16の事例から学ぶ情報漏洩の全て|怖さや原因、対応策まで

Image

ベネッセの情報漏洩事件から危機感を感じ、その対策の第一歩として、これまで起きたいろいろな事例を探していませんか? またどこか他人事として考えている上司や同僚、部下に対し、具体例や身近な例を伝えることで関心を持ってほしいと考えている人もいるかもしれません。


多発する情報漏洩事件から危機感を感じ、その対策の第一歩として、これまで起きたいろいろな事例を探していませんか? またどこか他人事として考えている上司や同僚、部下に対し、具体例や身近な例を伝えることで関心を持ってほしいと考えている人もいるかもしれません。

ここでは世間を騒がせた大規模な事件から、ごく身近でも起こり得る人的ミスや事故による情報漏洩の例を取り上げ、それぞれを詳しく見ていきます。

原因だけではなく、その後の対応や対策などの具体例についても紹介しますので、こうした先例をもとにすれば万一情報漏洩に遭遇しても、慌てずに対応できるようになるはずです。

1.巨額の被害が発生する大規模な個人情報漏洩事件

1-1.まさに人災!故意の持ち出しが招いた事例

1-1-1.教育関係企業

≪概要≫
2014年7月、ある教育関係企業が顧客の個人情報が漏洩したことを公表しました。漏洩した件数は、最大で約3500万件。漏洩が確認されたのは郵便番号、氏名、住所、電話番号、生年月日、性別。

≪原因≫
顧客情報データベースの運用を委託したグループ企業における、システムエンジニアの派遣社員の犯行。担当業務のために付与されていたアクセス権限によりデータベースにアクセスし、私物のスマートフォンにコピーして持ち出しました。USBメモリーへのデータ書き込みについては禁止する設定だったとされ、その盲点を突いた行動です。

≪被害額≫
お詫びにかかる費用などに特別損失として260億円を計上。本件に端を発した顧客の減少などにより決算にも影響が出たとされています。

≪事後対応≫
システム開発・運用を担当していたグループ会社の元社員を実行犯として逮捕。また、取締役二人が引責辞任したとされています。

経済産業省による勧告の後、委託先も含めた個人情報を保護に関する実施体制の明確化とセキュリティ対策の取り組みを元にした再発防止策を盛り込んだ改善報告書を提出し、再発防止に取り組んでいるようです。

1-1-2.コールセンター運営企業

≪概要≫
2010年7月、コールセンター運営企業の契約社員が窃盗容疑で、警視庁により逮捕されました。10人以上の氏名、クレジットカード番号、有効期限、セキュリティコードなど、カード利用に必要な情報を不正に入手し、これを利用して約860万円相当の買い物をしていました。

≪原因≫
コールセンター運営企業が業務委託を受けた派遣先にて、当該人物が業務端末から個人情報を不正に取得しました。業務端末は、外部記憶に情報を保存できない仕組みであり、加えて携帯電話等の持ち込みを禁じていたものの、紙片を持ち込み犯行に及んだとのことです。

≪特徴≫
契約社員の業務は、クレジットカードの不正利用を監視する内容でした。その監視する立場であり、情報にもっとも近い人物が、犯行に及んだという点が特徴的です。全社員(派遣社員を含む)の入社時に、情報セキュリティの教育を課していましたが、それでもなお故意による犯行は防げないという事例です。

≪再犯防止策≫
社員教育の強化、管理監督・モニタリングの強化、コンプライアンス意識の向上を、緊急施策として実行しました。情報との距離が近い現場では、「人」への対策しかないというのが実情です。

1-2.外部からの攻撃!悪意ある不正アクセスが原因となった事例

1-2-1.電機メーカー

≪概要≫
2011年4月、ある電機メーカーは自社ネットワークサービスにおいて、利用者の個人情報が流出したと公表しました。情報漏洩した件数は、7700万件。漏洩したのは、氏名、住所、メールアドレス、生年月日、性別、ログインID、パスワード。それに加えて購入履歴、請求先住所パスワード再設定用の質問への回答等。クレジットカード番号と有効期限(セキュリティコードを除く)に関して、証拠はないものの漏洩の可能性があるとしました。

≪原因≫
サーバーの脆弱性をついた、不正アクセスが原因でした。しかし世に知れ渡った既知の脆弱性であり、それを同社が認識していなかったことが問題の根幹にあります。なお関連性は定かではないものの、世界的に有名なハッカー集団からさまざまな攻撃を受けていたという背景もありました。

≪情報開示の遅れに批判≫
不正アクセスがあったのは、4月17日~19日のこと。それから1週間経って、ようやく情報公開したことに批判が集まりました。なお、謝罪会見は5月1日に行われました。

