| 個人情報流出はなぜ止まらないのか? 流出リスクと対策方法を解説 | |
|---|---|
| 作成日時 23/10/17 (09:37) | View 826 |
2003年5月に個人情報保護法が制定されてから20年が経ち、個人情報が守るべき重要な情報であることは広く浸透していますが、それでも個人情報流出が止まりません。
事実、2022年に上場企業とその子会社で、個人情報の流出・紛失事故を公表したのは150社、事故件数は165件で、調査を開始した2012年以降の11年間で社数と事故件数は2年連続で最多を更新しています。流出した個人情報の総数は592万7,057人分となり、前年比3.0%増となっており、また、事故の原因としては、人的ミスが32.2%、内部不正が24.8%、外部からの攻撃が42.9%となっています。
流出・紛失事故 年次推移
出典:東京商工リサーチ
2023年 主な個人情報流出の事例
しっかりとしたセキュリティ対策を行っているはずの大手企業でも、数千件から約600万件という大量の個人情報流出が発生しています。
|
時期 |
企業名 |
原因 |
流出の概要 |
|
2023年3月31日 |
NTTドコモ |
元派遣社員による不正持ち出し |
氏名、住所、電話番号、メールアドレス、生年月日などの顧客情報を含む約596万件が流出 |
|
2023年7月5日 |
WOWOW |
ユーザ認証システムの不具合 |
契約情報、支払い履歴などの顧客情報、最大約44,144人の情報が流出 |
|
2023年8月15日 |
メガネスーパー |
不正アクセス |
氏名、住所、視力・聴力の測定結果などを含む約4000人分以上の顧客情報が流出 |
|
2023年9月15日 |
マツダ |
不正アクセス |
社員や取引先などの氏名、メールアドレス、電話番号、ID、パスワードなど10万件以上が流出 |
|
2023年9月26日 |
NHK |
不正アクセス |
氏名、メールアドレス、部署、役職名、ユーザIDなど、2万件以上の職員の情報が流出 |
個人情報流出のコスト
これだけ大量の個人情報流出が発生したら、どれくらいの損害賠償をしなければならないのでしょうか?
JNSA発表の「インシデント損害額 調査レポート 2021」によると、個人情報流出1人あたりの平均損害賠償額は2016年~2018年の3か年平均で28,308円となっています。
仮に1万件の個人情報が流出して損害賠償をしなければならなくなったら、2.8億円以上の費用がかかります。600万件に損害賠償が必要だとしたら、損害賠償額は約1700億円にもなってしまいます。
出典:JNSA インシデント損害額 調査レポート 2021
個人情報流出によって企業に与えるリスク
個人情報流出によって企業に与えるリスクは、大きく分けて以下の3つに分けられます。
1.社会的信用の失墜
個人情報流出事故が発生すると、企業の社会的信用が失墜し、顧客離れや取引停止、株価下落などにより、経営に大きな影響を与える可能性があります。
2.損害賠償の発生
個人情報流出事故によって被害者が損害を被った場合、企業は損害賠償の責任を負う可能性があります。損害賠償の額は、被害者の数や被害の程度によって大きく異なりますが、数千万円から数億円に上るケースもあります。
3.行政処分の対象となる可能性
個人情報保護法に違反して個人情報が流出した場合、企業は行政処分の対象となる可能性があります。行政処分には、勧告、改善命令、業務停止命令などがあり、企業の経営に大きな影響を与える可能性があります。
個人情報流出の主な原因
個人情報流出の主な原因は、大きく分けて以下の3つに分けられます。
1.人的ミス
メールの誤送信、資料の紛失や廃棄ミス、PCの置き忘れなど、人的なミスによって個人情報が流出するケースです。
2.内部不正
社員による不正アクセスや情報持ち出しなど、内部からの不正行為によって個人情報が流出するケースです。
3.外部からの攻撃
サイバー攻撃によって、不正アクセスやウイルス感染などを経て個人情報が流出するケースです。
なぜ個人情報流出は止まらないのか?
