2024年に公表された情報漏洩の事例について、代表的なものをまとめました。小規模な事案を含めれば、今や情報漏洩は毎日のように起きています。他人事では済まない情報漏洩のリスクに備えるため、発生原因のみならず発生後の対応も含め、参考になる事例を整理しました。
目次
2024年 上半期 情報漏洩事故の傾向
2024年上半期も、ランサムウェアによる被害が多い傾向にありますが、依然として、内部不正による情報漏洩事故件数も増加しています。特に個人情報保護委員会によると2023年度の人為ミスでの個人情報漏洩が過去最多だったと報告されています。
被害も大きく深刻化しているため、徹底したセキュリティ対策が求められています。
“個人情報保護委員会は11日、2023年度の企業や行政機関からの個人情報の漏洩件数が1万3279件で過去最多だったと公表した。個人情報が含まれる資料の誤送付や誤廃棄など人為的なミスが多かった。企業が扱うデータが増えるなか、再発防止を求める。”
引用:日本経済新聞|「個人情報の漏洩、過去最多の1万3279件 23年度で個情委」(2024/6/11)
企業事例(生命保険会社 1,000件)
- 発表日:2024/4/9
- 企業名:プルデンシャル生命保険株式会社
- 参考記事:プルデンシャル生命保険|当社元社員によるお客さまの個人情報の漏えいに関するお詫びとお知らせ
| 漏洩媒体 | 紙 |
| 漏洩数 | 979件 |
| 原因区分 | 内部不正 |
(原因)
退職した元社員が転職先企業での使用を目的に顧客情報を不正持ち出したことによる。
(漏洩項目)
顧客の氏名、電話番号、住所、加入商品名、証券番号、団体名、加入商品のステータス。
(初動対応)
直ちに金融庁、個人情報保護委員会に報告。
(内部対応)
社員教育の再徹底。情報の持ち出しを防ぐための技術的措置の強化(アクセス制限、印刷制限等)
(被害者対応)
個別に郵送等で連絡。
(2次被害への対応)
2024年4月9日時点で二次被害の発生は確認されていない。当該顧客管理リストはすべて廃棄処分されたことを確認。
(公的対応)
金融庁、個人情報保護委員会への報告、警察への相談を実施。
退職者による情報漏洩は、他の情報漏洩とは質の異なる深刻なダメージを企業に与えます。
過去の事件を参考に、実際にどれほどの被害を被るのか、どのような対策を講じるべきか、下記で詳説しています。
ウィルスより恐ろしい、退職者による情報漏洩!
医療機関(市民病院 1,000人)
- 発表日:2024/1/17
- 企業名:横浜市立みなと赤十字病院
- 参考記事:横浜市|【記者発表】横浜市立みなと赤十字病院(指定管理者:日本赤十字社)におけるUSBメモリの紛失について
| 漏洩媒体 | USBメモリ |
| 数 | 1,092名 |
| 原因区分 | 人為ミス |
(原因)
職員が論文作成のため持ち出したUSBを紛失したことによる。
個人情報の取り扱いマニュアルに不備があり、またそのマニュアルも守られていなかった。
(漏洩項目)
循環器内科患者の氏名、患者ID、年齢、性別、生年月日、診断名。
なお、2024年1月17日現在当該USBは発見されていないが外部への漏えいは確認されていない。
(初動対応)
上司の医師へ報告。
(内部対応)
院内での個人所有の記録媒体の使用禁止とし規定及びマニュアルの見直し。全職員に対し研修を実施しマニュアルの周知・徹底を目指す。
(被害者対応)
対象の患者全員へ書面を発送し謝罪。院内に専用問い合わせ窓口の設置。
(2次被害への対応)
発表なし。
(公的対応)
横浜市へ報告。
USBメモリは、紛失や盗難に対するセキュリティ対策と利便性を両立した管理方法が求められます。情報漏洩事故の実態や、USBメモリの管理手法の選択肢、総合的な対策の必要性などについて下記で解説しています。
安全・便利を両立させるUSBメモリの管理方法とは?
