2021年に上場企業とその子会社で個人情報の漏えい・紛失事故を公表したのは120社、事故件数は137件、漏えいした個人情報は574万9,773人分に達した。2012年以降の10年間で、社数と事故件数はそろって最多を記録した。
2012年から2021年までの累計では496社、事故件数は925件となった。個人情報の漏えい・紛失事故を起こした上場企業は、全上場企業(約3,800社)の1割以上を占め、漏えい・紛失した可能性のある個人情報は累計1億1,979万人分に達し、ほぼ日本の人口に匹敵する。
深刻化する不正アクセスなどのサイバー攻撃による事故は、2021年は66社で、事故件数は68件発生した。社数・事故件数ともに3年連続で最多を更新した。
2021年はクレジットカード情報など重要な個人情報の流出や、複数の企業が外部委託していた受注システムが不正アクセスを受け、被害が広がったケースもあった。増加の一途をたどるサイバー犯罪は手口も複雑化しており、セキュリティ対策の難しさを改めて露呈した。
* ※本調査は2012年1月~2021年12月までの期間で、上場企業と子会社の情報漏えい・紛失事故をプレスリリース・お知らせ・お詫びなど、自主的な開示に基づいて発表日ベースで独自集計した。
個人情報の範囲を、氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、リリースの「漏えいの可能性がある」を含めて対象とした。また、「件数不明・調査中」も事故件数としてカウントした。
事故件数は前年比3割増の137件、社数・事故件数とも調査を開始以降で最多
2012年に調査を開始以降、個人情報の漏えい・紛失事故を年別にみると、2021年の事故件数は137件(前年比33.0%増)に達した。2013年の107件を上回り、最多となった。
また、社数も120社(同36.3%増)で、これまで最多だった2020年(88社)を32社上回った。
2021年の事故137件のうち、情報漏えい・紛失件数のレンジ別では「100件以上1,000件未満」が最多で、32件(構成比23.3%)だった。次いで、多かったのは「1,000件以上1万件未満」と「不明・その他」の各30件(同21.8%)だった。「不明・その他」は、調査中などとして件数公表を控えるケースが大半。
情報漏えい・紛失件数が1万件以上は、25件(同18.2%)発生し、前年の19件から6件増加した。このうち、不正アクセスは15件だった。
100万件以上に及ぶ大型事故は2件(同1.4%)発生、ネットマーケティング(情報漏えい・紛失件数171万1,756件)とANAホールディングス(全日本空輸、同100万件)だった。
原因別 「ウイルス感染・不正アクセス」が5割
2021年の情報漏えい・紛失事故の137件のうち、原因別は、「ウイルス感染・不正アクセス」の68件(構成比49.6%)が最多で、約5割を占めた。次いで、「誤表示・誤送信」が43件(同31.3%)で、メールの送信間違いなどの人為的なミスが中心。
このほか、保管しておくべき書類や取引記録の廃棄・紛失、従業員が外出先で紛失したケースなどの「紛失・誤廃棄」が16件(同11.6%)と続く。
1事故あたりの情報漏えい・紛失件数の平均は、「ウイルス感染・不正アクセス」が11万745件と突出している。膨大な情報に不正アクセスするサイバー犯罪は、紙媒体が中心の「紛失・誤廃棄」(平均3万2,818件)などに比べ、情報漏えい・紛失件数がケタ違いに大きい。
「ウイルス感染・不正アクセス」は増勢 2021年は事故件数・社数ともに最多を更新
被害の大きさや影響度合いが大きい「ウイルス感染・不正アクセス」は増加の一途をたどっている。事故件数は、調査を開始以来、10年間で最多の68件(66社)発生し、事故件数、社数ともに3年連続で最多を更新した。
68件の事故の漏えい・紛失件数は454万554件に及び、2021年全体(574万9,773件)の約8割(78.9%)を占めた。
