企業から数千、数万単位で個人情報が流出する事件は後を絶ちません。個人情報の漏えいでは、住所、氏名、電話番号が流出するケースや、クレジットカード番号が流出したケースまで様々です。これらの企業から流出した個人情報はどこまで広がるのでしょうか。
本記事では企業から流出した個人情報の行方はどうなるか実例と企業の対策方法を交えて解説します。
目次
流出した個人情報のゆくえ
企業から個人情報が流出すると、詐欺や脅迫、サイバー攻撃などの犯罪に使用される可能性があります。
流出した個人情報のデータは、ダークウェブと呼ばれる一般的な検索ブラウザでは検索できないサイトの中でも犯罪性が高いサイト群で売買されることがあります。ダークウェブ上で個人情報は日本円にして数百円から数千円で販売されるため、簡単に一人分の個人情報を入手できてしまいます。
個人情報の漏えいで特に注意すべきはアカウント情報やクレジットカード番号、銀行口座の暗証番号の流出です。複数から流出した個人情報を組み合わせることで、口座の不正送金やアカウントの乗っ取りを許してしまいます。
個人情報が流出した事例
個人情報が流出した事例には以下の事例があります。一度の個人情報の漏えいでアカウント情報や個人情報が万人単位で漏えいすることも少なくありません。
年 | 企業名 | 概要 |
---|---|---|
2020年 | PayPay株式会社 | 決済サービスの「PayPay」サーバに対し、第三者が不正アクセスを行い、最大で2,007万6,016件の個人情報が漏えいした可能性 がある。 |
2022年 | JTB | 情報共有ツールのアクセス権限の誤設定により、11,483人の個人情報が含まれる1,698件の書類のデータが漏えいした。 |
企業から個人情報が流出する原因
企業から個人情報が流出する原因は以下の通りです。
- 企業のセキュリティ対策が甘い
- 人的ミス
- 内部不正
企業のセキュリティ対策が甘い
個人情報が漏えいする原因の一つに外部からの不正アクセスがあります。
システムの設定を把握しておらず、電子端末の管理が甘い状態では第三者によって個人情報を窃取されるおそれがあります。中にはデータを暗号化させるランサムウェアなどが不正アクセスによって内部のネットワークに侵入し、企業活動が停止に追い込まれることもあります。
人的ミス
「個人情報を添付したメールの宛先を間違えてしまった」といった人的ミスで個人情報が外部に漏えいしてしまうケースもあります。
社外とのやり取りが多い業務であれば、誰もが情報漏えいを起こしてしまう可能性があります。この場合は上司など別の人物にメールの確認作業を行ってもらうか、メールや添付ファイルの暗号化、クラウドサービスを経由してやり取りを行うなどの工夫が必要です。
内部不正
企業に対する個人的な恨みを持つ人物や、退職者、横領、職務怠慢を行った人物が悪意を持って個人情報を漏えいさせるパターンも存在します。過去の事例によると、個人情報を同業他社の営業活動に利用したり、名簿業者に販売した事例があります。
内部不正による情報漏えいが発生した場合は、必要な調査を行い、個人情報保護委員会へ報告することが必要です。場合によっては懲戒解雇や民事訴訟、刑事告訴を行う必要もあるため、外部の専門家などと連携して社内の書類や端末の調査を行いましょう。内部不正の調査方法に関しては以下のリンクに記載しています。
個人情報流出が企業に与える影響
企業から個人情報が流出すると、企業は以下の影響を受けます。
- 社会的信頼の低下
- 顧客離れ
- 利益の低下
- 株価の下落
- インシデント対応による業務の増加
- 取引先企業の契約解除
- 個人情報保護法違反による罰金
以上の要因が積み重なると、最悪の場合は企業が倒産するおそれがあります。
個人情報流出で企業が受ける罰則
「個人情報取扱事業者」である企業は改正個人情報保護法に基づき、個人情報を流出させた場合、以下の罰則が適用される恐れがあります。
- 50万円以下の罰金…個人情報保護委員会へ報告義務を怠る
- 1億円以下の罰金…個人情報データベース等の不正流用
- 1億円以下の罰金…個人情報保護委員会からの措置命令の違反
個人情報が漏えいした場合は3~5以内に速報、30日以内に確報を個人情報保護委員会に報告する義務があります。流出した個人情報の量が多い場合は、お客様対応や通常業務と並行して調査する必要がありますが、人員や時間が足りず十分な調査が行えない場合があります。
この場合は、民間の調査会社に相談しましょう。調査の心得がある専門家が調査を行い、調査報告書は個人情報保護委員会や警察などにそのまま提出することが可能です。
企業で個人情報が流出した場合の対処法
