「自社に不正アクセスなんてされるわけない」と思っている管理者は多いのではないでしょうか。しかし、不正アクセスは身近な企業で起こっています。
本記事では、2024年に発生した不正アクセス事件の経緯や被害と、企業の責任や負担、個人情報保護法の改正について解説します。
2024年の「改正個人情報保護法」の主な改正点について
2024年4月に施行された個人情報保護法の改正は、「漏えい等が発生した際の報告義務と安全管理措置の対象拡大」が大きなポイントです。これまで「個人データ」のみを対象としていた規制が、一部の「個人情報」にまで及ぶようになりました。
法律上の個人情報とは「個人が特定できるような氏名や住所」などを指し、個人データとは「名刺データや営業リストのような整理された状態」を指します。改正前までは漏えい等発生時の報告義務と安全管理措置を講じる義務があるのは個人データまででした。
この変更は、近年急増しているWebスキミング被害への対応策です。ECサイトなどの入力フォームから直接個人情報を盗み取るこの手法は、従来の法律では報告義務の対象外でしたが、今回の改正によって「個人データとして取り扱われることが予定されているもの」も報告義務の対象となりました。
2024年の「改正個人情報保護法」への対策
これらの改正に対して、企業が取るべき対応は主に2つあります。
1つ目はプライバシーポリシーの改訂です。個人情報の安全管理措置を本人が知り得る状態に置くことが求められています。そのため、多くの企業がプライバシーポリシーに安全管理措置の内容を記載しています。今回の改正で新たに対象となった「個人データとして取り扱われることが予定されている個人情報」についても、その取り扱いをポリシーに明記する必要があります。これらのデータを安全に管理するためにデータ暗号化が活用されています。データ暗号化によって、Webスキミングといった不正に個人情報を取得する攻撃から守ることができます。
2つ目は、社内規則の改訂です。改正により、これまで報告義務のなかった一部の個人情報漏えいについても報告が必要となりました。例えば、アンケート用紙に記入された個人情報が誤って第三者に渡ってしまった場合なども、報告対象となる可能性があります。
そのため、従業員全員が理解し適切に対応できるよう、社内規則を更新し、研修などを通じて周知することが不可欠です。
2024年の不正アクセス事件4選
次に、2024年に実際に発生した不正アクセス事件を4つご紹介します。
積水ハウス株式会社
2024年5月、積水ハウスの会員制サイト「積水ハウス Net オーナーズクラブ」がサイバー攻撃を受け、大規模な情報漏えいが発生しました。
サーバー業務委託先からの異常アクセスの報告がきっかけで発覚したもので、調査の結果、過去に使用していたページのセキュリティ設定の不備を突かれたことが原因と判明しました。
被害は、約10万8千人分の顧客情報と約18万3千人分の従業員等の情報、さらに約53万6千人分の情報漏えいの可能性も否定できない状況となりました。漏えい情報にはメールアドレスやログインID、パスワードも含まれていました。
対策として、積水ハウスは該当サイトの運用を停止し、個人情報保護委員会への報告や警察への相談を行うとともに、影響を受けた顧客への連絡を開始しました。
株式会社イズミ
2024年2月、スーパー「ゆめタウン」を運営する株式会社イズミがランサムウェア攻撃を受け、大規模なシステム障害が発生しました。
2月15日にイズミのグループ会社のサーバーに対する第三者の侵入が確認されたため、即座に全社のネットワークを遮断しました。また、同日中に対策本部を立ち上げ、外部の専門家と連携しながら調査と対応を行いました。
被害として、一部のサーバーデータが使用不能となり、最大で約778万件のゆめカード会員情報が影響を受けた可能性が判明しました。ただし、クレジットカード情報は別システムで管理されており、漏えいはありませんでした。外部への情報流出の痕跡は見つかっていませんが、個人情報の閲覧された可能性は完全には否定できない状況でした。
対策として、イズミは直ちにシステムの復旧作業に取り掛かり、セキュリティを強化しました。同時に、個人情報保護委員会への報告や、影響を受けた可能性のある顧客への通知を実施し、さらに専用のお問い合わせ窓口を設置して、顧客からの相談に対応する体制を整えています。
JR東日本
2024年5月10日、JR東日本がサイバー攻撃を受け、モバイルSuicaやえきねっとなどの主要サービスが一時的に利用できなくなる事態が発生しました。
