2019年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは66社、事故件数は86件、漏えいした個人情報は903万1,734人分に達した。
2013年の87社、事故件数107件をピークに、小康状態を維持しているが、調査を開始した2012年から2019年の累計は372社、事故件数は685件。個人情報の漏えい・紛失事故を起こした上場企業は、全上場企業(約3,700社)の1割に匹敵し、漏えい・紛失した可能性のある個人情報は累計8,889万人分に達する。日本の人口の約7割の個人情報が漏えい・紛失したことになる。
過去最大の漏えい事故は、2014年7月に発覚したベネッセホールディングス(ベネッセコーポレーション)で、委託先社員による顧客情報の不正取得で個人情報3,504万人分が漏えいした。
最近は、不正アクセスなどサイバー攻撃による事故が増加し、被害が拡大するケースが多い。 2019年は「ウイルス感染・不正アクセス」を原因とする事故が、調査を開始以来、最多の32社(41件)発生。情報漏えい件数が100万人分以上の大型事故も2件あった。また、流通大手セブン&アイ・ホールディングスが導入した決済サービス「7pay(セブンペイ)」は、不正利用でサービス廃止に追い込まれ、セキュリティ対策の重要性が改めてクローズアップされた。
- ※本調査は2012年1月~2019年12月までの上場企業と子会社の情報漏えい・紛失事故を、プレスリリース・お知らせ・お詫びなどの、自主的な開示に基づき、発表日ベースで独自集計した。個人情報を氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、リリースの「漏えいの可能性がある」も対象とした。
最多は2013年の107件(87社) 件数ベースでは1万件未満の漏えい・紛失事故が8割超
2012年以降に発生した個人情報の漏えい・紛失事故を年別にみると件数、社数ともに2013年(87社、107件)が最も多かった。2015年以降は毎年60社以上が個人情報漏えい・紛失事故を公表しており、2019年は66社、86件だった。
2012年以降の事故件数685件のうち、情報漏えい・紛失件数の最多は100件以上1,000件未満で、208件(構成比30.3%)だった。次いで、100件未満が186件(同27.1%)と続く。この事故規模では書類や伝票類など、紙媒体の紛失・誤廃棄、メール誤送信などによる顧客情報の流出が中心になっている。事故件数に占める比率は、1万件未満(545件)が約8割(79.5%)を占めた。
情報漏えい・紛失件数が1万件以上は、103件(構成比15.0%)発生。このうち、ウイルス感染や不正アクセスによる漏えいは58件と半数に達し、ウイルス感染や不正アクセスによる漏えい・紛失件数の多さが際立った。
件数が100万件以上に及ぶ大型事故は7件(構成比1.0%)にとどまる。しかし、この7件の事故で計7,686万人分、全体の8割以上(86.3%)の個人情報が不正に漏えい・紛失した。また、7件のうち、5件がウイルス感染・不正アクセスによるものだった。
最多はベネッセHDの3,504万件、2019年は「宅ふぁいる便」で481万件の漏えい事故も
2012年以降、個人情報100万件以上の漏えい・紛失事故は7件発生している。1件の事故による漏えい・紛失件数の最大は、ベネッセホールディングス(ベネッセコーポレーション、2014年7月発生)の3,504万件だった。委託先社員による不正取得、転売が刑事事件に発展、事故による信用低下や損失計上など大きな傷跡を残し、個人情報の流出が社会問題となった。
