個人情報流出対策

個人情報流出事件まとめ、

情報漏えいによるリスクと対策とは？

様々なサービスがオンライン化され、スマートフォンの世帯保有率も75.1%となるなど、多くの人がインターネットを生活の一部として利用しています。一方、インターネットサービス利用者の金銭や情報の詐取を狙い、その手口も巧妙化の一途をたどっています。今回は直近の事例を踏まえながら、どういった個人情報流出事件が起こっているかのまとめと、個人情報漏えいによるリスクと社会的影響についてみていきたいと思います。

直近の個人情報流出事件一覧

従業員個人情報のUSBメモリを持ち出し紛失

個人情報の漏洩について

http://www.yes-takagi.com/information/info190624.pdf

2019年6月24日、人材サービスや不動産、保険代理店などを展開する高木工業は、従業員の給与明細など含むUSBメモリを紛失したと発表しています。取引先における定期監査を受けるために持ち出したUSBメモリを紛失し、USBメモリには同社従業員56人分の賃金台帳と給与明細などが記録されていたということです。

メール誤送信によるメールアドレス7,676件の流出

『真夏の節電大作戦2019、開始のお知らせ』メール誤送信によるメールアドレスの流出について「第二報」

https://looop-denki.com/low-v/news_detail/131

2019年6月28日、Looopでんきが顧客に一斉送信したＤＭで、送信者のアドレスが他の人にも見えてしまう形でメールアドレスの流出が起こりました。このような誤送信は一般的に、メールのCCに他のアドレスも入力してしまうことで発生します。

IDとパスワード乗っ取りで迷惑メール4,543件送信

不正アクセスによる個人情報漏洩の可能性及び迷惑メール送信に関するお詫び

https://www.tohtech.ac.jp/topics/information/10351.html

2019年7月1日、所属する学生1名のメールアカウントが、何者かに乗っ取られ、悪用された事例です。このアカウントは学内外関係者のメールリスト1,003 件（氏名・メールアドレス）および、送受信メール1,034件が存在し、これらの情報も読み取られた可能性が高いです。大学側は学内に注意喚起を行うとともに、システムのセキュリティ機能の強化を図り再発防止につとめると説明しています。

不正アクセスでクレジットカード情報1万5千件流出

「株式会社DigiBook」における個人情報流出に関する発表について

https://www.jcb.jp/topics/oshirase_digibook_20190703.html

2019年7月3日、株式会社DigiBookが運営する「みんなのデジブック広場」が第三者による不正アクセスを受け、顧客のクレジットカード情報が1万5千件以上も流出したと発表されました。発生時時点でカードの不正利用は確認されていないとのことですが、各カード会社からは利用明細を確認し、身に覚えのない取引がないか注意を喚起するお知らせが発信されています。

中部電力「カテエネ」｜パスワードリスト型攻撃で個人情報最大234件閲覧可能状態に

「カテエネ」における不正ログインについて

http://www.chuden.co.jp/corporate/publicity/pub_release/press/3271496_21432.html

中部電力の家庭向けWebサービス「カテエネ」にて第三者の不正ログインの可能性が判明しました。パスワードリスト型攻撃とは、どこか他のサービスなどから不正に入手したリストを使い、不正アクセス（不正ログイン）を試みる手法の一種です。パスワードの使いまわしを複数のサイトで行っていると、どれか一つのサイトが攻撃された時にパスワードリストも入手されてしまい、第3のサイトでのアタックにも使用されてしまいます。

他にもアドレスリストを記載したファイルを添付し誤送信した事例（公益財団法人日本育成協会）、以前の勤務先のIDを使って登記情報を不正閲覧した元社員の逮捕、同姓同名の別人へのメール誤送信による個人情報流出（トヨタツーリストインターナショナル）、明海大学教員による前職のメーリングリストを不正流用してセミナーの勧誘を行った事例等、多くの個人情報流出事故や事件が報じられています。

個人情報漏えいによるリスクと社会的影響

多額の補償金

一旦情報漏えいを引き起こすとその代償も大きなものとなります。IPA 独立行政法人情報処理推進機構は一般のユーザー1万人を対象に、情報セキュリティに対する意識調査において個人情報を漏洩された場合の妥当な補償額も訪ねていますが、これによると、クレジットカードなどの個人情報漏洩に対する補償額として「妥当と考える」金額の最多は「50,001円以上」となっています。

引用：https://www.ipa.go.jp/files/000070256.pdf

事例で上げた株式会社DigiBookのクレジットカード情報の流出は1万5000件を超えるものですが、もし、流出された顧客が納得できるという額を補償するとなると、最低でも7億5000万円もの補償が必要となってきます。JNSAが発表している報告書によると、インシデント1件あたりの損害賠償額は実際6億7,439万円となっています。

企業の信用低下

仮に金銭的に保証できたとしても、こうした情報の漏えいを引き起こせば企業の信用低下は免れません。各社ともプレスリリースなどでお詫びを出していますが、こうした情報はインタ―ネット上に半永久的に残りますし、事故や事件を起こした企業の信用は失墜してしまいます。

ショッピングサイトで情報漏えいした場合、調査するためにサイトを一時的に閉鎖する必要性も生じるかもしれません。その場合の機会損失も相当なものとなります。

IPA 独立行政法人情報処理推進機構でも「漏れたら大変！個人情報」の中で次のように分析しています。

企業・組織からの情報漏えいは、個人情報保護法の施行以来、注目度がアップし、企業で働く社員にとっても、厳重注意や場合によっては解雇など、大きな脅威となっています。
企業にとっても、情報漏えいは、社会的信用の失墜、業務停止、賠償被害など、大きな影響を受けます。このほかにも、顧客対応、漏えい情報の回収、マスコミ対応なども発生し、人手もかかりますし、金銭的にも大きな打撃を受けます。

引用：https://www.ipa.go.jp/security/kojinjoho/comment.html

最も大きな原因としてあげているのが紛失・置き忘れ、そして管理ミスや誤操作といった人的ミスです。こうした傾向が変わっていないのは、先項であげた事例でもお分かりいただけると思います。今回紹介した事例でもメールの誤送信やUSBメモリの置忘れといったミスによって、情報漏えいが引き起こされています。しかしクレジットカード等、直接の決済に関わるような情報漏洩は、うっかりミス以外にサイバー攻撃によって引き起こされています。