2012年から2016年の5年間で上場企業と主要子会社で個人情報の漏えい・紛失事故を公表した企業は259社、事故件数は424件にのぼった。漏えいした可能性のある個人情報は累計で最大延べ7,545万人分に達し、単純計算で日本の人口の半分を超えていることがわかった。
最大の個人情報漏えい事件は、2014年7月に発覚したベネッセホールディングス((株)ベネッセコーポレーション)で、漏えいした個人情報は3,504万人分で全体の5割を占めた。
原因別では、424件のうち書類等の紛失や誤廃棄が191件(構成比45.0%)と最も多く、次いで誤表示・誤送信が85件(同20.0%)、ウイルス感染・不正アクセスが83件(同19.6%)。
ウイルス感染や不正アクセスによる情報漏えいは深刻で、1事故当たりの個人情報漏えい・紛失件数は紛失・誤廃棄の5万1,041件に対し、ウイルス感染・不正アクセスが約7倍の36万2,168件に達した。ウイルス感染・不正アクセスによる情報漏えい事故は、2016年は前年の2倍を超える22件発生しており、対策が急務になっている。
- ※本調査は2012年1月~2016年12月までの上場企業と主要子会社の情報漏えい・紛失事故を、プレスリリース・お知らせ・お詫びなどの、自主的な開示に基づき、発表日ベースで独自集計した。個人情報を氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、リリースの「漏えいの可能性がある」も対象とした。
最多は2013年の87社(107件) 近年は増加傾向
2012年1月以降に発生した個人情報の漏えい・紛失事故を年別にみると、社数は2013年が87社で最も多かった。2014年は59社にいったん減少したが、その後は再び増加をたどり、2016年は77社と5年間で2番目に多かった。(※ 年間(1-12月)で集計し、1社が複数年で複数回の事故を起こした場合、それぞれ1社、1件として集計したため社数合計は259社を上回る)。
件数ベースでは1万件未満の漏えい・紛失事故が8割超
事故件数424件のうち、漏えい・紛失件数が最も多かったのは100件未満で、123件(構成比29.0%)だった。100件未満では書類や伝票類など紙媒体、携帯電話の紛失による顧客情報の紛失が中心だった。次いで、100件以上1,000件未満が117件(同27.5%)、1,000件以上1万件未満が100件(同23.5%)と続き、事故件数ベースでは漏えい・紛失件数1万件未満が8割以上を占めた。
一方、100万件以上の漏えい・紛失事故は4件(同0.9%)で、漏えい・紛失件数は6,776万人分と全体の9割(同89.8%)を占めた。1万件以上の事故は65件(同15.3%)発生し、漏えい・紛失件数は7,504万人分(同99.4%)だった。また、1万件以上の事故のうち、ウイルス感染・不正アクセスによる情報漏えいが31件(同47.6%、漏えい・紛失件数合計2,996万8,464件)とほぼ半数を占めた。
漏えい・事故件数 最多はNTTグループ
2012年1月以降、漏えい・紛失事故が最も多かったのは日本電信電話(株)(NTT)グループ会社で、合計29回発生している。内訳は、100%子会社の西日本電信電話(株)(NTT西日本)が16回、エヌ・ティ・ティ・コミュニケーションズ(株)が5回、(株)エヌ・ティ・ティ・ ドコモ(NTTドコモ)が4回など。
次いで、東京瓦斯(株)(東京ガス)の12回、(株)りそなホールディングスの10回、パナソニック(株)、東京電力ホールディングス(株)の各7回と続く。通信、ガス、金融など公共性が高い大手企業は保有する個人情報が多いことに加え、徴収業務などで多数の従業員が個人情報に触れる機会が多いことも背景にあるとみられる。ただ、顧客が記入した申込書や伝票類を業務時間中に紛失するケースなど、基本的な人為的ミス、管理不徹底も散見された。
漏えい・紛失件数の最多はベネッセホールディングスの3,504万件
1件の事故で漏えい・紛失件数が最大だったのは、ベネッセホールディングス((株)ベネッセコーポレーション、2014年7月発生)の3,504万件で、2位と1,300万件の開きがあった。委託先社員による不正取得、転売は刑事事件に発展し、担当役員の辞任や業績不振など事件の余波は経営に大きな傷跡を残した。
次いで、外部の不正アクセスで最大2,200万件のIDが外部流失した可能性を公表したヤフー(株)(2013年5月発生)、672万人分の過去の顧客取引データを記録したコムフィッシュ(記録メディア)を紛失した三菱UFJフィナンシャル・グループ((株)三菱東京UFJ銀行、2012年11月発生)と続く。
いずれも膨大な顧客情報を管理している企業で発生しており、社員教育や情報管理の難しさを露呈した。
原因別 最多は紛失・誤廃棄