2019年は個人情報100万件以上が漏えいした大型事故が2件発生した。大阪ガス100%子会社のオージス総研が展開していたファイル転送サービス「宅ふぁいる便」は2019年1月、サーバーが不正アクセスを受け481万件の顧客情報が漏えい。以後、復旧を検討してきたが、システム再構築の見通しが立たずサービス終了を発表した。また、トヨタ自動車の販売子会社も2019年3月、サーバーが不正アクセスを受け、顧客情報が最大310万件漏えいした可能性があると公表した。
膨大な顧客情報を管理する企業では、社員教育や不正アクセスへのセキュリティなどの情報管理の難しさが浮き彫りになった。
漏えい・事故回数 最多はNTTグループ
2012年以降、漏えい・紛失事故が最も多く発生したのは、日本電信電話(NTT)グループの7社で、計31回発生した。内訳は、100%子会社の西日本電信電話(NTT西日本)が17回、エヌ・ティ・ティ・コミュニケーションズとエヌ・ティ・ティ・ドコモ(NTTドコモ)が、各5回など。
次いで、東京瓦斯(東京ガス)の21回、3位のフジ・メディア・ホールディングスは16回と続く。フジ・メディア・ホールディングスのうち、12回は100%子会社の通販会社ディノス・セシールが発表した不正アクセスによるもの。通信、ガス、金融など、公共性の高い大手は保有する個人情報が多く、徴収業務などで多数の従業員が個人情報に触れる機会も多い。ただ、内容をみると顧客が記入した申込書や伝票類の紛失、盗難などが多く、基本的な人為的ミスや管理不徹底に起因するケースが散見される。
原因別 最多は紛失・誤廃棄で4割を占める
情報漏えい・紛失事故685件のうち、理由として最も多かったのは「紛失・誤廃棄」の265件(構成比38.6%)で約4割を占めた。次いで、「ウイルス感染・不正アクセス」が178件(同25.9%)、「誤表示・誤送信」が146件(同21.3%)と続く。
「紛失・誤廃棄」は、書類や記録メディアの紛失、本来保管しておくべき必要書類を廃棄していたことが社内調査で判明したケースなど。「誤表示・誤送信」は、メールの宛先間違いなどの人為的ミスで発生している。
1事故あたりの情報漏えい・紛失件数の平均は「盗難」が50万4,597件と突出したが、これは顧客データが不正取得されたベネッセホールディングスが押し上げたため。これを除くと機械的に情報を抜き取る「ウイルス感染・不正アクセス」が24万1,663件と突出している。紙媒体が中心の「紛失・誤廃棄」(3万7,841件)に比べ、事故1件あたりの情報漏えい・紛失件数は6.3倍の差がみられ、漏えいした際の被害の深刻度はケタ違いに大きい。
増加する「ウイルス感染・不正アクセス」 2019年は最多の41件発生
一度発生すると被害が大きく、広範囲に影響する「ウイルス感染・不正アクセス」による事故が年々、増加している。2019年は、調査を開始以来、8年間で最多の41件(32社)発生した。
これは2019年の情報漏えい・紛失事故(86件)の約半数を占め、漏えい・紛失した件数は890万2,078件に及び、2019年全体(903万1,734件)の98.5%を占めた。
「ウイルス感染・不正アクセス」による漏えい・紛失事故の件数で、これまでの最多は2013年5月に不正アクセスで最大2,200万件のIDが外部流失した可能性を公表したヤフー(現:Zホールディングス)。2019年の最多は、ファイル転送サービス「宅ふぁいる便」運営のオージス総研(大阪ガス子会社)で、481万5,399件だった。
媒体別 社内システム・サーバーが最多 平均漏えい件数は27万件と突出
情報漏えい・紛失事故685件のうち、原因となった媒体別では「社内システム・サーバー」が288件(構成比42.0%)で最多。次いで、「書類」が261件(同38.1%)で、上位2媒体で約4割ずつを占めた。次いで、パソコンが55件(同8.0%)、マイクロチップやUSBメモリー等の記録メディアが47件(同6.8%)の順。
1事故あたりの情報漏えい・紛失件数の平均は、社内システム・サーバーによる事故が27万2,688件で突出した。社内サーバーが不正アクセスを受け、会員サイトなどのID、パスワードが不正に乗っ取られるケースなどが目立つ。一方、利用範囲が個人に限定されるパソコンや携帯電話などの端末は、情報漏えい・紛失件数が相対的に少ない。
