近年、企業による情報漏洩事件が相次いでいます。
情報漏洩は、まさに「デジタル社会の落とし穴」の最たるものであり、中でも約3,500万件もの情報が流出したベネッセの事件は、個人情報保護のあり方を見直す契機となりました。
本記事では、そうした過去の教訓を活かすべく、ベネッセのような有名事例から最近の事例まで、様々な個人情報漏洩事例を12件ご紹介します。各事例の原因や事例の流れ、有効な対策もお伝えするので、情報漏洩リスクと向き合うきっかけとして、ぜひご一読ください。
個人情報漏洩とは
個人情報の漏洩とは、企業や団体が保管していた情報が、何らかの理由で外部に出てしまうことです。例えば、以下のような情報が対象になります。
- 氏名・生年月日
- 住所・電話番号・メールアドレス
- 顔写真や指紋
- マイナンバーなどの個人識別符号
こうした情報は、単体または他のデータと組み合わせるだけで個人を特定できるため、万が一漏洩すれば、企業は信用の失墜や損害賠償といった多大なるリスクを背負うことになります。
個人情報漏洩は企業とユーザー双方にとってリスクが大きい
個人の情報漏洩は、ユーザーと企業のどちらにとっても重大なリスクが伴います。具体的なリスクを以下に挙げてみましょう。
企業への影響
- 外部調査依頼、再発防止策の構築など、多くの時間と費用が必要
- 損害賠償請求、個人情報保護法違反に該当する可能性
- 社会的信用の失墜と企業イメージの悪化
- 顧客離れや利用停止など、ユーザーからの信頼喪失
ユーザーへの影響
- 宣伝や詐欺目的の迷惑メール・DMが急増
- アカウントの乗っ取り、ID・パスワードの悪用
- クレジットカード・銀行口座の不正使用
- 詐欺や金銭要求などの架空請求
個人情報漏洩の主な原因
そもそも個人情報漏洩は、どのような原因で起きてしまうのでしょうか?
東京商工リサーチが調査した2023年の「上場企業の個人情報漏えい・紛失事故」(画像参照)によれば、主な原因は大きく2つに分かれます。
ひとつは、ウイルス感染や不正アクセスといった外部からの攻撃。もうひとつは、メールの誤送信や操作ミスなどの人為的なミスです。後者は、日常業務の中で誰にでも起こり得ますが、反面、事前の対策により十分回避できるリスクともいえるでしょう。
エクセル業務の「属人化」も人為的ミスの原因
人為的ミスの原因は、エクセル業務における「属人化」によるものも少なくありません。エクセル担当者が持つノウハウ、例えば、独自の関数やマクロが引き継がれないまま異動・退職すると、業務がブラックボックス化し、エラーや手戻りの原因となります。
こうしたリスクを抑えるには、エクセル業務のテクニックを誰が見ても分かる形で共有することが重要です。エクセル業務を効率化するための実践ガイドでは、以下の対策を分かりやすく紹介しています。
- 定型作業・ワークフローの自動化
- ファイル管理のクラウド化
- データ入力のフォーム化
エクセル業務の属人化に課題を感じている企業の担当者様は、ぜひ以下のページからお気軽にお申し込みください。情報漏洩リスク軽減、企業のDX化にも大きく貢献する有益なガイドです。
エクセルを基礎から学べる!Excel基礎セミナー講習
セミナー名 | Excel基礎セミナー講習 |
---|---|
運営元 | ProSkilll(プロスキル) |
価格(税込) | 27,500円〜 |
開催期間 | 2日間 |
受講形式 | 対面(東京・名古屋・大阪)・ライブウェビナー・eラーニング |
エクセルの自動化をマスター!Excelマクロ・VBAセミナー
セミナー名 | Excelマクロ・VBAセミナー |
---|---|
運営元 | ProSkilll(プロスキル) |
価格(税込) | 27,500円〜 |
開催期間 | 2日間 |
受講形式 | 対面(東京・名古屋・大阪)・ライブウェビナー・eラーニング |
有名な個人情報漏洩事例8選
初めに、有名な個人情報漏洩事例から見ていきましょう。
ここでは、個人情報漏洩事件として最も知られるベネッセをはじめ、過去にニュースでも大きな話題となった8つの事例をピックアップし、過去の事例から順にさかのぼってみていきます。
まずは、各情報漏洩事例の概要をまとめた一覧表からご確認ください。
事例 | 発覚年月 | 被害件数 | 概要 |