情報漏えい・紛失事故424件のうち、主な理由として最も多かったのは「紛失・誤廃棄」の191件(構成比45.0%)だった。次いで、「誤表示・誤送信」が85件(同20.0%)、「ウイルス感染・不正アクセス」が83件(同19.6%)と続く。
最も多かった「紛失・誤廃棄」は、書類や記録メディアの紛失や廃棄処分していた事が社内調査等で判明したケースがほとんど。「誤表示・誤送信」は、システムトラブルやメールの宛先間違いなど操作上の人為的ミスで発生している。
1事故あたりの情報漏えい・紛失件数の平均は「盗難」が71万9,803件と突出したが、これは顧客データが不正取得されたベネッセホールディングスが押し上げたため。紙媒体が中心の「紛失・誤廃棄」と、機械的に情報を抜き取る「ウイルス感染・不正アクセス」との間には情報漏えい・紛失件数で7倍の差がみられる。「ウイルス感染・不正アクセス」は2016年は21社、22件発生し、社数・件数ともに前年比で2倍を超えた。流出した際の被害の深刻度はケタ違いに大きくなるだけにセキュリティ対策の重要性が増している。
媒体別 システム・サーバーと個人利用のパソコン・携帯電話では大きな差
情報漏えい・紛失事故424件のうち、原因となった媒体別では「書類」が180件(構成比42.5%)と最も多く4割を占めた。次いで、社内システム・サーバーが142件(同33.5%)、チップやUSBメモリー等の記録メディア39件(同9.2%)の順。
1事故あたりの情報漏えい・紛失件数の平均では、社内システム・サーバーでのトラブルが46万902件で最も多かった。一方、利用範囲が個人が中心のパソコンや携帯電話などの端末は、情報漏えい・紛失件数は1,000件前後と少なかった。
産業別 BtoC取引に偏在
情報漏えい・紛失事故が発生した259社のうち、産業別で最も多かったのは製造業の49社(漏えい・紛失事故65件)だった。次いで、金融・保険業48社(同86件)、小売業44社(同60件)と続き、上位5産業までで全体の社数の約8割を占めた。
製造業トップは資生堂の子会社で、漏えいした個人情報は42万1,313件。製造業でも消費者向けの販売部門で多く発生。また、膨大な顧客情報を扱う銀行等の金融・保険業や小売、サービス業など、BtoC取引の比重が高い産業が目立つ。また、情報・通信業(33社)は社数では5番目だが、発生件数では71件と製造業に次いで2番目に多い。ウイルス感染・不正アクセスやデータの誤送信、サイト上での誤表示による情報漏えい事故が多い傾向がみられた。
市場別 東証1部上場企業が8割以上
情報漏えい・紛失事故が発生した259社のうち、上場市場別で最多は東証1部で、213社(構成比82.2%)だった。企業規模が大きく、従業員数も多い企業が大半で、扱う個人情報が膨大なため、事故が発生する土壌が生まれやすい。また、コンプライアンス対策が進んだ結果、情報開示の業務フローが徹底されていることも背景にあるとみられる。
個人情報の漏えい・紛失事故は全国各地で起きている。今回の調査対象外だが、未上場企業でも2016年8月には旅行最大手の(株)ジェイティービーのグループ会社のサーバーへの不正アクセスで678万8,443件の個人情報が流出した可能性が発覚した。また2017年3月、東京都から都税のクレジット払いサービスを受託していた民間企業のシステムが不正アクセスを受け、最大67万6,290件の個人情報が流出した可能性が発覚した。2015年5月には日本年金機構でも不正アクセスで個人情報約125万件が流出し、社会問題化した事故も記憶に新しい。このように膨大な個人情報を取り扱う官公庁、自治体、企業、学校などでも事故は起きている。
上場企業を対象にした自主的な公表分だけでも、流出件数は過去5年で日本の人口の半分を上回った。近年の官公庁や未上場企業などの主な漏えい・紛失事故でも流出件数は1,000万件近くに達する。さらに、流出に気づかず表面化していない事故や公表していないケースまで含めると、すでに国民すべてに匹敵する件数の個人情報が不正流出している可能性もある。
また、2016年12月に東証マザーズに株式上場を予定していた自動運転技術開発ベンチャーの(株)ZMP(文京区)は、上場承認直後の2016年11月に顧客リストがインターネット上に流出する事故が発生、セキュリティ対策など社内体制の見直しを理由に上場延期を決断した。情報漏えいや流失事故は信用毀損や経営に大きなインパクトを与えるリスクとなっている。
2017年5月に改正個人情報保護法が施行される。2005年4月の施行以来、12年ぶりの改正で「匿名加工」データの売買が可能となり、ビッグデータの利活用が念頭に置かれている。これまでの個人情報保護法では5,000件以上の個人情報を保有する企業が対象だったが、改正後はすべての企業が対象となる。
今後、個人情報のビジネス分野での活用が活発化し、高度化、巧妙化する不正アクセス等へのセキュリティ対策が一段と求められる。上場や未上場、保有する個人情報の多寡を問わず、情報流出を防ぐ社内ルールの徹底と厳格な情報管理への取り組みが急がれる。
