【事例あり】個人情報漏洩とは？ 被害を最小限にする対処法を徹底解説

個人情報漏洩(こじんじょうほうろうえい)とは、第三者の故意や過失によって、個人情報が本人の同意なしに他人の手に渡ることです。『日本ネットワークセキュリティ協会ＪＮＳＡ』の集計では、年間386件の個人情報漏洩が発生しています(2017年)。

企業が個人情報漏洩を起こしてしまうと、消費者からはもちろん、取引先の会社からも信頼を失ってしまいます。

そのような事態を回避するために、この記事では、以下の内容について詳しくご紹介します

1. 個人情報に関する基礎知識
2. 事例と原因
3. 予防策と罰則
4. 個人情報漏洩した場合の対応

『個人情報』に該当する情報とは？

この記事における『個人情報』は、個人情報保護法で定義されたものとなります。

そのため、本人に関わる情報であれば、すべての情報が『個人情報』に該当するわけではありません。

どのような情報が該当するのかご紹介します。

『個人情報』に該当する情報

『個人情報』情報に該当する情報は、生存する個人に関する情報のうち、以下の各項にあたるものです。

1. 氏名、生年月日等の記述等により、特定の個人を識別することができるもの
2. 個人識別符号(DNA、指紋、顔び骨格等の身体の一部の特徴を変換した文字等の符号や、 マイナンバー、免許証番号など個人に割り当てられた番号等の符号)が含まれるもの）

（参考：個人情報保護法第2条）

 

公開されている有名人や犯罪者などの個人情報でも、これに該当する情報に関しては『個人情報』になります。

『個人情報』に該当しない情報とは

個人に関する情報ではあるものの、以下のような情報は、個人情報保護法では個人情報に該当しません。

• 会社(法人)に関する情報(住所・電話番号・従業員数など)
• すでに亡くなっている方の情報

なお、すでに亡くなっている方の情報でも、遺族の方の個人情報につながる情報は、遺族の個人情報として同法の対象になり得ます。

2018年に起きた個人情報漏洩の事例

2018年に起きた個人情報漏洩の事例とその発生原因、被害内容・漏洩情報についてまとめました。

１～４月に発生した個人情報漏洩

日付	企業・団体名	発生原因	被害内容・漏洩情報
1/9	九州商船	不正アクセス	予約サイトに登録した会員・元会員、合計7万人以上の住所・氏名・電話番号などの情報が流出
1/15	幻冬舎	不正アクセス	約9万人の会員情報が流出
1/18	ライフコーポレーション	誤送信	メールを誤送信したことで、約350人の顧客情報が流出
1/26	GMOペパボ	不正アクセス	約9万人の利用者の個人情報が流出
2/1	ジャパンパレタス	不正アクセス	約800人のクレジットカードの番号・セキュリティコードなどが流出
2/26	ポルシェジャパン	不正アクセス	カタログ申請や登録した約4万人の個人情報が流出
4/4	前橋市教育委員会	不正アクセス	市内の児童・教職員を含めた約4万人の個人情報が流出
4/7	三菱地所・サイモン株式会社	サーバー攻撃	メールマガジンに登録していた約27万人の個人情報が流出

 

５～９月に発生した個人情報漏洩

日付	企業・団体名	発生原因	被害内容
5/9	森永乳業株式会社	不正アクセス	通販サイトから約3万人分のクレジットカード情報が流出。カード情報以外の個人情報が約6万人分流出。
5/10	株式会社MS&Consulting	サーバー攻撃	会員登録していた約50万人以上の個人情報が流出
5/17	株式会社ダブリュ・アイ・システム	不正アクセス	約3,000人のクレジットカード情報が流出。そのうちの27人のカードで不正利用被害が発生
6/5	株式会社ラッシュ(キルフェボン)	不正アクセス	約3万人の会員情報が流出
6/7	横浜市立大学	フィッシングメール	フィッシングメールにログインした教職員の受信ボックスから3,000通以上のメールが外部へ転送され、5,000人以上の個人情報が流出
6/26	株式会社プリンスホテル	不正アクセス	約12万人以上の個人情報が流出。このうちの約６万人の個人情報には、クレジットカード情報も含まれていた
6/27	弘前大学	フィッシング攻撃	フィッシングメールによる不正アクセスが行われ、個人情報を含むメール約3,000通が流出
6/29	埼玉県(大里農林振興センター)	不正アクセス	サイト登録者約2,000人の情報が流出
8/8	富山市民病院	紛失	9,000件の患者データが入ったメモリーカードを紛失
9/3	三重県庁(参考：日本経済新聞)	窃盗	職員の雑な保管により、約450人分の個人情報がまとめられたリストを紛失