東芝の研究データ情報漏洩事例 | 2014年3月 | 非公表 | 技術者が企業データを転職先に持ち出し |
ベネッセの個人情報漏洩事例 | 2014年7月 | 約3,500万件 | 委託先社員が顧客情報を不正取得・売却 |
平塚市職員による情報漏洩事例 | 2018年12月 | 約3万件 | 元市職員が市民情報を不正持ち出し |
島根県立中央病院の情報漏洩事例 | 2022年8月 | 約3万件 | 電子カルテ等の保存端末の修理後紛失 |
厚生労働省の情報漏洩事例 | 2022年8月 | 5,640件 | 難病患者のデータファイルを漏洩 |
北海道産地直送センターの情報漏洩事例 | 2024年4月 | 約7万3千件 | 不正アクセスでECサイトの顧客情報流出 |
上智大学の個人情報漏洩事例 | 2024年6月 | 約1万4千件 | メールの誤送信で学生の個人情報流出 |
東京ガス子会社の個人情報漏洩事例 | 2024年7月 | 約416万件 | 外部不正アクセスにより流出 |
①東芝の研究データ情報漏洩事例
2014年、東芝と米サンディスクが共同開発していたフラッシュメモリの機密情報が、韓国の半導体メーカーSKハイニックス(当時)に流出する事件が発生しました。情報を漏洩させたのは、東芝の四日市工場でサンディスクの従業員として共同開発に従事していた元社員です。
東芝は、この事態を「看過できない不正の事実」として、SKハイニックスに対し損害賠償などを求めて訴訟を提起しました。最終的に両社は民事で和解しましたが、この事件は、一人の行動が企業の根幹を揺るがす情報漏洩の恐ろしさを改めて示した事例といえるでしょう。
情報漏洩の原因と流れ
- 東芝での降格処分に元社員が不満を抱いていた
- 元社員が転職での優位性や金銭的な動機から機密情報を不正に持ち出す
- 東芝工場では、機密情報へのアクセス権限管理が甘い状態だった
- 漏洩した機密情報はSKハイニックスに渡り、見返りとして優遇措置が与えられていた
参照:TOSHIBA
②ベネッセの個人情報漏洩事例
2014年7月9日、ベネッセコーポレーションで、委託先エンジニアが引き起こした大規模な個人情報漏洩が明らかになりました。この事件が発覚したのは、「ベネッセにしか教えていない個人情報宛てに、別の会社からDMが届くようになった」という問い合わせがきっかけです。
事件発覚後、ベネッセは、同年8月4日に「お客様本部」を立ち上げ、対応と再発防止に尽力。9月中旬には、情報漏洩したと思われる顧客に対し、お詫びとして500円の金券を送付しました。その後、個人情報保護対策をより明確にし、再発防止に取り組んでいます。
情報漏洩の原因と流れ
- ベネッセではデータベース管理の分散・再委託により管理が不透明化していた
- 委託先のエンジニアが金銭目的で顧客情報を名簿業者に転売していたことが判明
- 約3,504万件にも及ぶ大量の個人情報が名簿業者3社に流出
- クレジットカード情報の流出は確認されていない
参照:ベネッセお客様本部
③平塚市職員による情報漏洩事例
2018年12月、平塚市教育委員会社会教育部スポーツ課で、元職員による大規模な個人情報持ち出し事件が明らかになりました。この事件が発覚したのは、「選挙に出馬した元職員から選挙葉書が送られてきた」という市民からの通報がきっかけです。
平塚市は、同年8月8日に謝罪会見を実施。9月5日には、担当課のイベント申込者250名に謝罪文を送付しました。2022年には争議の末和解し、現在はUSBセキュリティ対策、パソコン管理強化など、抜本的な見直しに着手しています。
情報漏洩の原因と流れ
- 市の庁内ネットワークパソコンのUSBメモリ接続制限に抜け穴があった
- 元職員が退職日翌日も庁舎に入館し、個人情報ファイルを持ち出していた
- 約31,429件の個人情報を含む1,019件のファイルが流出
- 2次被害の事実は判明しなかった
参照:平塚市
④島根県立中央病院の患者情報漏洩事例
2022年8月、島根県立中央病院は、患者情報を含む電子カルテ用端末を紛失したと発表しました。この端末には、2020年8月27日から2021年1月26日までの間に病院を受診・入院した患者、約2万4千人分、職員約6千人分の個人情報が含まれています。
