漏えい・紛失事故 年次推移

写真拡大 (全3枚)

 日本年金機構やベネッセなど個人情報の漏えいや流出事故が相次いでいる。 2012年1月から今年6月15日までに上場企業と主要子会社で個人情報の漏えい・紛失事故を公表した企業は179社、事故件数は288件にのぼった。漏えいした可能性のある個人情報は累計で最大7,148万人分に及ぶことがわかり、日本の人口の2人に1人の割合に匹敵する。
 2014年7月に発覚したベネッセホールディングス[(株)ベネッセコーポレーション]では、3,504万人分の個人情報が漏えいし、漏えい・紛失した個人情報全体の約5割を占めた。
 288件のうち、個人情報が1万件以上漏えい・流出した事故は37社で39件(構成比13.5%)発生した。原因別では288件のうち、書類等の紛失や誤廃棄が130件(同45.1%)と半数近くを占めた。社会問題化しているウイルス感染や不正アクセスによる情報流出は53件(同18.4%)と全体の約2割だった。ただ、1事故あたりの情報漏えい・紛失の平均件数は、紛失・誤廃棄が6万6,150件に対し、ウイルス感染・不正アクセスは8倍以上の56万5,209件に達し、深刻なウイルス感染・不正アクセス被害が浮き彫りになった。

  • 本調査は2012年1月〜2015年6月15日までの上場企業と主要子会社の情報漏えい・紛失事故を、プレスリリース・お知らせ・お詫びなど自主的な開示に基づき発表日ベースで独自集計した。個人情報は氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、「漏えいの可能性がある」ものも含む。

情報漏えい・紛失事故 2015年は6月15日時点で31社、40件が発生

 2012年1月以降に発生した個人情報漏えい・紛失事故を年別にみると、2013年(87社、漏えい・紛失事故件数107件)が最も多く、2014年は(59社、同70件)と減少した。ただし、2015年(1月〜6月15日)は31社、40件発生しており、前年を上回るペースで推移している(年毎に集計しているため社数の合計は179社を上回る)。

1万件未満の漏えい・紛失事故が8割以上を占める

 事故件数288件のうち、漏えい・紛失件数が最も多かったのは100件未満で95件(構成比32.9%)だった。書類などの紙媒体や個人利用の携帯電話を紛失したことによる顧客情報の紛失が中心。以下、100件以上1,000件未満が78件(同27.0%)、1,000件以上1万件未満が67件(同23.2%)と続き、1万件未満が8割以上を占めた。
 ただ、100万件以上の漏えい・紛失は4件(同1.3%)発生した。上位4件の漏えい・紛失件数の合計は6,776万人分の個人情報で、全体の9割以上におよんだ。

漏えい・事故件数最多はNTTグループ

 2012年1月以降、漏えい・紛失事故が最も多かったのはNTT(日本電信電話)で、合計21回だった。100%子会社のエヌ・ティ・ティ・コミュニケーションズ(株)、西日本電信電話(株)、東日本電信電話(株)などで発生した。
 次いで、りそなホールディングス[(株)りそな銀行、(株)埼玉りそな銀行、(株)近畿大阪銀行]の9回、東京ガス、パナソニックの各7回と続く。
 電話、ガス、金融など公共性が高い企業は保有する個人情報が多いことに加え、徴収業務などは人海戦術で多数の従業員が個人情報に触れる機会がある。顧客が記入した申込書や伝票などを業務中に紛失するケースなども目立った。

最悪の漏えい・紛失件数はベネッセホールディングスの3,504万件

 1件の事故で漏えい・紛失件数が最大だったのは、ベネッセホールディングス[(株)ベネッセコーポレーション、2014年7月発生]の3,504万件で、断トツだった。委託先社員による不正取得と転売が明るみになり、刑事事件に発展した。次いで、外部からの不正アクセスを受け最大2,200万件のIDが外部流失した可能性を公表したヤフー(2013年5月発生)、合計672万人分の過去の顧客取引データを記録したコムフィッシュ(記録メディア)を紛失した三菱UFJフィナンシャル・グループ[(株)三菱東京UFJ銀行、2012年11月発生]と続く。いずれも膨大な顧客情報を管理する大手企業で発生し、情報管理の難しさを露呈した。