≪被害額≫
海外には集団訴訟制度があるため、それによっては巨額の賠償金が発生する可能性もあります。被害総額は2兆円以上になるとの予想が報道されたほどです。

≪事後対応≫
被害者に対しては補償として、特定コンテンツの無料ダウンロードをはじめとするサービスを提供しました。対策としては、セキュリティ強化、データセンター移管、ソフトウェアバージョンアップを実施しました。

1-2-2.電機メーカー

≪概要≫
2014年4月、ある電機メーカーは自社会員サイトに対して、460万件を超える不正なログイン試行があり、約7万件以上のアカウントで個人情報を閲覧・不正取得された可能性があると公表しました。対象となる情報は、氏名、住所、電話番号、性別、生年月日、ログインID、メールアドレス、携帯メールアドレス、ニックネーム、職業、居住状態、家族構成、共稼ぎ情報、興味のあるカテゴリー。

≪原因≫
機械的なログイン試行を防ぐ仕組みがなかったため、攻撃対象として狙われたと考えられます。またその不正ログイン試行は、他社サービスから流出したID・パスワードを利用している可能性が高いとされました。

≪対策≫
機械的ログイン試行を抑止するため、画像認識機能(文字画像を表示して入力を促す機能)を実装しました。

2.情報漏洩の大多数を占める、悪意のない単純な人的ミスが招いた事例

2-1.データの持ち出しが情報漏洩につながったケース

2-1-1.電気通信事業者

≪概要≫
2014年8月、ある電気通信事業者は提供しているコミュニティサイトの顧客情報が含まれたパソコンを紛失したと公表しました。漏洩したのは、1321人分の住所、氏名、メールアドレス。紛失が判明したのは8月2日、顧客情報が含まれていることが判明したのは8月12日でした。

≪原因≫
コミュニティサイトの運営委託先の社員が、業務で使用しているパソコンを紛失しました。パソコンにはパスワードが設定されており、発表時点では情報悪用の事実は確認していないとのことでした。

≪事後対応≫
被害者に対して、個別に連絡をして説明する手段をとりました。また全社・委託企業に対し情報管理体制の強化と点検を実施することとしました。

2-1-2.病院

≪概要≫
2014年4月、ある病院は職員が診療情報の入ったUSBメモリーを紛失した事故があったことを公表しました。USBメモリーに含まれていたのは、脳神経外科手術33例の、ID・氏名・性別・手術日・腫瘍の大きさ・検査データ。

≪原因≫
職員の持ち出しが原因でした。病院側は、「個人情報保護法への対応のためのガイドライン」を制定し、セキュリティ確保の指導を行っていましたが、こうした事態が起こりました。なおUSBメモリーにはパスワードが設定されていませんでした。

≪対策≫
ガイドライン遵守と個人情報保護のについての教育指導を強化、徹底することとしました。

2-2.誤破棄により情報が流出したケース

2-2-1.生命保険会社

≪概要≫
2013年6月、ある生命保険会社は、一部支社において顧客の個人情報が記載された帳票を紛失および誤破棄していたと公表しました。紛失した帳票はのべ約5万8千人分におよび、それに含まれていた個人情報は、氏名、住所、電話番号、生年月日、証券番号等。

≪原因≫
社内で誤って破棄された可能性が高く、外部へ流出した可能性は極めて低いものと考えているとのこと。

≪対策≫
文書管理ルールの徹底、保存すべき帳票の一覧化、定期点検、電子化により帳票の9割削減などを、再犯防止策としました。

2-2-2.銀行

≪概要≫
2013年2月、ある銀行が、顧客の個人情報を含む資料を紛失していたと公表しました。紛失した件数はのべ約3万8千人分、その内容は氏名、住所、電話番号、生年月日、口座番号等。

≪原因≫
誤って破棄した可能性が高く、外部へ情報が流出した懸念は極めて低いもとの考えているとのこと。

≪対策≫
情報管理の強化・徹底を行うこととしました。

2-3.操作ミスによる情報漏洩が発生したケース

2-3-1.電気通信事業者
≪概要≫
2014年7月、ある電気通信事業者は、自社サービス利用者の最大378人の氏名、メールアドレス、郵便番号、電話番号、住所、ID・パスワード、暗号化されたクレジットカードといった個人情報が、インターネットで閲覧できる状態になっていたと公表しました。

≪原因≫
サービス担当者の操作ミスが原因だとしています。

2-3-2.財団法人

≪概要≫
2014年3月、ある財団法人は、主催セミナー参加者の個人情報がインターネットで閲覧可能な状態になっていたことを公表しました。個人情報は149名分で、氏名、勤務先の住所・電話番号。3月26日に社外から指摘を受け判明、2月10日から3月26日までの期間、閲覧可能な状態であったことが分かりました。