「ウイルス感染・不正アクセス」による漏えい・紛失事故では、これまでの最多は2013年5月に不正アクセスで最大2,200万のIDが外部流失した可能性を公表したヤフー(現:Zホールディングス)。なお、2021年の最多はネットマーケティング(171万1,756件)で、歴代6番目の件数となった。
媒体別 「社内システム・サーバー」が最多の約6割
情報漏えい・紛失事故137件のうち、原因となった媒体別では「社内システム・サーバー」が81件(構成比59.1%)で最多の約6割を占めた。次いで、「パソコン」が30件(同21.9%)、「書類」が15件(同10.9%)、「その他・不明」が8件(同5.8%)の順。
1事故あたりの情報漏えい・紛失件数の平均では、「その他・不明」が39万9,796件で突出する。これは社外(国際航空情報通信機構)のシステムへの不正アクセスを受けてマイレージ会員情報の一部が漏えいしたANAホールディングス(情報漏えい・紛失件数100万件)、日本航空(同92万件)が押し上げたため。次いで、社内システム・サーバーによる事故が5万2,443件。社内サーバーが不正アクセスを受け、ID、パスワード等の顧客情報が流出したケースなどが多い。
産業別 製造、情報通信、金融・保険、小売で約7割
情報漏えい・紛失事故を公表した120社の産業別では、最多は製造業の31社(構成比25.8%)。
次いで、情報・通信業の20社(同16.6%)、金融・保険業の16社(同13.3%)、小売業の15社(同12.5%)と続き、上位4産業で全体の約7割(同68.3%)を占めた。
製造業の最多は、日清製粉グループ本社(イニシオフーズ)で、社内サーバーへの外部不正アクセスにより顧客情報のほか、社内情報など約6万5,000件の個人情報が流失した可能性を開示した。
市場別 東証1部上場企業が約8割
上場市場別では、最多は東証1部の97社(構成比80.8%)。全体の8割を占め、大手企業が中心で、従業員数や顧客数も多く、企業規模や知名度からサイバー犯罪のターゲットとされやすい。
ただ、ガバナンスが徹底し、情報開示フローが充実していることも公表数が多い背景になっているとみられる。
2021年 主な個人情報漏えい・紛失事故
2021年の主な個人情報の漏えい・紛失事故では、ネットマーケティングの不正アクセス事件での漏えい・紛失件数が最多で、171万1,756件だった。同社が提供する恋活・婚活マッチングアプリの管理サーバーが不正アクセスを受けて会員情報が流出。年齢確認審査用の運転免許証、健康保険証、パスポートなどの画像データを含む、極めてデリケートな個人情報が流出した可能性が明らかになり、社会問題となった。
このほか、航空大手2社は各国の航空会社に予約システムを提供するスイスの国際航空情報通信機構(SITA社)が不正アクセスを受けたことが影響した。グローバル化の進展で、各国の航空会社のアライアンスが進み世界的に被害が拡大した。
137件のうち、クレジットカード情報が漏えいした可能性を公表した事故は10件(構成比7.2%)あった。クレジットカードの不正利用発覚をきっかけに個人情報の漏えいが明らかになったケースもあり、犯罪と個人情報の漏えいが密接に繋がっている点を認識すべきだろう。
上場企業による公表分だけでも、2012年以降の10年間で日本の全人口に匹敵する個人情報の漏えいが発生している。しかも、事故件数は毎年、最多件数を更新し、増勢が明らかになった。
特に、不正アクセスなどによるサイバー攻撃は深刻さを増している。セキュリティの重要性は社会的にも年々高まり、技術も進歩しているが、事故件数は増加しイタチごっこの様相を呈している。国外から狙われるケースも多く、ネット社会を巧みに突いた犯罪の巧妙化やグローバル化が特徴だ。
個人情報の漏えいを発端に顧客が犯罪の被害者に巻き込まれると、信用が毀損するばかりか膨大な損害賠償などのリスクにもなりかねない。企業はこれまで以上に情報セキュリティへの意識を高め、誤表示・誤送信などの過失やサイバー攻撃への対応策として人的・物的投資を進める必要が生じている。