個人情報が流出した場合、企業側では以下の対処を行い、漏えいした情報の把握・報告を行い、再発防止策を実行する必要があります。
- 個人情報流出の原因特定・調査
- 対外的対応を行う(報告・通知・公表)
- システムの復旧と再発防止策を実行する
個人情報流出の原因特定・調査
個人情報の流出が判明した場合、ネットワークを遮断し、被害を受けたサービスの停止、情報の隔離を行いましょう。
その後は、原因の特定・被害の全7581貌の調査を行います。サイバー攻撃や人為的な理由により個人情報が漏えいした場合、パソコンやスマートフォンを調査する必要があります。
対外的対応を行う(報告・通知・公表)
個人情報の漏えいが発生した場合、本人や取引先、従業員に漏えいの事実を公表し、被害拡大を防ぐ対策について通知する必要があります。
そして、個人情報の漏えいから3~5日以内と30日以内までに必ず個人情報保護委員会へ速報と確報を報告してください。
システムの復旧と再発防止策を実行する
主な個人情報の漏えいは、不正アクセスか人為的なミスや不正が原因です。各原因に対応したシステムの復旧や再発防止策を講じましょう。
サイバー攻撃が原因の場合
- システムの脆弱性をなくすために、アップデートを行う
- 新しいセキュリティサービスを導入する
- システムのバックアップを行う
- サイバー犯罪相談窓口に相談する
- 民間のフォレンジック調査会社に相談する
人為的なミスや不正が原因の場合
- 個人情報取り扱いの社内ルールを改定する
- 不正を行った社員を懲戒免職する
- 従業員に個人情報の取り扱いについて教育を行う
- 民間の調査会社に相談する
正しくシステムの復旧や再発防止策を実行するには、社内調査だけでなく、専門的な調査が必要です。中でも民間企業の「フォレンジック調査」では、情報漏えいに使用された電子端末を調査します。システムの脆弱性や侵入経路の調査と、漏えいした個人情報の調査を両方に対応し、作成した調査報告書はそのまま、公的機関に提出が可能です。
企業の調査業務を削減できるフォレンジック調査とは
フォレンジック調査とは、デジタル端末に残されたデータを適切な方法で調査し、証拠能力を持たせる調査をさします。この調査によって、通常では証拠とならないこともあるデジタルデータを証拠として裁判などに用いることが可能になります。
デジタル端末上のメールや文書などのデータは削除や改ざんが容易にできるため、裁判などではスクリーンショットや普通のコピーデータが証拠にならないケースもあります。
したがって、デジタルデータを法的利用するには、フォレンジック調査と呼ばれる適切な方法で調査する必要があります。ただしこの調査は第三者の立場の人物が行わなければ、証拠の改ざんが疑われるので外部のフォレンジック調査会社に依頼することが適切です。
フォレンジック調査会社に依頼することで、電子データの証拠保全を行ったうえで調査を行います。システムの脆弱性や侵入経路などが詳細に書かれた調査報告書は、そのまま委員会などに提出できるため、企業側は社内対応や通常業務に人員と時間を割くことができます。
このようにフォレンジック調査会社と連携することで調査業務を大幅に軽減することができます。
個人情報が漏えいして報告義務が発生した場合、より実績豊富で信頼できるフォレンジック調査会社に相談しましょう。おすすめの調査会社は以下で紹介しています。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
個人情報流出を防止する方法
最後に、個人情報流出を防止する方法には以下のものがあります。企業のセキュリティ面と従業員のリテラシーを高め、個人情報の流出を事前に防止しましょう。個人情報流出を防止する主な方法は以下の通りです。
個人情報流出を防止する方法
- 個人情報取り扱い規定の作成・見直し
- メール送信時のダブルチェック
- 書面で秘密保持契約を結ぶ
- 最新のセキュリティソフトの導入
- 個人情報のアクセス権限を制限する
- パスワードや認証方法を複雑にする
まとめ
企業から流出した個人情報は、名簿業者やダークウェブを通じて犯罪者の手に渡ってしまう危険性があります。改正個人情報保護法により、企業側の罰則は強化されましたが、個人情報流出後の対応や、再発予防策を徹底的に行わなければ、企業は社会的信頼や利益を失うリスクがあります。
一方で、個人情報の漏えいが数千、数万件に及ぶ場合、クレーム対応や漏えいの通知業務が発生し、社内だけでは不十分な調査となる可能性があります。適宜民間の調査会社に相談し、詳細な調査結果を元に、公的機関への報告や、情報漏えいの再発予防に努めましょう。