2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。調査を開始した2012年以降で、社数は2013年(87社)を上回り、最多となった。
2012年から2020年までの累計は424社、事故件数は788件となった。個人情報の漏えい・紛失事故を起こした上場企業は、全上場企業(約3,800社)の1割以上を占め、漏えい・紛失した可能性のある個人情報は累計1億1,404万人分に達し、ほぼ日本の人口に匹敵する件数が漏えい・紛失したことになる。
近年増加の一途を辿っている不正アクセスなどサイバー攻撃による事故は、2020年も45社・事故件数が51件発生、社数、事故件数ともに2年連続で増加し最多となった。これらのなかにはクレジットカード情報の流出や不正決済、不正出金に至るケースもあり年々、巧妙化かつ高度化するサイバー犯罪に対するセキュリティ対策の重要性が、改めて問われている。
- ※本調査は2012年1月~2020年12月までの上場企業と子会社の情報漏えい・紛失事故を、プレスリリース・お知らせ・お詫びなどの、自主的な開示に基づき、発表日ベースで独自集計した。個人情報を氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、リリースの「漏えいの可能性がある」も対象とした。
事故件数は前年比2割増で7年ぶりに100件超え、社数別では調査開始以来最多
2012年以降に発生した個人情報の漏えい・紛失事故を年別にみると、2020年の事故件数は前年比2割(19.7%)増の103件だった。2013年(107件)に次いで2番目の水準で、7年ぶりに100件を上回った。一方、社数は前年比3割(33.3%)増の88社。2013年(87社)を1社上回り、調査開始以来、最多となった。
2020年の事故103件のうち、情報漏えい・紛失件数の最多は100件以上1,000件未満で、29件(構成比28.1%)だった。次いで、1,000件以上1万件未満が26件(同25.2%)、100件未満が17件(同16.5%)と続く。この事故規模では書類や伝票類など、紙媒体の紛失・誤廃棄、メール誤送信などによる顧客情報の流出が中心で、事故件数に占める比率は、1万件未満(72件、不明・その他を除く)が約7割(69.9%)を占めた。
原因別 「ウイルス感染・不正アクセス」が5割
2020年の情報漏えい・紛失事故103件のうち、理由として最も多かったのは「ウイルス感染・不正アクセス」の51件(構成比49.5%)で、約5割を占めた。次いで、「誤表示・誤送信」が32件(同31.0%)で、メールの送信間違いなどの人為的ミスが中心。このほか、保管しておくべき必要書類や記録メディアを廃棄していたことが社内調査などで判明した「紛失・誤廃棄」が14件(同13.5%)と続く。
1事故あたりの情報漏えい・紛失件数の平均は「ウイルス感染・不正アクセス」が57万8,714件と突出した。機械的に膨大な情報を抜き取るサイバー犯罪は、紙媒体が中心の「紛失・誤廃棄」(7万4,768件)などに比べ、事故1件あたりの情報漏えい・紛失件数がケタ違いに大きく、漏えいした際の被害も、より深刻さを増している。
増加する「ウイルス感染・不正アクセス」 2020年は事故件数・社数とも最多を更新
一度発生すると被害が大きく、広範囲に影響する「ウイルス感染・不正アクセス」による事故が年々、増加している。2020年は、調査を開始以来、9年間で最多の51件(45社)発生。事故件数、社数ともに2年連続で最多を更新した。
漏えい・紛失した件数は2,372万7,268件に及び、2020年全体(2,515万47件)の94.3%を占めた。
「ウイルス感染・不正アクセス」による漏えい・紛失事故の件数で、これまでの最多は2013年5月に不正アクセスで最大2,200万のIDが外部流失した可能性を公表したヤフー(現:Zホールディングス)。なお、2020年で最多だったソフトバンクグループ(PayPay、情報漏えい・紛失事故件数2,007万件)は、これに次いで歴代2番目の件数となった。
産業別 BtoC取引が多い企業中心
情報漏えい・紛失事故の発生を公表した88社のうち、産業別での最多は製造業の21社(構成比23.8%)だった。次いでサービス業の18社(同20.4%)、情報・通信業の16社(同18.1%)、金融・保険業の12社(同13.6%)、小売業の7社(同7.9%)と続き、上位5産業までで全体の約8割(84.0%)を占めた。
製造業の最多は任天堂で、顧客アカウント30万件に不正ログインが発生した恐れがあると公表した。また、三菱電機は1月と11月の2度にわたって不正アクセスの被害を受け、従業員や取引先の情報が漏えいした。
市場別 東証1部上場企業が8割超え
上場市場別で最多は東証1部で、76社(構成比86.3%)と8割を超えた。大手企業が中心で従業員数・顧客数ともに多く、保有する個人情報が膨大なため、規模や知名度からサイバー犯罪のターゲットとされやすい。また、ガバナンスが徹底しているため、情報開示のフローが規定されていることも、事故の公表が多い背景にあるとみられる。
2020年 個人情報漏えい・紛失事故
情報漏えい・紛失事故103件のうち12件(構成比11.6%)が、内容を調査中として漏えい・紛失件数を開示していない。また、カプコン(漏えい・紛失件数39万件)や任天堂(同30万件)などは、調査が進むにつれて新たに漏えい・紛失件数が判明し、追加公表した。
前年(2019年)はセブン&アイホールディングスのキャッシュレスサービス「7pay(セブンペイ)」の不正アクセス被害が社会問題化し、サービス廃止に追い込まれる事態が発生した。2020年もゆうちょ銀行が導入したキャッシュレス決済サービス「mijica」で不正アクセスや不正送金などが発生。新規登録を停止していたが、サービス廃止を公表した。このほか、金融機関と紐付いたドコモ口座で不正出金が相次ぐなど、新しい金融サービスのセキュリティの不備を突く悪質な不正アクセス事件が後を絶たなかった。
上場企業を対象にした自主的な公表分だけでも、調査開始以来、9年間で日本の人口に匹敵する個人情報の漏えいが発生している。このほか、未上場企業や海外企業、膨大な個人情報を取り扱う官公庁、自治体、学校などの公的機関でも漏えい・紛失事故が散発。公表していない事故やそもそも情報漏えいに気づかないケースも含めると、漏えい件数はさらに天文学的に膨れ上がる可能性がある。 今回の調査では対象外だが、福岡県では管理していた新型コロナウイルス陽性者の個人情報が、クラウドサービスを通じて流出した可能性が明るみとなった。極めて機密性が高い情報の管理徹底が、あらためてクローズアップされている。 また2020年8月、東証1部上場の平田機工は、在宅勤務対応のために稼働させたVPN装置のセキュリティの脆弱性から不正アクセスが発生したことを公表した。新型コロナで広がった様々な働き方の変化により、企業はより柔軟なネットワークシステムなどのIT投資が必要となっている。同時にこれまで以上にセキュリティ対策や情報管理の体制づくりが、あらゆる組織で対策すべき重要課題として浮上している。