個人情報流出が止まらない理由は、以下の3つが考えられます。
1.個人情報の取り扱いに関する意識の低さ
個人情報の取り扱いに関する意識が低いため、人的ミスによる事故が頻発しています。また、内部不正による事故も、個人情報の価値やリスクを認識していない社員が起こすケースが多いと考えられます。
2.サイバー攻撃の高度化
サイバー攻撃の高度化に伴い、外部からの攻撃による事故が増加しています。企業や自治体は、最新のセキュリティ対策を講じる必要がありますが、常に新しい攻撃手法が開発されているため、完全に防ぐことは困難です。
3.個人情報の利活用の拡大
個人情報の利活用が拡大するにつれて、個人情報が蓄積される場所が増えています。そのため、個人情報流出のリスクが高まっています。
個人情報流出を防ぐためには、企業や自治体、個人それぞれが対策を講じる必要があります。企業や自治体は、個人情報の適切な管理や情報セキュリティ対策の強化を図るとともに、従業員や市民への教育を徹底する必要があります。個人は、個人情報の公開を控えるとともに、個人情報の取り扱いに関する意識を高める必要があります。
効果的な個人情報流出対策は?
企業における効果的な個人情報流出対策としては、以下のようなものが挙げられます。
1.個人情報の取り扱いに関する規程を策定・周知する
個人情報の収集・利用・保管・廃棄などのルールを明確にし、社員に周知します。ルールを明確にすることで、社員が個人情報を取り扱う際に、何をすべきか、何をしてはいけないのかを明確にすることができます。
2.個人情報の漏えい・不正アクセスなどのリスクを洗い出し、対策を講じる
個人情報流出のリスクを洗い出し、対策を講じます。
3.情報セキュリティ対策を強化(不正アクセス対策やウイルス対策など)
不正アクセスやウイルス感染などの対策を講じます。ファイアウォールやIPSなどのセキュリティ対策を導入するとともに、従業員へのセキュリティ教育を実施します。情報セキュリティ対策を強化することで、外部からの不正アクセスやウイルス感染による個人情報流出を防ぐことができます。
4.従業員への教育を実施
個人情報の取り扱いに関する意識を高める教育を実施します。
個人情報の価値やリスクを理解し、適切に扱うための知識やスキルを身につけてもらうことが重要です。
個人情報流出対策は、一度実施すれば終わりではありません。常に新たな脅威が発生する可能性があるため、対策を継続的に実施する必要があります。
個人情報流出対策は、一人ひとりの意識や行動によって大きく左右されます。全社員に対策の重要性を理解してもらい、対策を徹底する必要があります。
企業が個人情報流出対策を徹底することで、個人情報流出事故を防ぎ、企業の社会的信用を守ることができます。
個人情報漏洩とダークウェブ
ダークウェブは、一般的な検索エンジンでは検索できないWebサイトやサービスで構成されたネットワークです。ダークウェブは、匿名性や検閲回避を目的として利用されており、違法な商品やサービスの取引や、クレジットカード情報やパスワード、IDなどの個人情報の売買などが行われています。
ダークウェブで売買された個人情報は悪用されて更なる犯罪につながる可能性があります。例えば、不正に取得した個人情報を使って、ランサムウェア攻撃、なりすまし詐欺(BEC)やアカウント乗っ取りなどの被害に遭う可能性もあります。
ダークウェブ監視の効果とは?
ダークウェブ監視とは、ダークウェブ上での個人情報や機密情報などの脅威情報を収集・解析・対策を行うことです。
ダークウェブ監視を行うことで、企業や組織は、以下のメリットを享受することができます。
個人情報流出の早期発見
ダークウェブでは、個人情報や機密情報が売買されています。ダークウェブ監視を行うことで、企業や組織は、個人情報流出の早期発見が可能になります。
適切な対策の実施
ダークウェブ監視によって収集した脅威情報をもとに、企業や組織は、適切な対策を実施することができます。
リスクの低減
ダークウェブ監視によって、企業や組織は、ダークウェブからの脅威を低減することができます。
このように、ダークウェブ監視は企業や組織のセキュリティ対策において重要な役割を果たします。ダークウェブ監視用のツールを利用してダークウェブ上での脅威情報を検索・監視・解析しましょう。
無料アカウントを登録して試してみましょう!
ステルスモールは申し込み後すぐに試用が可能です。