企業事例(生命保険会社 9.6万人)
- 発表日:2024/9/6
- 企業名:日本生命保険相互会社
- 参考記事:日本生命保険相互会社|当社グループにおける個人情報の漏えいについて
| 漏洩媒体 | サーバー |
| 漏洩数 | 96,000人 |
| 原因区分 | 人為ミス |
(原因)
個人情報の取り扱いに関する認識の不十分さにより、代理店への出向者などが契約者情報を漏洩していた。
(漏洩項目)
顧客の氏名、年齢、性別、生年月日、保険料、証券番号など。
(初動対応)
発表なし。
(内部対応)
発表なし。
(被害者対応)
発表なし。
(2次被害への対応)
外部への流出や営業活動への使用は未確認。
(公的対応)
発表なし。
※2024年9月6日現在、公開されている情報に基づいています。新たな情報が発表されましたら更新します。
企業事例(住宅メーカー 83万件)
- 発表日:2024/5/24
- 企業名:積水ハウス株式会社
- 参考記事:積水ハウス|住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによるお客様情報等の外部漏えいについて
| 漏洩媒体 | サーバー |
| 漏洩数 | 828,168人 (可能性を否定できない人を含む) |
| 原因区分 | 外部攻撃 |
(原因)
過去に使用していたページのセキュリティ設定に不備がありサイバー攻撃を受けたことによる。
(漏洩項目)
お客様のメールアドレス、ログインID、パスワード。
従業員のメールアドレス、パスワード。
(初動対応)
当該サイトの運用停止。
(内部対応)
グループ企業のネットワークに対する監視の強化。
(被害者対応)
お客様には順次連絡、専用窓口の設置。
(2次被害への対応)
他社WEBサイト等で当該サイトと同じパスワードを利用している場合、他社WEBサイトのパスワードの変更をお願い。
(公的対応)
個人情報保護委員会への報告と警察への相談を実施。
企業事例(スーパーマーケットチェーン 778万件)
- 発表日:2024/2/22
- 企業名:株式会社イズミ
- 参考記事:イズミ|当社システムに対する外部攻撃に伴う個人情報に関するお知らせとお詫び
| 漏洩媒体 | サーバー |
| 数 | 7,784,999件 |
| 原因区分 | 外部攻撃 |
(原因)
第三者がサーバーへ侵入したことによる。
(対象項目)
会員の氏名、電話番号、住所、生年月日、性別、ポイント管理番号。
クレジットカード情報は別システムの運用のため漏えいはなし。
パートアルバイト応募者の氏名、電話番号、住所、生年月日、性別、メールアドレス
(初動対応)
直ちにグループの全ネットワークを遮断し、対策本部を立ち上げ調査及び復旧対応を開始。警察へ相談。
(内部対応)
外部専門家と連携してセキュリティと監視体制を強化。
(被害者対応)
外部への情報流出の可能性は極めて低いが、情報を閲覧された可能性はあることから対象の人には連絡。
(2次被害への対応)
発表なし。
(公的対応)
個人情報保護委員会への報告と警察への相談を実施。
2023年 情報漏洩事故の傾向
2023年の事故件数は最多件数を更新し、特に外部攻撃による被害が引き続き増加しています。
一方で、従業員による顧客情報の不正持ち出しや不適切な取扱いなど、内部不正が原因による大規模な事故が目立つ年となりました。
企業事例(通信会社 928万件)
- 発表日:2023/10/17
- 企業名:NTTビジネスソリューションズ株式会社
- 参考記事:株式会社NTTマーケティングアクトProCX|NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)
| 漏洩媒体 | サーバー |
| 漏洩数 | 約928万件 |
| 原因区分 | 内部不正 |
(原因)
退職した元派遣社員がシステム管理者アカウントを悪用し、10年近く顧客情報を不正に持ち出した。
(漏洩項目)
顧客の氏名、住所、電話番号等。
(初動対応)
2022年にクライアントより情報漏洩の指摘があり社内調査依頼を行ったが、不正に気付けなかった。
(内部対応)
顧客情報を扱う全業務について再点検の実施および従業員に対する教育により、個人情報管理体制を強化。
(被害者対応)
クライアントの意向を確認しながらクライアントの顧客対応を進める。
(2次被害への対応)
一部の関係する自治体や団体が流出の被害を発表し、個人情報保護委員会に報告。
(公的対応)
不正競争防止法違反の容疑で元派遣社員を起訴(2024年1月)。
内部不正で故意に情報が漏洩させられる場合、その被害規模は甚大になる傾向があります。
内部不正を防ぐ効果的な対策について下記で解説しています。
NTT西日本の子会社、情報漏洩900万件から学ぶ!