≪原因≫
サーバーのアクセス制限を誤って設定したことが原因でした。

≪事後対応≫
検索エンジン運営会社のサーバーに残っているデータについて、削除依頼をしました。また再犯防止策としてセキュリティ管理の徹底をするとしています。

2-4.メールの誤送信が漏洩の引き金になったケース

2-4-1.高速道路管理会社
≪概要≫

2014年4、ある高速道路管理会社は自社提供のスマートフォンアプリのプレゼントキャンペーン当選者127名に対して、他のユーザーのメールアドレスを宛先に表示させて送信したことを公表しました。

≪原因≫
サイトの運営管理委託会社が、「BCC」で送るべきところを、「宛先」で送ってしまったことが原因でした。

2-4-2.地方自治体
≪概要≫
2014年4月、ある地方自治体は婚活イベントへの案内メールにて、誤ったメールアドレスを記載したため、申込者の個人情報が漏洩してしまったと公表しました。参加申込者は10数名で、申し込みメールには氏名、年齢、性別、電話番号、メールアドレスを記載していました。

≪原因≫
担当者が、前回配信したイベント情報のメールを参考にして当該メールを作成した際に、申込先のメールアドレスを変更し忘れたことが原因でした。

≪対応≫
自治体内のある課が、誤って送られた送付先において、申し込みメールを開封せずに削除したことを確認しました。それにより申込者が特定できないことから、情報配信登録者全員に事情説明と謝罪のメールを送りました。

3.ヒューマンエラー以外を要因とする情報漏洩

3-1.システム障害が原因となったケース

3-1-1.自動車用品メーカー

≪概要≫

2014年4月、ある自動車用品メーカーは、メールマガジン配信において、会員のアドレスが宛先に露出した状態で繰り返し大量配信されるトラブルが起きたと公表しました(発生は4月4日)。個人情報としてはメールアドレスのみが漏洩しました。

≪原因≫
メール配信システムの不具合、およびチェック体制の不備が原因でした。

≪対策≫
メール配信システムの切り替えと再構築、送信前の点検強化等を再犯防止策としました。

3-1-2.通信衛星事業者

≪概要≫

2014年6月、ある通信衛星事業者は自社公式サイトの一部の手続きページでシステム障害が発生し、氏名、郵便番号、住所、電話番号、BCAS/ICカード番号、試聴契約情報が、第三者に閲覧された可能性があると公表しました。被害対象は82名。

≪原因≫
システムメンテナンス(16日から21日に行われた)を実施し、顧客管理システムをリプレースしたことで不具合が発生しました。

≪事後対応≫
個人情報漏洩の可能性がある顧客に対して個別に連絡し、お詫びと説明をするとしました。

3-2.情報の盗難が原因となったケース

3-2-1.家具販売

≪概要≫

2014年4月、ある家具販売メーカーは、個人情報を含むノートパソコンと携帯電話が盗難されたことを公表しました。同社社員が海外出張中に、鞄ごと盗難された事件です。ノートパソコンには面接予定者の個人情報および取引先等のメールデータ(氏名、電話番号、メールアドレス)が、携帯電話には50名分の氏名、電話番号が含まれていました。

≪原因≫
出張先における盗難事件でした。パソコンには同社指定のセキュリティシステムがあり、社内ネットワークへの経路も即時遮断。また携帯電話にはパスワードが設定されており、盗難発覚後にすぐさま利用停止措置をとりました。これらにより、個人情報が不正利用されることは事実上困難であるとしました。

3-2-2.賃貸住宅管理

≪概要≫

2013年6月、ある賃貸住宅管理企業は、車上荒らしに遭い顧客の個人情報が含まれた書類を紛失したと公表しました。個人情報は96名分で、氏名、住所、電話番号。

≪原因≫
5月28日12時40分から13時20分の間に、昼食をとった飲食店の駐車場において被害に遭いました。

≪事後対応≫
被害者に対して、事故の報告とお詫びを行いました。また被害は確認されていないものの、万一被害が発生した場合には誠実に対応することとしました。

4.まとめ

ニュース等で大きく報じられた有名な事件を除き、主に2014年に起きたものをまとめました。いかに日本全国で情報漏洩事件が起きているかが分かるでしょう。そして、そのほとんどは人災によるものだという点がポイントです。情報漏洩の対策をするには、すなわち人への対策をすることが重要であると言えるわけです。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

ノートンのロゴ
  • Norton
ノートンは、世界中の人々や家族がデジタル ライフでより安全に感じられるように支援します

編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。

Contents

    その他の情報

    ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。