「情報漏洩は大企業の話で、うちには関係ない」そう思っていた企業が、ある日突然、顧客情報の漏洩を起こしてしまう。
こうした事例は決して珍しくありません。
情報漏洩は、企業規模にかかわらず起こりうるリスクです。
近年は法改正の影響もあり、これまで表に出にくかった事故も公表されやすくなっています。
事故を防ぐうえで大切なのは、他社でどのような漏洩事故が起きたのかを知ることです。
事例を知ることで、自社にも起こりうるリスクとして捉えやすくなり、具体的な対策を考えるきっかけになります。
そこでこの記事では、実際の情報漏洩事例をもとに、企業が見直したい原因と再発防止策を解説します。
情報漏洩の事例を学ぶ前に知っておきたい現状
情報漏洩対策を考えるうえでは、知識だけでなく、実際にどのような事故が起きているのかを知ることも大切です。
この章では、まず情報漏洩の現状を整理します。
情報漏洩の報告件数は年々増加している
個人情報が外部に漏れてしまう事故は、以前に比べて明るみに出やすくなっています。
法改正により、企業が国に報告しなければならないケースが明確になり、表に出にくかった事故が公表されるようになったことも原因です。
東京商工リサーチの調査(2024年1月公表)によると、2023年に上場企業・子会社が公表した個人情報漏洩・紛失事故は 175件(前年比6.0%増) で、調査開始(2012年)以来3年連続の最多更新となりました。
漏洩した個人情報は 4,090万人分超 にのぼり、前年と比べ590%増えています。
参考:東京商工リサーチ「2023年の個人情報漏えい・紛失事故」(2024年1月)
件数が増えている背景には、主に3つの理由があります。
| 要因 | 内容 |
|---|---|
| デジタル化によって情報の保存場所が増えた | クラウド・メール・スマートフォンの普及で、情報が多くの場所に分散して存在するようになった |
| 攻撃の手口が巧妙になった | 偽メールや身代金要求型ウイルスなど、手口が年々進化している |
| 報告が義務化されて「見えるようになった」 | 法改正で報告が必須になり、以前なら社内処理で終わっていた事案が表面化するようになった |
このように情報漏洩は、一部の大企業だけが気にすればいい話ではありません。
規模を問わず、多くの企業にとって「経営を揺るがしかねないリスク」として向き合う必要があります。
同じ事故が繰り返されている
情報漏洩の原因は毎年ほぼ同じパターンを繰り返しています。「メールの誤送信」「USBメモリの紛失」「社内の人による不正」「外部からの不正アクセス」などです。
同じ事故が繰り返される一番の原因は、「自社には関係ない」という思い込みです。
他社の情報漏洩ニュースを見ても「大企業の話だから」「特殊な状況だったのだろう」と流してしまい、自社を見直すきっかけにしない企業が多いのが実態です。
事例から学ぶことが効果的な理由は3つあります。
- リアリティを持ってリスクを理解できる
- 優先して対策すべきポイントが見えやすくなる
- 社員教育の教材として使いやすい
他社の事例は、他人事ではなく、自社のセキュリティを見直す教材として役立てましょう。
他にも情報漏洩が起こってしまう原因に関しては、以下のページでまとめています。
▶情報漏洩の原因ランキング|企業で多い原因と種類別の対策を解説
有名企業の個人情報漏洩事例
この章では、実際に起きた事例を解説します。
それぞれの事例から、自社の対策に活かせるポイントを確認してください。
- 【この章で紹介する事例】
- ①アフラック生命保険:委託先への不正アクセスで顧客132万人分の情報が流出
- ②兵庫県尼崎市:全市民46万人の情報が入ったUSBメモリを紛失(2022年)
- ③社内資料のメール誤送信
- ④NTTビジネスソリューションズ:元派遣社員による928万件の顧客情報の不正持ち出し(2023年)
①アフラック生命保険:委託先への不正アクセスで顧客132万人分の情報が流出
2023年1月、アフラック生命保険が業務を委託していた先のサーバーが不正アクセスを受け、がん保険の加入者132万3,468人分の個人情報が外部に流出しました。