企業事例(通信会社 52万件)
- 発表日:2023/11/27
- 企業名:LINEヤフー株式会社
- 参考記事:LINEヤフー|不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)
| 漏洩媒体 | パソコン |
| 漏洩数 | 約52万件 |
| 原因区分 | 外部攻撃 |
(原因)
委託先従業者のPCがマルウェアに感染したことで第三者が不正アクセスしたことによる。
(漏洩項目)
ユーザーに関する情報、取引先等に関する情報、従業者等に関する情報。
(初動対応)
不正アクセスに使用された可能性のある従業者のパスワードをリセットし、アクセスの経路と推測されるシステムからのアクセスを順次遮断。
(内部対応)
関係会社と共通化していた認証基盤環境を分離し、ネットワークアクセス管理を一層強化。
(被害者対応)
ユーザーおよび取引先には個別連絡、従業者には説明を行う。
(2次被害への対応)
偽のメッセージや詐欺、フィッシングへの注意喚起。
(公的対応)
発表なし。
企業事例(製薬会社 1万件)
- 発表日:2023/5/19
- 企業名:株式会社エーザイ
- 参考記事:エーザイ|不正アクセスによる個人情報流出の可能性に関するお詫びとご報告
| 漏洩媒体 | サーバー |
| 漏洩数 | 約11,000件 |
| 原因区分 | 外部攻撃 |
(原因)
グループ海外法人の社員のアカウントを不正に使用した外部者の不正アクセスによる。
(漏洩項目)
取引先関係者様の氏名、メールアドレス。その他情報については、漏洩の可能性はない見通し。
(初動対応)
直ちに不正アクセスの遮断と対処。被害状況及び原因の解明。
(内部対応)
グループ企業のネットワークに対する監視の強化。
(被害者対応)
個別メールにて対応、加えて専用窓口の設置。
(2次被害への対応)
流出した可能性のある情報を、継続的にモニタリング。
(公的対応)
個人情報保護委員会への報告等、各国規制に沿った対応を実施。
企業事例(自動車メーカー 215万件)
- 発表日:2023/5/12
- 企業名:トヨタ自動車株式会社
- 参考記事:トヨタ自動車|クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて
| 漏洩媒体 | サーバー |
| 漏洩数 | 約215万件 |
| 原因区分 | 人為ミス |
(原因)
関連会社に管理を委託するデータの一部が、クラウド環境の誤設定により、公開状態となっていた。
(漏洩項目)
車載端末ID、車台番号、車両の位置情報、時刻。
※ これだけでは個人の特定は不可。
(初動対応)
判明後、外部からのアクセスを遮断。全てのクラウド環境を含めた調査を継続して実施。
(内部対応)
データ取扱いルールの説明が、不十分だったことが原因。従業員への教育を徹底と、クラウド設定を監査するシステムを導入。クラウド環境の設定調査を実施し、継続的に設定状況を監視する仕組みを構築。
(被害者対応)
個別メールにて対応。加えて、専用のコールセンターを設置。
(2次被害への対応)
2次利用、2次被害ともに確認されていない。
(公的対応)
発表なし。
(追加情報)2023/5/31時点
その後の調査で、お客様情報を含むデータの一部が外部からアクセスできる状態だったと判明したが、2次利用、2次被害なく、前回 5/12の公表以降、クラウド設定監視システムの導入完了、設定調査、設定監視の仕組みが稼働している。
※参考記事:トヨタ自動車|クラウド設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて
企業事例(通信会社 529万件)
- 発表日:2023/3/31
- 企業名:株式会社NTTドコモ
- 参考記事:NTTドコモ|【お詫び】「ぷらら」及び「ひかりTV」などをご利用のお客さまの個人情報流出の可能性のお知らせとお詫び
| 漏洩媒体 | パソコン |
| 漏洩数 | 最大 約529万件 |
| 原因区分 | 外部攻撃/人為ミス |
(原因)
業務委託先企業のパソコンから、顧客情報が流失した可能性があることを、ネットワーク監視によって確認。
(漏洩項目)
「ぷらら」及び「ひかりTV」の顧客情報(氏名/住所/電話番号/メールアドレス/生年月日/フレッツ回線ID/お客さま番号)。なおクレジットカード情報、金融機関情報は含まれない。