病院は、対象となる患者や職員に対しお詫び文書を送付しました。井手久武病院局長は、発表の遅れを謝罪し、端末の捜索と再発防止策の徹底を行うとしています。また、この件に便乗した詐欺行為への注意も呼びかけています。
情報漏洩の原因と流れ
- 病院が業者に電子カルテ端末の修理を依頼
- 業者が回収後、端末が所在不明となる
- 病院が端末の未返却に気づき、業者に確認・調査を開始
- 端末の所在は特定できず、業者は受け取りを断言できないと回答
- 病院は個人情報が含まれる端末の紛失を公表
参照:島根県立中央病院
⑤厚生労働省の個人情報漏洩事例
2022年8月、厚生労働省は、研究利用のため研究機関に提供した指定難病患者に関するデータファイルに、本来削除されるべき患者の個人情報が含まれていたと公表しました。
流出した個人情報は延べ5,640名分に及びます。情報漏洩後、厚生労働省は関係者へ深く謝罪するとともに、医薬健栄研と連携し、ダブルチェックの徹底や作業手順の見直しを含む再発防止策を策定・実施しています。なお、当該データは、7施設7名以外には漏洩していません。
情報漏洩の原因と流れ
- データ抽出を担当した医薬健栄研で、個人情報を含む元データの削除手順を失念
- 厚生労働省と委託先の企業においても、提供データの確認が不徹底
- データを提供した研究機関(7施設)に対し、直ちに当該ファイルの回収を指示
- 現時点では、研究者以外の第三者への流出は確認されていない
参照:厚生労働省
⑥北海道産地直送センター・ECサイトの情報漏洩事例
2024年4月24日、北海道産地直送センターは、自社のECサイトが不正アクセスを受け、顧客のクレジットカード情報と個人情報漏洩の可能性を表明しました。漏洩の可能性のある情報は、クレジットカード情報が約1万8千件、個人情報が約5万4千件に上ります。
同社は、クレジットカード会社からの連絡を受け、情報漏洩が判明しました。調査の結果、2021年3月30日から2024年4月19日の間の入力情報漏洩の可能性を示唆しています。
情報漏洩の原因と流れ
- サイトのシステムの一部に脆弱性が存在していた。
- 第三者による不正アクセスが発生。
- ペイメントアプリケーション改ざんが発覚
- 顧客のクレジットカード情報と個人情報漏洩の可能性を公表
参照:北海道産地直送センター
⑦上智大学の誤送信による個人情報事例
2024年6月、上智大学は、留学参加者リストを海外にメールで送信した際、誤って上智大学の全正規生の個人情報を含むファイルを送信したと公表しました。誤送信されたファイルには、約1万4千人分の学生の個人情報が含まれていました。
大学側の調査によると、留学プログラム担当者が短期プログラム参加者リスト作成時に、誤って全学生情報を含むマスターデータを添付したまま送信したとのことです。この誤送信は、約3週間後、別リスト作成時にマスターデータが残っていたことで発覚しました。
情報漏洩の原因と流れ
- リスト作成時、マスターデータを削除せずにメールに添付
- 作成したリストを海外協定校3校の担当者へ送信
- 別のリスト作成時に誤送信が発覚
- 大学は協定校にデータの削除を依頼し、削除を確認
- 全学生に対し、メールで謝罪と経緯の説明を実施
参照:上智大学
⑧東京ガス子会社の個人情報漏洩事例
2024年7月9日、東京ガスは、子会社である東京ガスエンジニアリングソリューションズ株式会社(TGES)のネットワークが不正アクセスを受け、顧客の個人情報漏洩の可能性があることを明言しました。
東京ガスは、情報漏洩後に調査を進めていますが、現時点では外部への情報流出の痕跡や不正利用の事実は確認されていません。
情報漏洩の原因と流れ
- TGESネットワークが外部からの不正アクセスを受ける
- TGESと東京ガスの法人事業分野のサーバーに保管された情報流出の可能性
- 東京ガスが個人情報保護委員会、警視庁、IPAといった外部機関に報告・連携して調査を開始
- TGESネットワークへの外部経路を速やかに遮断し、再アクセス防止対策を実行
最近の個人情報漏洩事例4選
2025年度も個人情報漏洩事例が相次いでおり、そのリスクはさらに身近なものとなっています。
ここでは、2025年度の中でも、特に最近発生した情報漏洩事例を4件ご紹介します。まずは、各個人情報漏洩事例の概要を一覧でご確認ください。
