~ 2023年「上場企業の個人情報漏えい・紛失事故」調査 ~
2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、175件(前年比6.0%増)だった。漏えいした個人情報は前年(592万7,057人分)の約7倍の4,090万8,718人分(同590.2%増)と大幅に増えた。社数は147社で、前年から3社減少し、過去2番目だった。
事故件数は調査を開始した2012年以降の12年間で、3年連続で最多を更新した。また、大型の事故が相次ぎ、漏えいした個人情報は2014年(3,615万1,467人分)を上回り、最多を更新した。
事故件数は2012年から2023年までで累計1,265件に達した。漏えい・紛失した可能性のある個人情報は累計1億6,662万人分に達し、日本人の人口を優に超えている。
2023年に発覚した事故は、従業員が不正に大量の個人情報を持ち出し、第三者に流出させる事例が多く、ガバナンスの徹底が焦点となった。また、深刻化する不正アクセスでは「ランサムウェア」が猛威をふるい、ウイルス感染・不正アクセスの事故はこれまでで最多の93件が発覚した。引き続きサイバー犯罪への対策強化が求められる。
※ 本調査は、2023年に明らかになった上場企業と子会社の情報漏えい・紛失事故のプレスリリース、お知らせ、お詫びなど、自主的な開示を独自集計した。調査開始は2012年から。
※ 個人情報の範囲を、氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、「漏えいの可能性がある」や、個人情報の不適切な取扱いの結果、生じた事例なども対象とした。また、「対象人数不明・調査中」も事故件数としてカウントした。
2023年は事故件数と情報漏えい人数が過去最多
2023年の事故件数は175件(前年比6.0%増)で、2012年に調査を開始以降、3年連続で最多件数を更新した。社数は147社(同2.0%減)で、前年から3社減少し、過去2番目だった。
2023年の事故175件のうち、情報漏えい人数は「調査中・不明等」が63件(構成比36.0%)を占めた。不正アクセスで被害の全容がつかめず「調査中」として、数値公表を控えるケースが多い。
人数の公表分では、最多は「1万人以上10万人未満」の30件(同17.1%)だった。
100万人以上に及ぶ大型事故は8件(同4.5%)で、前年の2件から4倍に増えた。2023年の事故のうち最大は、受託していたテレマーケティング業務で元派遣社員がクライアントの顧客情報を不正に持ち出し、名簿業者など第三者への流出が発覚したNTTグループの928万人分。
大型事故が相次いだ結果、2023年の漏えい人数の総数は4,090万8,718人分に膨らんだ。「調査中・不明等」の分を含むと、実態はさらに多くなるとみられる。
年間の漏えい人数は、歴代最多のベネッセホールディングスの漏えい事故(3,504万人分)が発生した2014年(3,615万1,467人)を抜いて、最多を記録した。
原因別 「不正持ち出し・盗難」が前年の約5倍に増加
2023年の情報漏えい・紛失事故の175件のうち、原因別は、「ウイルス感染・不正アクセス」の93件(構成比53.1%)が最多で、半数以上を占めた。
次いで、「誤表示・誤送信」が43件(同24.5%)で、メール送信やシステムの設定ミスなどの人為的な要因も多い。
情報の不正利用や持ち出しにより情報漏えいした「不正持ち出し・盗難」が24件(同13.7%)で、前年の5件から約5倍に増加した。従業員が個人情報を不正に流出させ、刑事事件に発展したケースや、大手電力会社がグループの送配電子会社を通じて新電力の顧客情報の不正閲覧していた事例が相次いで発覚し、監督官庁より行政指導を受ける事態となった。
「不正持ち出し・盗難」による大型事故が相次いだため、情報漏えい・紛失人数の平均は102万4,713人分とダントツで多く、被害が広範囲に及んでいる。
「ウイルス感染・不正アクセス」の件数が過去最多 ランサムウェアによる被害が多発
「ウイルス感染・不正アクセス」による情報漏えい・紛失事故は増加の一途をたどっている。 事故件数は93件で、前年の91件を上回り、最多を記録した。事故件数は2019年以降、5年連続で最多を更新している。
特に、2023年は感染した端末などのデータを不正に暗号化するなどしてロックをかけ、解除を条件に対価(身代金)を要求するランサムウェアによる感染被害が多発した。
