【最新版】2022年〜2023年の個人情報漏洩事故事例から何が学べるか
個人情報に関する法整備が進み、個人情報保護に対する世間の注目度は年々高まっていますが、漏洩事故が増えています。個人情報漏洩が企業に与える損害は極めて大きく、健全な企業活動を続けるうえで対策を講じることは喫緊の課題であると言えます。
本記事では、昨今の事故の傾向や2022年〜2023年にかけて発生した最新の事故事例について解説します。過去に起きた事故の原因を知り、自社の体制に問題はないかチェックしてみましょう。
数値で見る情報漏洩・紛失事故の傾向
2022年は個人情報漏洩・紛失事故の発生社数、件数ともに最多記録を更新しました。
東京商工リサーチの調査によると、2022年に個人情報漏洩・紛失事故を公表したのは150社(上場企業とその子会社を含む)、発生件数は165件で漏洩した個人情報は592万7,057人分となりました。
事故の要因は「ウイルス感染・不正アクセス(55.1%)」が1位、次いで「誤表示・誤送信(26.0%)」、「紛失・誤廃棄(15.1%)」と続き、外的要因と人的要因がそれぞれ概ね半々となっています。
※参考:東京商工リサーチ 2022年「上場企業の個人情報漏洩・紛失事故」調査
では、具体的にどのような事故が発生しているのでしょうか。実際の事故事例をいくつかご紹介します。
実際の事故事例
株式会社JTB/クラウドシステムの誤設定で個人情報1万件超が流出
2022年10月25日、株式会社JTBは事務局を担当していた観光庁の地域振興事業において、補助金交付を申請した事業者など1万人超の個人情報を漏洩させたと発表しました。
漏洩の要因(原因) | クラウドデータへの個別アクセス権限を誤設定 |
漏洩件数 | 事業者の申請書1,698件と、個人情報最大11,483人分 |
漏洩した情報の種類 | 組織名、部署名、役職名、氏名、業務連絡先用電話番号、メールアドレスなど |
ログイン権限を持つ間接補助事業者以外に個人情報が漏洩した可能性はないとのことですが、アクセス記録から18件のファイルが間接補助事業者によってダウンロードされたことが判明し、同社は情報漏洩した事業者に対するお詫びの連絡と情報の削除依頼を実施。今後は事業管理体制の徹底を強化すると発表しています。
島根県立中央病院/約3万人の個人情報を記録した端末が所在不明に
2022年8月22日、島根県立中央病院は個人情報を記録した電子カルテ用端末の修理依頼を出して以降、所在不明になっていることを明らかにしました。
漏洩の要因(原因) | 端末の紛失 |
漏洩件数 | 患者24,563人分、職員6,180人分 |
漏洩した情報の種類 | ①患者基本情報 (入院歴がない場合) (入院歴がある場合) ②医師が患者の検査結果を参照した際に記録された情報 ③電子カルテ利用者基本情報 |
事の発端は2021年3月、端末の故障が発覚し担当者が業者へ修理依頼した時にさかのぼります。しかしその後、担当者の退職などがあり、一定期間経過が放置されていました。同年11月に新しい担当者が業者へ見積りや機器返却の旨を確認した際「端末を受け取っていない」との回答があり、病院側と業者側の認識が食い違ったまま、所在不明となっています。
具体的な要因としては、端末内に個人情報を含んだまま修理依頼を出したことや進捗管理を一人で担当していたことなどが指摘されており、内部のセキュリティ管理の甘さが露呈しました。
※参考:島根県立中央病院「個人情報が保存されている電子カルテ用端末の紛失について」
株式会社SODA/SNKRDUNKにて顧客情報約275万件が流出
株式会社SODAは同社が運営するCtoCマーケットプレイス「SNKRDUNK」が2022年6月15日にサイバー攻撃を受け、顧客情報と金融機関情報が流出した可能性を発表しました。
漏洩の要因(原因) | SQLインジェクション |
漏洩した可能性のある件数 | ユーザーの顧客情報275万3,400件、金融機関情報10件 |
漏洩した(可能性のある)情報の種類 | 氏名、生年月日、メールアドレス、住所、電話番号、購入情報、口座情報、パスワード(復号できないハッシュ化された状態) |
データベースの異常を感知したことで情報漏洩が発覚。データベースに不正なリクエストが送信され、DBデータを含むレスポンスを返信していたということです。
このように、アプリケーションの脆弱性を利用して想定しないSQL文を実行させることによりデータベースシステムを不正に操作する攻撃方法を「SQLインジェクション」と言います。
※参考:SNKRDUNK「不正アクセスによるお客さま情報漏洩に関するお詫びとご報告(08.23追記)」
アフラック生命保険株式会社・チューリッヒ保険会社/不正アクセスで顧客の個人情報流出
2023年1月10日、アフラック生命保険株式会社は外部委託業者のサーバーが第三者による不正アクセスを受け、同社の顧客約132万人分の個人情報が流出したと発表しました。また同日、チューリッヒ保険会社においても同様の手口で約75万人分の顧客情報が流出した可能性があると発表がありました。
漏洩の要因(原因) | 第三者による不正なアクセス |
漏洩した件数 | 両者合わせて最大で約208万人分 |
漏洩した情報の種類 | アフラック生命保険株式会社 ①性のみ、年齢、性別、②証券番号、③加入している保険種類番号・保障額・保険料 チューリッヒ保険会社 ①性のみ、②性別、③生年月日、④メールアドレス、⑤証券番号、⑥顧客ID、⑦車名、等級などの自動車保険契約にかかる事項 |
両社は2023年1月9日に顧客情報が海外の情報漏洩サイトに掲載されているとの情報から個人情報の提供先を調査し、漏洩元である外部委託業者を特定。現在、両社とも調査を継続しています。
※参考:アフラック生命保険株式会社「個人情報流出に関するお詫びとお知らせ」
※参考:チューリッヒ保険会社「個人情報漏えいに関するお詫びとお知らせ」
情報漏洩事故対策は定期的なアップデートが必要
2023年に入ってからも個人情報漏洩事故は止まることなく多発しています。また、時代の進化とともにその要因も大きく変化しており、企業は最新の情報に基づいた定期的な対策のアップデートが求められています。個人情報漏洩事故はどの企業にも起こり得るリスクです。必要な場合は専門家を巻き込むなどして、実践的かつ最新の個人情報漏洩対策を迅速に実施していきましょう。