事例 | 発覚月 | 被害件数 | 原因 |
万博のウズベキスタン館の情報漏洩事例 | 4月24日 | 200人未満 | 独自予約システムの誤作動 |
佐久市立小中学校の情報漏洩事例 | 4月25日 | 約700人分 | 制作会社のランサムウェア攻撃 |
保険見直し本舗の情報漏洩事例 | 4月30日 | 約510万件 | ランサムウェアのサイバー攻撃 |
PR TIMESの情報漏洩事例 | 5月7日 | 約90万件 | 不正アクセス・サイバー攻撃 |
①万博のウズベキスタン館の情報漏洩事例
2025年4月、大阪・関西万博のウズベキスタンパビリオン広報事務局から、予約システムにおける個人情報誤表示を公表しました。内容は、来館予約を行った一部ユーザーに対し、入館用QRコードと共に、他人の個人情報を複数誤送信したとのことです。
誤表示の対象となった個人情報は約200名にのぼります。事務局は、予約の殺到が原因の一つではないかと見ていますが、現在詳しい原因を調査しており、対象者へ謝罪を行う予定です。
情報漏洩の原因と流れ
- ウズベキスタン館が予約者に対し、入館用QRコードをメールで送信
- システムの不具合により、一部利用者に別人のQRコードと個人情報が誤送信
- 事務局が利用者の指摘により事態を把握し、システムを緊急停止
- 個人情報を読み取れないように、誤送信されたQRコードを無効化
- 原因を調査中としつつ、短時間に大量の予約が入った可能性を示唆
参照:朝日新聞
②佐久市立小中学校の情報漏洩事例
2025年4月、長野県佐久市教育委員会は、市立小中学校6校の2023年度卒業アルバムに掲載された児童と教職員、約700人分の写真や氏名などの個人情報漏洩の可能性があると発表しました。
これは、アルバムの印刷会社がランサムウェアによるサイバー攻撃を受けたことが原因です。印刷委託を受けた佐久市内の業者から連絡があり、事態が判明しました。現時点では、情報が悪用されたといった二次被害は確認されていないとのことです。
情報漏洩の原因と流れ
- アルバム印刷を委託した印刷会社がランサムウェア攻撃を受ける
- 攻撃により、印刷会社のパソコンデータが暗号化される
- 暗号化されたデータには、卒業アルバム記載の個人情報あり
- 佐久市教委は、情報漏洩の可能性を発表
参照:朝日新聞
③保険見直し本舗の情報漏洩事例
2025年4月、保険見直し本舗グループは、2月に発生したランサムウェアによる被害の影響で、顧客や協業先企業等に関する約510万件の個人情報漏洩について公表しました。
同社が4月25日時点で確認したところ、保険申込者の情報、保険相談者の情報など多岐にわたります。ただし、マイナンバー、銀行口座情報、クレジットカード情報については、現時点では漏洩の可能性はないとのことです。
情報漏洩の原因と流れ
- ランサムウェアによるサイバー攻撃を受ける(2月に発生を確認)
- 攻撃により、データサーバーの一部ファイルが暗号化
- 同社に関連性がある幅広い顧客情報が漏洩
- 現時点では、情報の外部流出や攻撃者による公開は確認されていない
参照:日経X-TECH
④PR TIMESの情報漏洩事例
2025年5月、プレスリリース配信サービスのPR TIMESは、サイバー攻撃、および不正アクセスにより、約90万件の個人情報や未公開のプレスリリース漏洩の可能性を報告しました。
同社が4月25日にサーバー内の不審なファイルを発見したことから不正アクセスが判明しました。漏洩の可能性がある情報には、銀行口座番号やクレジットカード情報はないとのことです。
情報漏洩の原因と流れ
- サーバーに不審ファイルを発見
- 第三者による不正アクセスとサイバー攻撃を確認
- 最大約90万件の個人情報漏洩の可能性
- 発表前のプレスリリース1682件も情報漏洩の可能性
- 不正アクセス経路は既に遮断され、攻撃者の不審な操作は停止済み
参照:朝日新聞
個人情報漏洩事例から見えてくる企業の課題点
先ほど紹介した有名な情報漏洩事例を見ると、ランサムウェアをはじめとする外部からの不正アクセスが目立ちましたが、その中には企業の対策次第で防げたであろう事例も多々あり、同時に以下のような課題点が浮かび上がってきました。
- 委託先の管理不備
- アクセス権限の管理体制
- 物理媒体の脆弱性
- ヒューマンエラー
①委託先の管理不備