(初動対応)
流出元と想定されるパソコンをネットワークから隔離。
(内部対応)
調査を継続中。
(被害者対応)
問合せ窓口の設置。
(2次被害への対応)
不正利用の事実は確認されていない。
(公的対応)
発表なし。
企業事例(通信会社 2万件)
- 発表日:2023/2/16
- 企業名:浜松ケーブルテレビ株式会社
| 漏洩媒体 | サーバー |
| 漏洩数 | 最大 約22,671件 |
| 原因区分 | 外部攻撃 |
(原因)
モデム制御サーバーがセキュリティ設定の不備によりXorDDoS(マルウェア)に感染。サーバー内情報が外部流出した可能性は低いものの、完全否定できない。
(漏洩項目)
同軸インターネットをご利用頂いているお客様の、顧客IDと住所
※ 顧客IDは自動採番の管理用通番なので、流出による実質的な被害はありません。また、氏名・電話番号・決済情報・その他ご契約内容は、別サーバーで管理されているため、顧客ID・住所から個人を特定することはできず、契約・決済情報が流出する恐れはありません。
(初動対応)
当該サーバーの停止。外部専門機関へ調査依頼。
(内部対応)
再発防止を徹底するとともに、情報管理の強化ならびに徹底に努める。
(被害者対応)
問合せ窓口の明示
(2次被害への対応)
発表なし。
(公的対応)
発表なし。
企業事例(IT製品会社 12万件)
- 発表日:2023/2/14
- 企業名:ソースネクスト株式会社
- 参考記事:ソースネクスト|当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
| 漏洩媒体 | Webサイト |
| 漏洩数 | 約12万件 |
| 原因区分 | 外部攻撃 |
(原因)
webサイトのシステム脆弱性を利用した第3者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(漏洩項目)
カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
氏名、メールアドレス(パスワードの漏えいはなし)、郵便番号(任意入力項目)、住所(任意入力項目)、電話番号(任意入力項目)。
(初動対応)
当該サイトでのカード決済停止。
(内部対応)
システムのセキュリティ対策、監視体制の強化。
(被害者対応)
電子メールにて個別の連絡と対応。いたずらな混乱を避けるため、調査会社の調査結果、並びにカード会社との連携を行った後、発表することとなりました。
(2次被害への対応)
クレジットカード情報の不正利用の可能性を確認。カード会社と連携し、漏えい可能性のあるカードによる取引のモニタリングを継続し、不正利用の防止に努めます。
不正利用が疑われる場合は、カード会社への問合せで対応できる体制を構築。クレジットカードの差替え費用は、負担が生じないようクレジットカード会社と調整済み。
(公的対応)
第三者調査機関による調査を実施。個人情報保護委員会、総務省関東総合通信局に報告済み。
所轄警察署に被害申告済み。
医療機関(社会医療法人財団 3,000人)
- 発表日:2023/3/29
- 企業名:社会医療法⼈財団 慈泉会 相澤病院
| 漏洩媒体 | パソコン |
| 漏洩数 | 3,137名 (亡くなられた方868名を含む) |
| 原因区分 | 内部不正 |
(原因)
元職員が後輩職員に、業務マニュアルが見たいと言って、業務用フォルダーに保存してあったデータをコピーして持ち去ったと思われる。
(漏洩項目)
透析治療患者さん、高気圧酸素療法患者さん(亡くなられた患者さんを含む)の住所・氏名・生年月日等、基本的な識別情報のほか、各種医療情報、家族情報等が含まれていた。
(初動対応)
漏洩情報の正確な把握と整理。捜査機関への協力。
(内部対応)
病院全職員に個⼈情報が含まれたデータ等を厳格に取り扱うことを周知徹底。個⼈情報保護に関する研修や管理体制についても再点検・⾒直し。
(被害者対応)
漏洩データの内容を記載した書面を、個別に発送することで通知。問合せ専用窓口、電話受付の実施。
(2次被害への対応)
書面による通知以外に、電話連絡することがない旨、不審電話への注意喚起。
(公的対応)
個⼈情報保護法に基づく内閣府の個⼈情報保護委員会へ報告。地元警察署に事件相談、告訴状の提出。