産業別 BtoC取引が多い企業中心
情報漏えい・紛失事故が発生した372社のうち、産業別での最多は製造業の71社(構成比19.0%)だった。次いで金融・保険業と小売業の65社(同17.4%)、サービス業の57社(同15.3%)、情報・通信業の48社(同12.9%)と続き、上位5産業までで全体の社数の約8割を占めた。
製造業の最多は、2019年に発生したトヨタ自動車の販売子会社で、漏えいした個人情報は約310万件に達する。次いで、資生堂の子会社(2016年12月発生)が42万1,313件の順。
製造業でもBtoC部門で多く発生した。このほか、膨大な顧客情報を扱う銀行等の金融・保険業や小売、サービス業など、BtoC取引の比重が高い産業が目立った。情報・通信業はウイルス感染・不正アクセスのほか、顧客データの誤送信、サイト上での誤表示による事故が多い傾向となっている。
市場別 東証1部上場企業が約8割
情報漏えい・紛失事故が発生した372社のうち、上場市場別で最多は東証1部で、304社(構成比81.7%)と8割を占めた。従業員数や顧客数も多く、扱う個人情報が膨大なため、事故が発生する土壌があるほか、規模や知名度から不正アクセスを受けやすい。一方で、ガバナンスが徹底し、事故が発生した際の情報開示の業務フローが厳格に規定されていることも、事故の公表が多い背景にあるとみられる。
2019年個人情報漏えい・紛失事故
2019年に発生した主な個人情報の漏えい・紛失事故では、100万件以上の漏えいとなった大阪ガス(オージス総研)やトヨタ自動車(トヨタ東京販売ホールディングス)のほか、「ユニクロ」のファーストリテイリングなど業界大手が並んだ。
EC市場の拡大で、小売業などでは自社オンラインサイトを持つ企業が大半だが、ヤマダ電機やナック(JIMOS)ではクレジットカード情報が漏えいする重大事故も発生した。
このほか、セブン&アイホールディングスが導入したキャッシュレス決済サービス「7pay(セブンペイ)」はサービスイン直後に不正アクセスにより808人、約4,000万円の不正利用被害が発覚。セキュリティ対策の甘さが指摘され、開始後わずか1カ月でサービス廃止に追い込まれた。キャッシュレス時代の本格的な幕開けとなった2019年を象徴する出来事となった。
上場企業を対象にした自主的な公表分だけでも、過去8年で日本の人口の7割に匹敵する個人情報の漏えいが起きている。このほか、未上場企業や海外企業、膨大な個人情報を取り扱う官公庁、自治体、学校などの公的機関でも、漏えい・紛失事故が散発している。
今回の調査では対象外だが、2019年12月には神奈川県庁でリース利用後、民間企業に廃棄依頼されたHDD(ハードディスクドライブ)が不正にオークションサイトで転売されたことが発覚。全容は現在も調査中だが、納税データなどの個人情報が漏えいした可能性が明らかになり、衝撃を与えた。情報漏えいに気づかず、表面化していない事故や公表していないケースも含めると、漏えい件数はもはや天文学的に膨れ上がる可能性もある。
一方、情報漏えい・紛失を防ぐための適切な対策が、個人情報を取り扱う全ての団体・企業で重要課題に浮上している。政府は生産性向上やビジネスチャンス拡大を目指し、中小企業のIT化推進に取り組んでいる。だが、上場企業に比べ資金、人的リソースが乏しい中小企業では漏えい事故が経営に大きなダメージを与えかねない。IT化推進とともに、セキュリティ対策や情報管理の体制づくりへの対応も必要だ。
年々、広がるEC市場、ビッグデータの利活用などを背景に、個人情報はより重要性を増している。同時に高度化、巧妙化する不正アクセス等へのセキュリティ対策と厳格な情報管理は、リスクマネジメントの重要な前提になっている。