大規模な情報漏洩事例を見ると、社内ではなく外部委託先からも数多く発生しています。例えば、ベネッセの事例では、委託先のエンジニアが3,500万件もの個人情報を名簿業者に売却していました。
島根県立中央病院では修理に出した電子カルテ端末が行方不明になり、厚生労働省の事例では、委託先での作業手順の不備で難病患者の個人情報漏洩事例に発展しました。これらから、利便性向上のために委託した外部企業が、逆にリスクを高めていることが見えてきます。
②アクセス権限の管理体制
「念のため」と社員に与えられているアクセス権限が、実は情報漏洩の温床であることも情報漏洩事例から見えてきます。例えば、東芝の事例では、共同開発に従事していた元社員が機密情報にアクセスし、競合他社へ情報を流出していました。
つまり、「必要最小限の権限だけを与える」という原則が守られていなかったため、重大な情報漏洩事例へと発展したのです。アクセス権限が持つリスクは、情報漏洩事例から浮かび上がった重要な課題点といえるでしょう。
③物理媒体の脆弱性
デジタル化が進む社会において、個人情報漏洩の盲点になりがちなのが物理的な情報の持ち出しです。例えば、平塚市の事例では、市のUSBメモリ接続制限に抜け穴があり、元職員が個人情報を持ち出して選挙活動に利用していました。
島根県立中央病院の事例では端末そのものの紛失が情報漏洩につながりました。クラウド化やテレワークが広がる中、「物理的な脆弱性にも目を向ける」という点も、これらの情報漏洩事例から見えてきた課題点の一つです。
④ヒューマンエラー
システムをいくら強化しても、「最後の砦はやはり人」であることも情報漏洩事例から伺えます。上智大学の事例では、担当者のわずかなミスが1万4千人分の学生情報流出につながり、厚生労働省の事例ではデータ削除手順の失念という人的ミスが原因でした。
忙しい業務の中で起きる「うっかりミス」は誰にでも起こりうるものですが、その一瞬が取り返しのつかない情報漏洩事例にもつながっています。エクセル操作などの日常業務は、案外見落としがちなリスク要因の一つといえるでしょう。
エクセル管理に潜むリスク
エクセル操作は、マクロや複雑な関数を使用することで利便性は高まる反面、操作が属人化しやすく、他者による引き継ぎが難しい状況となり、結果的に漏洩リスクを高めます。
日々の業務の中でエクセルを多用している企業様は、この機会に「エクセル業務を効率化するための実践ガイド」を参考に、属人化を避けた業務フローの見直し、および情報管理の最適化を図ってみませんか?
エクセルの実践的ノウハウが詰まった資料は、以下のページから手軽にダウンロードできます。
事例から見る情報漏洩防止対策リスト
情報漏洩事例を参考にする際、情報漏洩事例から学んだ教訓を活かし、自社の情報管理体制を見直すことが重要です。以下に、上記で見た4つの課題に対する具体的な対策を一覧表にまとめてみました。
課題 | 主なリスク要因 | 対策例 |
委託先の管理不備 | 管理不備・内部不正 |
|
アクセス権限の管理体制 | 不適切な権限付与・放置 |
|
物理媒体の脆弱性 | USB紛失・書類の持ち出し |
|
ヒューマンエラー | 誤送信・操作ミス |
|
情報漏洩事例の原因の中でも、意外と多いのがヒューマンエラーです。ヒューマンエラーは、メールの誤送信だけではなく、日々のエクセル業務においてにおいても潜んでいるリスクです。
特に、属人化しやすいエクセルのマクロ・関数などの高度な操作は、事前に標準化して全社員が分かる仕組み作りをすることが重要です。
これらのヒューマンエラーを防ぎ、エクセル業務を劇的に効率化するための実践的なノウハウをまとめたガイドを以下にご用意しました。ぜひこの機会にダウンロードして、エクセル業務の効率化と情報漏洩リスクの低減にお役立てください。
情報漏洩事例についてまとめ
情報漏洩事例には、重大な損害をもたらす事件や事故、インシデントなど多様なケースが存在します。これらの背景を掘り下げていくと、共通する組織的な課題が明らかになります。
情報漏洩の事例は、単なるニュースとして受け止めるのではなく、情報漏洩事例から得られる教訓に目を向けることが重要です。本記事をきっかけに、各事例を「自分ごと」と捉え、自社の情報管理体制の見直しや対策強化にぜひ活かしてください。