流出した情報は、保険加入者の氏名・性別・証券番号・契約内容・保障額・保険料などです。
ほぼ同じ時期にチューリッヒ保険でも同様の事故が起き、大手保険会社2社で合計200万件超の流出となり、社会的に大きな問題となりました。
参考:アフラック生命保険「個人情報流出に関するお詫びとお知らせ」
この事例から学べることは以下のとおりです。
| 項目 | 内容 |
|---|---|
| なぜ起きたか | 業務委託先のサーバーのセキュリティ管理に不備があり、そこを突かれた |
| 会社が受けた影響 | 信用の失墜・お客さま対応のコスト急増・個人情報保護委員会への報告義務の発生 |
| 防ぐためのポイント | 外部に業務を委託する際は、委託先のセキュリティ水準を定期的に確認し、委託契約にセキュリティの要件を明記しておくことが重要 |
| 中小企業へのヒント | ECサイトやクラウドサービスの運用を外部委託している場合、委託先でのリスクは自社のリスク。利用しているサービスのアップデートを怠らないことが最低限の備えになる |
②兵庫県尼崎市:全市民46万人の情報が入ったUSBメモリを紛失(2022年)
2022年6月、尼崎市が業務を委託していた事業に関連し、再々委託先の従業員が、市民約46万人分の住民情報などを保存したUSBメモリーを一時紛失しました。
USBメモリーは、業務用データを無断で持ち出した後、飲食を伴う私的行動の中で入ったかばんごと紛失したものです。
調査報告書では、USBに保存されていたファイルとして460,517人分と459,582人分のデータが確認されています。
その後、USBメモリーは発見され、尼崎市は個人情報の漏洩は確認されなかったと公表しました。
参考:尼崎市公式HP「個人情報を含むUSBメモリーの紛失事案について」/BIPROGY株式会社「USBメモリー紛失事案について」
この事例から学べることは次のとおりです。
| 項目 | 内容 |
|---|---|
| なぜ起きたか | 委託先管理が甘く、再々委託先の従業員がUSBにデータを保存して持ち出していた |
| その後の経緯 | USBは発見され、漏洩は確認されなかった。尼崎市は2023年6月に損害賠償を請求した |
| 防ぐためのポイント | USB利用の制限、持ち出しルールの明確化、認証情報の適切な管理、委託先まで含めた運用確認が重要 |
| 中小企業へのヒント | 委託先の事故でも委託元の責任は問われる。再委託やUSB利用、データ持ち出しの管理まで確認したい |
③社内資料のメール誤送信
社内資料を誤って関係のない人や社外の相手に送ってしまう事故は、社内の信頼関係を損なう深刻な事案です。
2022年5月には野村不動産がメール誤送信により、サービス会員1,023件のメールアドレスを流出させた事案が公表されています。
また、健康診断結果のような要配慮個人情報が含まれる漏洩等は、2022年4月1日から施行された制度上、個人情報保護委員会への報告と本人通知が必要となる対象です。
東京商工リサーチの2023年調査では、「誤表示・誤送信」は175件中43件(24.5%)を占め、不正アクセスに次ぐ原因となっています。
参考:野村不動産株式会社「電子メール誤送信による個人情報の流出に関するお詫び」/東京商工リサーチ「2023年の個人情報漏えい・紛失事故」
この事例から学べることは次のとおりです。
| 項目 | 内容 |
|---|---|
| なぜ起きたか | 送り先の確認不足や、BCC・CC・宛先の使い分けミスといった基本的な確認漏れ |
| 防ぐためのポイント | 送信前に送り先、宛先設定、添付ファイルの中身を確認するルールを設けること |
| 中小企業へのヒント | 「社内の資料だから大丈夫」という油断が事故を招く 特に要配慮個人情報を扱う場合は、通常の個人情報以上に慎重な管理が必要 |
④NTTビジネスソリューションズ:元派遣社員による928万件の顧客情報の不正持ち出し(2023年)
NTTビジネスソリューションズに派遣されていた元社員が、約10年にわたりコールセンター業務の顧客情報を不正に持ち出し、名簿業者に提供していた事案です。