このような個人情報漏洩が発生していたことを、知らなかった人もいるのではないでしょうか。ご自身の個人情報を登録している会社も、一度調べてみることをおすすめします。

個人情報漏洩の発生原因と原因別の対処法

日本ネットワークセキュリティ協会(ＪＮＳＡ)が発表した個人情報漏洩の発生原因をグラフにまとめました。

(参考：情報セキュリティインシデントに関する調査報告書｜ＪＮＳＡ)

紛失や盗難をきっかけに個人情報漏洩が起きるケースが多いようです。発生させないための対策については、『会社で行うべき予防対策』で詳しく解説します。

個人情報漏洩が発生した場合、原因によって初期対応を変える必要があります。ここでは、上のグラフを参考に、発生原因別の初期対応についてまとめました。

なお、どのような原因であっても、まず責任者へ必ず報告するようにしましょう。

①個人情報を保存している媒体の紛失・盗難による漏洩

媒体の紛失や盗難に気づいたら、警察に『遺失物届』または『盗難届』を提出します。

その際、紛失・盗難した媒体の固有番号(製造番号など)や特徴があれば伝えておきましょう。

また、紛失・盗難された媒体内の情報でログインできるサービスやアカウントは、配信を停止させたり、パスワードを変更させたりするなどの対応が必要です。

②誤操作による漏洩

誤操作による漏洩では、２つのケースが考えられます。

個人情報を第三者に送ってしまった場合

メールやFAXなどで、誤って個人情報を送ってしまったときは、受信した相手に対し誤送信のおわびをした上で、個人情報の削除を依頼します。

ただし、受信した相手が必ずしも反応してくれるとは限りません。削除を拒否された場合にどのような対応をすべきかについては、ネット問題の解決が得意な弁護士を交えて相談することをおすすめします。

個人情報をネット上で公開してしまった場合

公開した情報は、速やかに削除しましょう。第三者からの指摘によって個人情報漏洩が発覚した場合、その人の氏名と連絡先を控えておきます。

③不正アクセスによる漏洩

不正アクセスによる漏洩の危険性があれば、ネットとの接続を遮断し、サービスを一時的に停止して他人がログイン・登録できないようにします。

個人情報のなかにクレジットカード情報が含まれている場合は、すぐにカード会社へや使用者へ連絡し、該当するカードの使用停止を求めることが必要です。

また、漏洩したことが確実であれば、警察へ通報します。

④ウイルスなどによる漏洩

ウイルスへの感染が発覚した場合、まずウイルスの種類を特定します(IPAやウイルス対策ベンダを参照)。また、種類の特定が難しい場合、システムをネットから切り離し、使用をやめ、専門家などに相談するようにしましょう。

⑤内部の者(関係者)がネット上に投稿したことによる流出

内部の者や関係者(元従業員)などが、個人情報を自社サイトや掲示版に投稿することによって、漏洩することがあります。第三者からの通報により発覚することがほとんどですので、通報した人の氏名と連絡先は控えておくようにしましょう。

このような投稿は、自分で削除することはできません。まず、投稿者に連絡を取り、投稿内容が個人情報に該当するので削除してもらうように伝えます。

それに対し、反応がない場合や、掲示板の性質上投稿者でも削除できない場合は、サイトの管理会社やプロバイダへ連絡し削除してもらいます。

会社が行うべき個人情報漏洩の予防と対策

会社がすべき個人情報漏洩の予防・対策として、ここでは6つご紹介します。

１：管理システムのセキュリティを常に最新の状態にする

あまりインターネットに詳しくない会社は、今まで１度も個人情報漏洩をしていないからと、セキュリティを更新せずに使用していることもあります。

社内のすべての管理システムを常に最新にすることで、ウイルス感染や不正アクセスといった外部からの攻撃を受けにくくすることができるでしょう。管理部を作り、一括で管理できるようにしておくと、更新漏れを防ぐことができます。