「ウイルス感染・不正アクセス」による事故のうち、これまでの漏えい・紛失人数の最多は2013年5月に不正アクセスでIDが外部流失した可能性を公表したヤフー(現:LINEヤフー)の最大2,200万件。2023年の最多は、ランサムウェア被害で個人データを閲覧された可能性が否定できないとしたIDOMの240万2,233件で、「ウイルス感染・不正アクセス」の歴代6番目の大型事故となった。
媒体別 「社内システム・サーバー」が最多
情報漏えい・紛失事故175件のうち、原因となった媒体別では「社内システム・サーバー」が125件(構成比71.4%)で最多。全体の7割を占めた。次いで、「パソコン」が24件(同13.7%)、「書類・紙媒体」が20件(同11.4%)、「その他・不明」が6件(同3.4%)の順。
1件あたりの情報漏えい・紛失人数の平均では、「社内システム・サーバー」を媒体とした事故が47万1,096人分と突出した。社内サーバーが不正アクセスを受けたことによる顧客情報の流出や、従業員がサーバーにアクセスして不法に個人情報を入手したケースが発生した。
「パソコン」は本体の紛失のほか、メール利用時の誤送信が中心で、送信時のccとbccの誤用による事故など初歩的なミスも多い。「書類・紙媒体」は保存しておくべき書類の紛失や、誤廃棄に起因する事故が多数を占めた。
産業別 最多は製造業の44社
情報漏えい・紛失事故を公表した147社の産業別では、最多は製造業の44社(構成比29.9%)で約3割を占めた。次いで、情報・通信業の25社(同17.0%)、サービス業の23社(同15.6%)、小売業の14社(同9.5%)と続く。BtoC業態に限らず、幅広い業種で事故が発生している。
市場別 東証プライムが7割超え
上場市場別では、最多は東証プライムの113社(構成比76.8%)で、全体の7割以上を占めた。複数のグループを抱える大手企業が中心で、事業範囲や従業員数、顧客数も多いため、より高度なセキュリティ対策や個人情報の管理が必要となる。
一方、上場企業はコンプライアンス(法令順守)やガバナンス(企業統治)の意識が高く、開示フローが機能していることで公表数が多いとみられる。
2023年 主な個人情報漏えい・紛失事故
2023年の事故で最大は、NTTグループ(日本電信電話)で発生した928万人分。これまでの漏えい数では集計開始以降、4番目に多い事故となった。グループ会社が受託していたテレマーケティング業務で、長年にわたってクライアントの顧客情報を従業員が不正に持ち出したことが発覚。流出被害に遭ったクライアントは、民間企業のほか自治体など69団体にも及び、関係先が対応に追われ各所に波及した。
2番目はデリバリー大手の出前館で、システムの誤設定により顧客のアカウント情報924万4,553件が閲覧の恐れがあったと公表した。3番目はNTTグループのNTTドコモの596万人分。業務委託先の元派遣社員が顧客情報を含む業務情報を不正に外部に持ち出したことがわかった。このほか、大手電力会社でグループの送配電子会社が持つ新電力の顧客情報を不正に閲覧していたことが相次いで発覚して問題となるなど、個人情報の不正持ち出しや不適切な取り扱いに起因する事故が目立った。
また、事故件数が最も多い不正アクセスでは、ランサムウェアによる被害により多数の情報を流出させた可能性を公表した大型事故もあったが、被害の全容を把握できずに「調査中」とのみ開示したケースも多かった。
2023年の個人情報漏えい事故は、増勢傾向にあるサイバー攻撃による被害が引き続き増えた。このほか、従業員が意図的に情報を持ち出した犯罪行為や、本来は共有すべきではない顧客情報をグループ内で閲覧していたケースなど、情報管理の意識欠如を含めた人為的な理由での漏えい事故が多いことが特徴だった。
社内で抱える個人情報を守るためには、巧妙化するサイバー犯罪に対するセキュリティ強化が不可欠である。同時に、不正防止を目的としたガバナンスの徹底も求められ、個人情報の取り扱いルールの厳格化を通じた従業員の意識付けも重要になっている。
個人情報の漏えい事故は、受注喪失や賠償請求などの経済的損失だけにとどまらず、長年築いてきた信用を一瞬で失いかねないリスクも併せ持つ。事業価値の維持のためにも、個人情報の適切な取り扱いは一層優先して取り組むべき経営課題で、改めて情報保護に対する取り組み強化が求められる。