不正アクセスの発見経緯は公表されていませんが、被害としては、モバイルSuicaへのログインやチャージなど、通信を必要とするサービスが約3時間にわたって利用困難になりました。一部の利用者は駅から出られない状況に陥りました。
JR東日本は直ちにシステムの復旧作業を開始し、公式SNSを通じて利用者への情報提供を行い、混乱の沈静化を行いました。幸い、列車の運行や改札での処理には大きな影響がなかったものの、この事件を契機に、JR東日本はセキュリティ体制の再点検と強化に取り組んでいます。
KADOKAWA
2024年6月8日、出版大手のKADOKAWAがランサムウェアを含む大規模なサイバー攻撃を受けました。この事件により、ニコニコ動画をはじめとする同社の主要サービスが長期間にわたって停止する事態となり、2024年10月現在も一部の機能が利用できないサービスがあります。
不正アクセスの発見経緯は詳細に公表されていませんが、KADOKAWAは6月9日に攻撃があったこと、情報流出があったことを認めています。
被害は広範囲に及び、ニコニコ動画など主要なWebサービスが停止しました。さらに、紙・デジタル書籍の製造・物流システムも影響を受け、新刊の刊行や重版制作に遅延が生じましたが、物流は7月29日頃に復旧しています。
対策として、KADOKAWAは外部の専門家と連携し、システムの復旧と情報セキュリティの強化に取り組んでいます。同時に、臨時サイトやSNSを通じて利用者への情報提供を行い、透明性の確保に努めました。しかし、サイバー犯罪グループによる身代金要求の声明が出されるなど、事態は複雑化しました。この事件を機に、同社はデジタルインフラの再構築と危機管理体制の強化に着手しました。
企業にのしかかる責任と負担
こうした不正アクセス事件を引き起こし、個人情報が流出するなか、適切な対応を講じなかった場合は最大1億円の罰金が発生します。また、発生時の報告義務における調査費用や、個人への賠償金といった企業の負担が増大することも予想されます。
警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、インターネットバンキングだけの被害額だけでも約87.3億円にのぼります。
事案が発生した場合、原因を突き止めるには「デジタルフォレンジック」といった専門の調査が必要になってきます。デジタルフォレンジックとは、犯罪捜査や法的紛争などで、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術のことです。例えば不正アクセスや情報流出が起こった場合は、次のような項目について解析を行います。
- Webアクセス履歴
- ファイル復元
- USB接続履歴詳細(初回接続日時、最終接続日時、シリアル番号、接続ごとの履歴)
- ファイルの削除履歴
- ログオン履歴
- 社外宛メールの抽出
- メールの復元(容量制限なし)
- 指定キーワードによるメール検索
- 指定キーワードによるデータ検索(削除されたものを含む)
- 印刷履歴
- リモートデスクトップ履歴
- 不正隠ぺいツールの実行履歴
- 開いたファイルの履歴(USB機器から開かれたものを含む)
- Wi-Fi接続履歴
- ファイルのパスワード解除
- ログの調査
- マルウェアの解析
こうした調査は、PC 1台あたり数万円~数十万円にも及びます。加えて金銭的な負担だけでなく、企業の信用も失墜してしまいます。事件が発生してから高額な調査費用や賠償金に見舞われるよりも、日頃から「サイバー攻撃はいつでも起こり得る」という危機感のもとで適切な防御を敷いておく方が、コスト面でもはるかに理に適った選択肢と言えるでしょう。
まとめ
不正アクセスは、いまや大企業だけが対策しておけばよいというものではありません。2024年に発生した不正アクセス事件は、従来の対策だけでは不十分であり、どのような企業も対策を講じる必要があることを明確に示しました。
また、2024年の個人情報保護法の改正により、報告義務の範囲が変更になりました。プライバシーポリシーの改定や社内規則の改訂で対処できるようにするだけでなく、データ暗号化によって情報を守るシステムも欠かせません。
企業は、テクニカルなセキュリティ対策の強化はもちろん、従業員教育の徹底、インシデント対応計画の整備など、総合的なアプローチが必要です。
データ暗号化について専門家に相談したい方はこちら