確認。
(初動対応)
不正に使用されたアカウントの停止。通信の遮断。外部専門業者との調査。
(内部対応)
攻撃プログラムの除去。セキュリティに関連した脆弱性の点検。引き続き専門業者の協力のもと、原因の究明と調査。再発防止と早期発見に向けた、さらなる対策を予定。
(被害者対応)
メールアドレスから氏名の類推できる方へ、事実報告と謝罪文の送付。学生・教職員 向けのポータルサイトを通じた報告。専用の問合せ窓口を案内し、個別に対応。
(2次被害への対応)
2023年2月9日時点で、不正に得た情報が悪用されたという、被害報告はない。
(公的対応)
発表なし。
公的機関1
- 発表日:2023/3/27
- 企業名:福岡県暴力追放運動推進センター
- 参考記事:福岡 NEWS WEB|県暴力追放運動推進センター 詐欺被害で相談の個人情報流出か
| 漏洩媒体 | パソコン |
| 漏洩数 | 約3,500件 |
| 原因区分 | 外部攻撃 |
(原因)
職員が使用していたパソコンに、セキュリティーサポートを偽装した詐欺画面が表示され、約20分間遠隔操作の状態に陥る。その際に業務使用の個人情報を含むデータが、流出した可能性がある。
(漏洩項目)
当センターへの相談者の氏名、電話番号など、約3,500人分の個人情報。
(初動対応)
回線の遮断。
(内部対応)
発表なし。
(被害者対応)
発表なし。
(2次被害への対応)
「暴力追放運動推進センター」の職員や名称を使った、電話や郵便物等が届いた場合への注意喚起。
(公的対応)
発表なし。
公的機関2
- 発表日:2023/4/17
- 企業名:町田市(東京都)
- 参考記事:町田市|個人情報の漏えいについて
| 漏洩媒体 | 電子メール |
| 漏洩数 | 約1,939件 |
| 因区分 | 人為ミス |
(原因)
市外の幼稚園6園に、補助金に関する電子メールを送信したところ、誤って他園に在籍する児童の情報を含むデータ(1,939 名分) を添付したことで、個人情報が漏えいした。
(漏洩項目)
園名、児童氏名、生年月日、クラス、補助対象経費、施設等利用費、保護者補助金額。
(初動対応)
誤送信先に、送信済みデータの削除を依頼し、各園から削除完了の報告を受ける。
(内部対応)
メールの送信時に、添付データ内容を確認することの周知徹底。
(被害者対応)
対象児童の保護者に、文書での謝罪及び説明を行う予定。
(2次被害への対応)
発表なし。
(公的対応)
発表なし。
まとめ
以上2023年1月から5月に公表された情報漏洩の事例について、発生後の対応も含めてまとめてみました。情報漏洩の原因は、外部攻撃、人為ミス、内部不正、と大きく3つに分かれますが、2023年では外部攻撃の比率が高まっているように感じます。
また情報漏洩後の対応は、各企業・団体によって大きく異なることが分かります。あくまで対外的に公表された文書からの判断ですが、民間企業に比べ公的団体の対応は十分とは言えない印象を持たざるを得ません。
以上となります。
お読みいただき、ありがとうございました。
※本記事の掲載事例は現時点での当社調べの内容です。
本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部
情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位になるのか?漏洩の原因は何か? 企業はどのような対策を講じるべきか? さらには万一漏洩した場合の対応手順まで解説します。