教育機関(大学 36,000件)
- 発表日:2023/2/9
- 企業名:明治大学
- 参考記事:明治大学|本学サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について
| 漏洩媒体 | サーバー |
| 漏洩数 | 36,692件 |
| 原因区分 | 外部攻撃 |
(原因)
生田キャンパスの教育研究システムのサーバーに、第三者からの攻撃が行われ、不審なプログラムが実行された。
(漏洩項目)
学生および本学構成員36,692件のメールアドレス。氏名・住所・ 電話番号・パスワード・成績情報などの個人情報は、窃取されていないことを確認。なお48件については、メールアドレスから氏名が類推できることを確認。
(初動対応)
不正に使用されたアカウントの停止。通信の遮断。外部専門業者との調査。
(内部対応)
攻撃プログラムの除去。セキュリティに関連した脆弱性の点検。引き続き専門業者の協力のもと、原因の究明と調査。再発防止と早期発見に向けた、さらなる対策を予定。
(被害者対応)
メールアドレスから氏名の類推できる方へ、事実報告と謝罪文の送付。学生・教職員 向けのポータルサイトを通じた報告。専用の問合せ窓口を案内し、個別に対応。
(2次被害への対応)
2023年2月9日時点で、不正に得た情報が悪用されたという、被害報告はない。
(公的対応)
発表なし。
公的機関(公益財団法人 3,500件)
- 発表日:2023/3/27
- 企業名:福岡県暴力追放運動推進センター
| 漏洩媒体 | パソコン |
| 漏洩数 | 約3,500件 |
| 原因区分 | 外部攻撃 |
(原因)
職員が使用していたパソコンに、セキュリティーサポートを偽装した詐欺画面が表示され、約20分間遠隔操作の状態に陥る。その際に業務使用の個人情報を含むデータが、流出した可能性がある。
(漏洩項目)
当センターへの相談者の氏名、電話番号など、約3,500人分の個人情報。
(初動対応)
回線の遮断。
(内部対応)
発表なし。
(被害者対応)
発表なし。
(2次被害への対応)
「暴力追放運動推進センター」の職員や名称を使った、電話や郵便物等が届いた場合への注意喚起。
(公的対応)
発表なし。
公的機関(地方公共団体 1,900件)
- 発表日:2023/4/17
- 企業名:町田市(東京都)
- 参考記事:町田市|個人情報の漏えいについて
| 漏洩媒体 | 電子メール |
| 漏洩数 | 約1,939件 |
| 因区分 | 人為ミス |
(原因)
市外の幼稚園6園に、補助金に関する電子メールを送信したところ、誤って他園に在籍する児童の情報を含むデータ(1,939 名分) を添付したことで、個人情報が漏えいした。
(漏洩項目)
園名、児童氏名、生年月日、クラス、補助対象経費、施設等利用費、保護者補助金額。
(初動対応)
誤送信先に、送信済みデータの削除を依頼し、各園から削除完了の報告を受ける。
(内部対応)
メールの送信時に、添付データ内容を確認することの周知徹底。
(被害者対応)
対象児童の保護者に、文書での謝罪及び説明を行う予定。
(2次被害への対応)
発表なし。
(公的対応)
発表なし。
まとめ
以上、情報漏洩の事例について、発生後の対応も含めてまとめてみました。情報漏洩の原因は、外部攻撃、人為ミス、内部不正、と大きく3つに分かれますが、年々外部攻撃が増え続けている一方で、内部不正や人為ミスにより大きな事故につながっている事例も目立ち、企業はより強力で適切なセキュリティ対策が求められています。
また情報漏洩後の対応は、各企業・団体によって大きく異なることが分かります。あくまで対外的に公表された文書からの判断ですが、民間企業に比べ公的団体の対応は十分とは言えない印象を持たざるを得ません。
以上となります。
お読みいただき、ありがとうございました。
※本記事の掲載事例は現時点での当社調べの内容です。
本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部
情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位になるのか?漏洩の原因は何か? 企業はどのような対策を講じるべきか? さらには万一漏洩した場合の対応手順まで解説します。