漏洩した個人データ等は、最終的に約928万人分にのぼりました。
個人情報保護委員会は、NTTマーケティングアクトProCXとNTTビジネスソリューションズに対して勧告・指導を行っています。
参考:NTTビジネスソリューションズ公式「お客さま情報の不正流出について(続報)」/個人情報保護委員会 勧告資料(PDF)
この事例から学べることは次のとおりです。
| 項目 | 内容 |
|---|---|
| なぜ起きたか | 正規のアクセス権を持つ人物による内部不正が、長期間見逃されていた |
| 会社が受けた影響 | 個人情報保護委員会から勧告・指導を受け、約928万人分の対応が必要になった |
| 防ぐためのポイント | アクセスログの確認や、大量持ち出しを検知する仕組みづくりが重要になる |
| 中小企業へのヒント | 信頼している社員でも不正は起こり得るため、権限管理とログ監視が必要になる |
メール誤送信による情報漏洩の事例と対策
「メールの誤送信」は、国内で最も発生件数が多い漏洩の原因のひとつです。
ここでは代表的なパターンを表形式で簡単にご紹介します。
| パターン | 主な原因 | 対策の概要 |
|---|---|---|
| BCC/CC設定ミスによる一斉送信 | 確認不足・操作ミス | BCC徹底ルールの周知・誤送信防止ツールの導入 |
| 添付ファイルの誤送付 | ファイル名の類似・内容未確認 | 送信前の添付ファイル内容確認の義務化 |
| 偽メールへの誤返信 | 送信元確認不足・訓練未実施 | 模擬訓練の定期実施・送信元アドレスの確認を習慣化 |
メール誤送信による情報漏洩は実務のなかでも発生しやすいため、企業規模に関わらず対策が必要です。
メールの情報漏洩についての対策は、以下のページでも詳しく解説しています。
▶メールで起こる情報漏洩の対策|企業が見直したい誤送信防止のポイント
中小企業・小規模事業者の情報漏洩事例
「大企業の事例は規模感が違いすぎる」と感じる方向けに、この章では中小企業に起きやすい漏洩のパターンを解説します。
セキュリティ体制の不備を突かれた中小企業の事例
中小企業では、セキュリティの専任担当者がいないために、簡単に推測できるパスワードが長年放置されていたり、VPN機器のアップデートが行われないまま穴が残り続けたりという状態が、不正侵入の入口になります。
警察庁の調査によると、不正アクセス被害の多くは「パスワードを盗まれる・推測される」ことが原因です。
また2023年の身代金要求型ウイルス(ランサムウェア)の被害報告は197件(前年比+63件)で、被害を受けた組織の約6割が中小企業でした。
参考:警察庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(令和5年)」 / 警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
中小企業でよく見られる危険な状態として、以下のようなものがあります。
| 項目 | 内容 |
|---|---|
| パスワードの使い回しや単純すぎるパスワード | 「Password123」や「会社名+年号」のような推測されやすいパスワードを、何年も変えずに使い続けている状態 |
| VPN機器・ルーターのアップデート放置 | 担当者の変更などをきっかけに、VPN機器やルーターのアップデートが止まり、脆弱性が放置されている状態 |
| 二段階認証(多要素認証)の未設定 | IDとパスワードだけでログインできる状態のまま、クラウドサービスに大量のデータを保存している状態 |
これらは「気づいていないから放置されている」ケースがほとんどです。
まず自社の現状を確認してください。
また、パスワードの作り方については、以下のページで詳しく解説しています。
▶面白いパスワード8桁では危険!最強のパスワードの作り方と例を解説
退職・転職に伴う情報持ち出しの事例(中小企業版)
