国内外で発生した個人情報漏洩の事例について紹介します。これらの事例は、ランサムウェア攻撃や社員による不正持ち出し、紛失といった原因が多岐にわたります。企業や組織がこのような事態にどう対応すべきか、その重要な教訓も明らかにします。
個人情報漏洩の統計情報(2020年~2024年)
東京商工リサーチによると、2023年には上場企業およびその子会社が報告した個人情報漏洩・紛失事故は175件で、前年比6%増加しました。特に漏洩した個人情報は4100万人分に達し、前年の7倍以上となりました。2023年は、特に以下の特徴が見られました:
- ランサムウェアが最大の脅威となり、不正アクセスに関連する事故が93件に上った。
- 従業員の不正持ち出しが増加し、内部犯行が懸念されている。
TechCrunchのレポートによると、2024年のデータ漏洩はさらに悪化しており、10億件以上の個人情報が盗難されています。
代表的な個人情報漏洩の事例
1. Cash App社の元社員による不正持ち出し(米国)
- 漏洩内容:ユーザーのフルネーム、証券口座の情報、株式取引履歴
- 原因:退職後も元社員のアクセス権限が残っていたため不正なダウンロードが可能に
- 影響人数:820万人
- 教訓:退職者のアクセス権を即時削除するプロセスの重要性
2. SGMC社の元社員による医療データの持ち出し(米国)
- 漏洩内容:患者の名前、生年月日、検査結果
- 原因:不満を持った元社員がUSBにデータをダウンロード
- 対応:信用調査と個人情報盗難復旧サービスを提供
- 教訓:データへのアクセスを必要最低限に制限するアクセス管理が不可欠
3. Canvaのランサムウェア攻撃(オーストラリア)
- 漏洩内容:1億3700万人のユーザーの氏名、メールアドレス、暗号化パスワード
- 原因:攻撃者がネットワークへのアクセスを取得
- 教訓:迅速な侵害検出と影響を受けたユーザーへの通知が重要
4. 川崎重工業の欧州子会社への攻撃(ランサムウェア)
- 漏洩内容:487GBのデータ(詳細不明)
- 対応:サーバーを隔離し、90%以上のシステムを数日で復旧
- 教訓:迅速な被害対応と事前の戦略的復旧計画の有効性
5. テスラの機密情報漏洩(内部犯行)
- 漏洩内容:従業員情報、顧客データ、製造秘密
- 原因:元社員がメディアに情報を不正提供
- 影響人数:7万5000人
- 教訓:内部犯行のリスクを軽減するための監視体制の強化が必要
6. JETROのHDD紛失事件(日本)
- 漏洩内容:職員を含む5960件の個人情報
- 原因:HDDの保管場所からの紛失
- 教訓:物理的な情報管理の強化と、重要データのデジタル化の推進が求められる
7. 愛知県の公営住宅入居者情報の紛失(日本)
- 漏洩内容:入居者121世帯分の情報(家賃データ含む)
- 原因:強風の日に紙の書類を台車で運搬した際に紛失
- 教訓:データのデジタル化と、物理的な運搬方法の見直しが必要
8. 関西テレビのUSB紛失事件(日本)
- 漏洩内容:2491名の応募者の名前、住所、電話番号
- 原因:オフィス移転時にUSBメモリを紛失
- 教訓:移転作業時の徹底した管理と暗号化されたUSBの使用が推奨される
個人情報漏洩に伴う損害賠償の相場
- 基本的な連絡先情報の場合:1人あたり3,000円~5,000円
- センシティブな情報(金融・医療データなど):最大35,000円
- グローバルな制裁:
- Meta(旧Facebook):13億ドルの罰金(データの違法転送)
- Amazon:8億7700万ドルの罰金(GDPR違反)
まとめと対策
国内外の事例から、個人情報漏洩がいかに深刻な問題であるかがわかります。企業は、技術的対策だけでなく、内部管理体制の強化や迅速な対応が不可欠です。また、次の対策が効果的です:
- 内部アクセス管理:退職者や異動者のアクセス権を速やかに見直す
- ランサムウェア対策:バックアップと侵害の早期検出システムを整備
- 物理的な管理:紙媒体の運搬や保管には細心の注意を払う
- 教育と啓発:従業員へのセキュリティ教育を徹底する
漏洩のリスクは今後も増加するため、万全の準備を行い、予防策を講じることが重要です。