２：個人情報にアクセスできる人間を制限する

個人情報にアクセスできる人が多ければ多いほど、漏洩のきっかけも増えます。業務上で必要な人だけがアクセスできるように管理することが大切です。

３：個人情報を社外に持ち出させない体制をつくる

個人情報の社外への持ち出しは、紛失や盗難につながります。また、社外で作業する際、安易にFree Wi-Fiへつないでしまうと、そこからウイルスに感染したり、不正にアクセスされてしまったりするかもしれません。

それらを防ぐためには、個人情報の持ち出しを禁止する規定を作ったり、社外で作業する人は個人情報へアクセスしないようにしたりするなど、社内体制を整えていく必要があります。

４：個人情報保護に関するコンプライアンス研修を行う

体制を整えても、社員一人ひとりに個人情報漏洩の危機感とネットリテラシーがないと意味がありません。そのため、社員全員に個人情報を扱っている意識を持ってもらうための研修が必要です。

特に、被害が発生した場合の処罰、報告先、初期対応などをしっかり説明しておくことで、発生の抑止力となり、発生した場合も被害が軽減されることが期待できるのではないでしょうか。

５：個人情報が記載された書類を破棄する方法に注意する

どんなに些細な情報でも、個人情報に該当する場合、シュレッダーにかけるなど、廃棄方法には細心の注意を払いましょう。実際に、廃棄物から個人情報が流出した事例も過去にあります。

社内で、シュレッダーにかける書類の条件などを決めておくこともおすすめです。

６：ネット問題解決が得意な弁護士と顧問契約を結ぶ

個人情報を取り扱っている会社であれば、ネット問題解決が得意な弁護士と顧問契約を結ぶことをおすすめします。

顧問契約を結べば、個人情報の取り扱いなど法的な不安について、気軽に相談することができます。また、個人情報漏洩が発生した場合、適切な対処法を相談したり、報告書の作成を依頼したりすることが可能です。

個人情報漏洩が発生した場合の罰則

個人情報漏洩が発生した場合、どのような罰則が科されるのでしょうか。

個人情報漏洩が発生したとき、どのような罰則が科されるのか

個人情報保護法では、個人情報の漏洩（提供）に罰則が規定されています。内容によって懲役または罰金が科されます。

（参考：個人情報保護法第8章）

個人情報漏洩が発生した場合の対応の流れ

個人情報漏洩が発生した場合、基本的に下図のフローチャートに従って対応します。

(参考：IPA　独立行政法人　情報処理推進機構セキュリティーセンター)

STEP１｜責任者へ報告する

個人情報漏洩が発覚した場合、ご自身の判断で対応する前に、上司に相談し、個人情報を管轄している部署の責任者に報告します。

その際、正確な情報を共有するために、下のような共有シートの利用をおすすめします。

(引用：IPA　独立行政法人　情報処理推進機構セキュリティーセンター)

再発防止の参考になりますので、解決後も大切に保管しておくようにしましょう。

STEP２｜適切な初期対応を行う

報告を元に、対策本部を作り、今後の対応を決定します。

それと並行し、『適切な初期対応』を行い、被害の拡大や二次被害の発生を防止します。

STEP３｜漏洩状況を調査する

より具体的な原因や対応を行うためにも、『いつ、どこで、誰が、なぜ、なにを、どうしたのか』という５W１Hの観点から調査を行い、報告書を作成します。

原因や漏洩範囲など事実を証明するための証拠を確保することも重要です。

STEP４｜個人情報漏洩の事実を公表する

調査により、原因や被害状況の詳細が明確になり、今後の対応などが決まったら、監督官庁やIPAなどへ届出を提出し、その後、HPやマスコミへ公表します。

ただし、公表することにより、パニックや混乱などの二次被害が懸念される場合、公表の時期を検討しなくてはなりません。

STEP５｜復旧や事後対応を行う

停止していたアカウントや、サービスの復旧を行います。

事後対応としては、専門の相談窓口の設置や、被害が発生した場合に迅速な対応ができるような流れを作ることが大切です。

また、被害者に対する補償や関係者への必要な処分なども行います。

まとめ

万が一、個人情報漏洩が起こっても冷静に対応していくことが重要です。

また、発生してしまった場合は、今後の対応について弁護士に相談することをおすすめします。