中小企業では「お客さまは自分が開拓した」という意識から、退職の際に顧客情報を持ち出し、独立後や転職先で使い続ける元社員のケースが後を絶ちません。
規模が小さい会社ほど、社員とお客さまの関係が個人レベルになりやすく、「会社の顧客情報」と「個人の人脈」の区別が曖昧になります。
退職時の情報持ち出しを防ぐために、最低限やっておきたいことは以下のとおりです。
| タイミング | やること |
|---|---|
| 入社時・退職時 | 守秘義務の誓約書を交わす(法的根拠を整備し、不正行為の抑止力にする) |
| 退職を申し出た後 | アクセスできる範囲を引き継ぎに必要な範囲に絞り、大量ダウンロードを監視する |
| 退職日当日 | チェックリストをもとに、すべてのアカウントを漏れなく削除する |
「辞めてから気づいた」では遅いため、退職者対応の手順をあらかじめルール化しておくことが重要です。
取引先経由で被害を受けた事例(サプライチェーン攻撃)
大手企業と取引している中小企業は、「大手企業への攻撃の足がかり」として狙われ、自社だけではなく取引先全体に被害が広がるケースもあります。
IPA「情報セキュリティ10大脅威」でも、取引先を経由した攻撃(サプライチェーン攻撃)は企業向け脅威の上位に挙がっています。
中小企業がこの種の攻撃を防ぐために取り組むべきことは以下のとおりです。
| 取り組みポイント | 内容 |
|---|---|
| 取引先から求められるセキュリティ対策の確認・対応 | 大手企業からアンケートや調査依頼があった場合は、自社の対策状況を把握するよい機会として活用する |
| VPN・メールの設定見直し | 外部からの踏み台として使われやすいVPNとメールのセキュリティを優先的に強化する |
| 不審なアクセスやメールに早期に気づく体制づくり | 自社のシステムが攻撃の通り道になっていないかを早めに確認できる体制を整える |
取引先への被害にまで発展すると、信頼回復は容易ではありません。
「自社だけの問題」という認識を改め、取引先も含めたセキュリティの視点を持つことが求められます。
企業のサイバーセキュリティ対策なら
初めてセキュリティ対策に取り組むのであれば、 まずは、ウイルス対策とUTMの導入がおすすめです。
最近の個人情報流出ニュース
情報漏洩によるトラブルは、日々発生しています。
ここでは、最近公表された個人情報流出ニュースを見ていきましょう。
最近の個人情報流出一覧
以下は、2026年2月〜4月に公表された主な個人情報流出事例です。
どのような組織で、どのような原因によって事故が起きているのかを見ていきましょう。
| 公表時期 | 企業・団体名 | 概要 | 主な原因 | 出典 |
|---|---|---|---|---|
| 2026年3月 | 大阪マラソン2026 | ボランティア登録者4,101人の個人情報が、一定期間ほかの登録者から閲覧できる状態になっていた | システム設定ミス | 大阪市「大阪マラソン2026における個人情報の漏えいについて」 (大阪市公式サイト) |
| 2026年3月 | 埼玉大学 | 委託先が運用する特許管理システムへの不正アクセスにより、関係者1,516人の情報が外部から閲覧された可能性がある | 委託先サーバーへの不正アクセス | 埼玉大学「本学が委託する特許管理システムへの不正アクセスについて」 (埼玉大学) |
| 2026年2月 | 日本医科大学武蔵小杉病院 | ランサムウェア攻撃により、患者の個人情報が漏えいしたと公表 | サイバー攻撃(ランサムウェア) | 日本医科大学武蔵小杉病院「当院へのサイバー攻撃による個人情報漏洩に関するご報告とお詫び」 (名古屋医療科学大学) |
| 2026年3月 | ローソン銀行 | 業務委託先・再委託先の管理下で、ATM取引記録を保存した媒体の所在不明が判明 | 記録媒体の管理不備 | ローソン銀行「回収済みATM用記録媒体2個の所在不明事案の発生について」 (lawsonbank.jp) |
このように、最近の個人情報流出ニュースには、企業や団体の規模を問わず、さまざまなパターンの事故が含まれています。
