有名企業の情報漏洩事例24件からわかる原因と対策を解説 

テレワークの普及など主に仕事を取り巻くIT環境の進歩に伴い、年々情報漏洩の件数は増加傾向にあります。また有名な企業でも情報漏洩などのセキュリティ事故を起こしてしまうケースは多く存在し、セキュリティ対策はもはや必須といえます。情報漏洩防止のためには、どのような原因でセキュリティ事故が発生してしまうのかきちんと知ることが大切でしょう。 

本記事では、2022年から発生した有名な企業の情報漏洩事例24件を情報漏洩が発生する主な要因とあわせて解説いたします。また、情報漏洩を防ぐための対策方法やポイントなどもご紹介いたしますので、ぜひ最後までご覧ください。 

2022年~2023年に起きた有名企業の情報漏洩事例

まず、2022年からの約2年間に実際に情報漏洩が発生してしまった事例をご紹介します。
※企業名ではなく業種のみ記載しています。

情報公開日	業種	流出件数	要因
2023/11/24	医療機関	3,613件	人為的ミス
2023/11/07	人材サービス	96,338件	システム不具合
2023/09/28	医療機関	4,858件	人為的ミス
2023/09/26	メディア	23,435件	サイバー攻撃
2023/08/07	文具	約186万件	サイバー攻撃
2023/07/28	医療機関	約54,007件	サイバー攻撃
2023/05/12	自動車	215万件	人為的ミス
2023/03/31	通信キャリア	約529万件	不正アクセス
2023/02/09	教育	36,692件	サイバー攻撃
2023/02/02	不動産	29,000件	不正アクセス
2023/01/10	金融・保険	約1,323万件	サイバー攻撃
2023/01/04	食品	6,184件	サイバー攻撃
2022/12/27	電力	1,327件	サイバー攻撃
2022/11/21	教育	2,122件	人為的ミス
2022/10/25	小売	2,298件	サイバー攻撃
2022/10/25	旅行	約11,483件	人為的ミス
2022/10/25	電機メーカー子会社	約60,000件	サイバー攻撃
2022/09/20	小売	約13万件	サイバー攻撃
2022/07/01	情報・通信	2,312件	サイバー攻撃
2022/05/26	食品	約27,715件（株主情報件数を除く）	サイバー攻撃
2022/05/13	不動産	1,023件	人為的ミス
2022/03/22	食品	164万件	サイバー攻撃
2022/02/08	旅行	1,846件	サイバー攻撃
2022/01/29	教育	約28万件	サイバー攻撃

この表からわかる通り、情報漏洩は業種を問わずどんな企業にも起こりうるものであり、常に気を付けていかなければならないものです。また企業規模の大小も関係なく、世界的な大企業が情報漏洩をしてしまったという事例も少なくありません。多くの企業が起こしてしまう情報漏洩ですが、上記の表を見ることで情報漏洩が起きる主な要因もおのずと見えてきます。 

情報漏洩発生の大きな要因3選

それでは、情報漏洩発生における大きな３つの要因についてそれぞれ解説します。 

1．紛失や盗難による情報漏洩 

まずあげられるのがUSBメモリなどの小型メディアや会社から貸与されたパソコンやスマホを外部に持ち出した際に失くしてしまうケースです。パソコンが入ったカバンを電車に置き忘れてしまったり、カフェで作業してUSBメモリをカバンにしまい忘れたまま退店してしまったりするなどが挙げられます。ありがちなヒューマンエラーですし、実際にやってしまった経験のある方もいらっしゃるのではないでしょうか。 

また社外での業務中に、パソコンやUSBメモリなどが置き引きに遭ってしまうケースも存在します。ほかにも、物理的ではない盗難の例として、カフェなど社外の共有スペースにて業務をしている際に周りから覗きこまれてしまうといったケースが存在します。社外スペースでの作業はリスクが高いことを常に念頭に入れましょう。 

2．確認不足や設定不備による情報漏洩 

メールを送る相手のアドレスを誤って無関係な場所に送信してしまったケースや、管理者のみが閲覧可能にするべき内容を全体公開の設定にしてしまったなどが挙げられます。思い込みや確認不足によるミス、あるいは伝達ミスや操作ミスが起きることで情報漏洩が発生してしまうケースです。とりわけてメールの誤送信は非常に発生しやすいため、送る相手は正しいのか、BccやCCの設定は誤っていないか、添付するファイルは正しいものかなど、送信前にチェックを入念に行うことが大切です。 

3．サイバー攻撃による情報漏洩 

外部の第三者が組織内の情報に不正にアクセスすることで情報が漏洩してしまうケースです。そしてこの不正にアクセスするための手法ですが、標的とする企業のシステムに潜む脆弱性に付け込み、それをきっかけに外部から直接侵入するというシンプルなものだけではなくなってきています。 

大企業の子会社や孫会社あるいは下請け企業を始めとした取引先企業などのセキュリティ対策が比較的手薄になりがちな企業を足掛かりに、本命となる大企業へ攻撃をしかけるサプライチェーンという攻撃手法があります。技術の発展に伴って、今後企業の情報を盗むために様々な攻撃手法が用いられることが予想されます。自社内のセキュリティ対策だけでなく、取引先企業も監視・教育するという対策が大切です。 

以上のように、様々な要因によって情報漏洩が発生してしまいます。情報漏洩は、お客さまからの信用を失い企業イメージを低下させるだけでなく、場合によっては慰謝料など損害賠償を請求されてしまうリスクもあります。さらに、個人情報保護委員会の措置命令に違反したと見なされると懲役または罰金が科される可能性もあり、情報漏洩対策を行うことは企業にとって非常に重要なのです。 

情報漏洩の対策ポイント3選

情報漏洩を対策することで様々なリスクを下げられます。では具体的にどうすれば情報漏洩を対策できるのか、その方法をご紹介します。 

1．社員への情報セキュリティ教育を実施 

情報漏洩の要因でも挙げた通り、社員によるちょっとした不注意が原因で情報漏洩が起こるケースが多く存在します。そのため、外部からの攻撃に備える準備も重要ですが、まずは組織内のセキュリティ意識を高めることから始めてみましょう。 

怪しいメールのURLをクリックしない、あるいは一見すると既存の取引先からのメールであっても不用意に添付ファイルを開かず送信元のメールアドレスをしっかり確認するなど、情報セキュリティに関する研修の開催や、メールやチャットによる定期的な注意喚起など、社員一人ひとりがセキュリティに関する高いリテラシーを持つよう教育しましょう。 

2．適切な情報や権限の管理体制を構築 

情報セキュリティ教育によって社員のリテラシーを高める準備と並行して、機密情報に対する社員一人ひとりのアクセス権を見直すことも重要です。内部からの情報漏洩は過失によるものがほとんどですが、自社に対して不満を持っていたり漏洩の対価として何らかの見返りを得ようと考えたりする社員が故意に情報を漏洩してしまうという可能性もあります。 

こういったリスクを減らすために、入社時に守秘義務に関する書面を取り交わす、業務上必要のない社員には情報が閲覧できないよう権限を設定する、入退室や操作履歴をログとして残す、監視カメラを導入する、といった対策が有効です。社員ができることの範囲を管理・把握すれば、内部からの情報漏洩を未然に防げます。そして万が一情報漏洩が発生してしまった場合でもログが残っているのであれば状況把握をスムーズに行うことができます。 

3．セキュリティツールを導入し、自社Webサイトやソフトの脆弱性対策を強化 

最後に重要となるのは内部的要因ではなく、悪意ある外部からの攻撃による情報漏洩を防ぐことです。外部からの攻撃を防ぐセキュリティツールの導入はとても有効な手段です。 

また情報漏洩対策としてだけではなく、セキュリティ対策全体の質を向上させるという目的でもツールの導入は効果的です。たとえば、自社Webサイトやソフトの脆弱性を検知するツールの導入をあわせて行うことで、より組織のセキュリティ対策を強固なものにすることができます。 

サイバー攻撃の技術は日々進化するため、セキュリティツールもそれに合わせて進化する必要があります。ツールを導入した後も定期的にアップデートを行い、最新の状態を保ちましょう。 

まとめ

本記事では2022年から2023年にかけて企業が実際に個人情報を漏洩してしまった事例とその要因、そして情報漏洩対策についてまとめました。有名企業でも情報漏洩は毎年のように発生していますが、その要因は小さなミスによるものであることも多くあります。自分たちは大丈夫と慢心せず、常に細心の注意を払いましょう。 

また、ITの進化に伴い今後サイバー攻撃の技術や種類はますます多岐にわたっていくことが予想されます。悪意ある第三者からの攻撃に対抗して自社の情報や信用を守るためには、私たちもセキュリティに関する情報を積極的に入手し、これを絶えず更新し続けることが重要です。 

当サイトではWebサイト、モバイル端末、IoT機器が抱える脆弱性によるリスクへの対策を検討している方や、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。