「自社とは関係のない特殊な事例」と捉えるのではなく、同じような弱点がないかを確認する視点で見ることが大切です。
個人情報が流出するとどうなる
個人情報が流出すると、まず企業は事実確認、原因調査、関係者対応に追われます。
さらに、個人の権利利益を害するおそれがある漏えいでは、個人情報保護委員会への報告と本人への通知が必要です。
実際のニュースを見ても、流出そのものだけでなく、対象者への連絡、問い合わせ窓口の設置、謝罪、公表、再発防止策の実施まで求められています。
たとえば大阪マラソン2026では、対象者4,101名へのメール連絡と専用窓口の設置が行われ、埼玉大学でも個別通知を順次実施するとしています。
個人情報流出の影響は「情報が漏れること」だけではありません。
信用低下、対応コストの増加、顧客や取引先への説明負担、再発防止のための社内見直しまで含めて、企業全体に大きな負担が広がります。
最近の個人情報流出ニュースは、その重さを示す材料としてチェックしておきたいところです。
情報漏洩事例から学ぶ再発防止策
事例を知ることが目的ではなく、「自社の対策に活かすこと」が本来の目標です。
各原因ごとの防止ポイントを、以下の表でまとめました。
| 原因 | 主な防止ポイント |
|---|---|
| メール誤送信 | 送り先・添付ファイルの中身・本文の3点を送信前に確認するルールを作る。BCC送信の徹底と、送信を一時保留できるツールの導入も効果的 |
| USBメモリ・外部媒体の紛失 | 個人所有のUSBを禁止し、会社支給の暗号化済みUSBのみ使用。USBポートを制限するソフトの導入も有効 |
| 内部の不正持ち出し | 必要な人だけがデータにアクセスできる仕組みを作る。アクセス記録を残して定期確認し、退職日にはアカウントをすぐ削除する |
| 外部からの不正アクセス | パスワードの強化・二段階認証の設定・機器のアップデートを怠らない |
情報漏洩の対策については、以下のページで詳しく解説しています。
よくある質問
最後に情報漏洩でよくある質問を紹介します。
Q. 情報漏洩の事例で最も多い原因は何ですか?
日本では「メール誤送信」「USBや記録媒体の紛失・置き忘れ」「外部からの不正アクセス」が上位を占めています。とくにメール誤送信は中小企業でも頻発するため、まず取り組むべき原因のひとつです。
Q. 個人情報が漏洩した場合、企業はどのような損害を受けますか?
信用の失墜・損害賠償・行政からの指導や命令・業務停止・取引先の離脱などが代表的です。また、隠蔽が発覚した場合は賠償額がさらに大きくなるリスクがあります。
Q. 誤送信メールで情報が漏洩した場合、どう対応すればよいですか?
まず受信者に削除をお願いする連絡をします(電話が確実です)。次に社内の責任者やセキュリティ担当者に報告してください。個人情報が含まれている場合は、個人情報保護委員会への報告が必要かどうかも確認します。誠実なお詫びと再発防止策の公表も、信頼を回復するうえで大切です。
Q. 中小企業でも情報漏洩の事例はありますか?
あります。むしろ、セキュリティ体制が整っていない中小企業のほうが攻撃者にとって「狙いやすい標的」です。内部の不正・メール誤送信・USBの紛失は企業規模に関係なく起きており、大手企業への攻撃の足がかりとして中小企業が狙われるケースも増えています。
まとめ
情報漏洩の事例を知ることで、自社で起こりうるリスクを理解し、防止策を考えられます。
【この記事の要約】
・情報漏洩は大企業だけでなく中小企業でも起こっている
・漏洩件数は増えており、事故は表面化しやすくなっている
・メール誤送信、USB紛失、内部不正、不正アクセスは繰り返されやすい原因である
・他社の情報漏洩事例を知ることで、自社の弱点が見えやすくなる
・再発防止には、ルール整備、権限管理、教育、システム対策が欠かせない
・中小企業では、委託先管理や退職者対応も含めた見直しが重要になる
情報漏洩対策は、人的ミスへの備えと、外部攻撃への備えをあわせて進めることが大切です。
UTMをはじめとしたサイバーセキュリティ対策も取り入れながら、自社に合った守り方を整えましょう。