原因別 最多は紛失・誤廃棄

 情報漏えい・紛失事故288件のうち、主な理由として最も多かったのは「紛失・誤廃棄」の132件(構成比45.8%)だった。次いで「誤表示・誤送信」が59件(同20.5%)、「ウイルス感染・不正アクセス」が53件(同18.4%)と続く。
 最も多かった「紛失・誤廃棄」は、書類や記録メディアを廃棄処分していた事が社内調査等で判明したケースがほとんどで、実際に社外へ流失した可能性は低いとみられる。「誤表示・誤送信」は、システムトラブルや管理者の人為的なミスを中心に発生している。
 1事故あたりの情報漏えい・紛失件数の平均では「盗難」が120万8,728件と突出したが、これは顧客データを不正取得されたベネッセホールディングスが押し上げたため。紙媒体が中心の「紛失・誤廃棄」と、機械的に情報を抜き取る「ウイルス感染・不正アクセス」との間には情報漏えい・紛失件数で8倍以上の差がみられ、流出した際の被害の深刻度はケタ違いになる恐れがある。

媒体別 システム・サーバーと個人利用のパソコン・携帯電話では大きな差

 情報漏えい・紛失事故288件のうち、原因となった媒体別では「書類」が124件(構成比43.1%)と最も高く、4割を占めた。次いで社内システム・サーバーが91件(同31.6%)、チップやフィルム等の記録メディア29件(同10.1%)の順。
 1事故あたりの情報漏えい・紛失件数の平均では、社内システム・サーバーでのトラブルが最も件数が多く、利用範囲が個人に限られるパソコンや携帯電話などの端末は、情報漏えい・紛失件数も比較的少ない結果となった。

産業別 金融・保険業が最多 書類などの紛失が中心

 情報漏えい・紛失事故が発生した179社のうち、産業別で最も多かったのは金融・保険業の38社(漏えい・紛失事故66件)だった。次いで、製造業(31社、同44件)、小売業(28社、同36件)と続き、上位4産業で全体の社数の約7割を占めた。
 金融・保険業の66件の内訳をみると、過去の帳票や取引データ等の紛失・誤廃棄が50件で最多。紙媒体の書類や記録メディアなどを支社店で紛失してしまったケースが多い。一方、情報・通信業(19社)は社数ベースでは5番目だが、件数ベースでは金融・保険業に次いで48件と2番目に多い。このうち最多はウイルス感染・不正アクセスで21件、データの誤送信やサイト上での誤表示による情報漏えいが12件と続き、産業別で特徴的な傾向が出た。

市場別 東証1部上場企業が8割以上

 情報漏えい・紛失事故が発生した179社のうち、上場市場別で最多は東証1部で、151社(構成比84.4%)だった。業界大手など企業規模が大きく、取り扱う個人情報も膨大なほか、コンプライアンス対策の整備が進み、情報開示に関する業務フローが徹底されていることも背景にあるとみられる。
 こうした反面で、大企業や中堅企業などの規模に関係なく、情報漏えい・紛失事故が発生しても開示せず、表面化しないままとなっている可能性も否めない。

 日本年金機構は6月1日、職員の端末がウイルスメールに感染したことから約125万人の年金情報が漏えいしたことを発表した。これに便乗した詐欺事件なども発生し、大きな社会問題となっている。また、過去最大規模の顧客情報の漏えいが発生したベネッセホールディングスは、顧客情報漏えいに伴う情報セキュリティ対策費として、2015年3月期決算で268億3,800万円の特別損失を計上、107億500万円の連結最終赤字に陥った。
 公的機関と同様、膨大な個人情報を保有する民間企業にとっても情報漏えいや流失事故は信用毀損に繋がるとともに、経営を揺るがす大きなリスク要因として浮上している。マイナンバー制度の導入を今秋に控え、企業はこれまで以上に情報管理に対する厳格な取り組みが求められている。
 一方、これまで発生した情報漏えい・紛失事故では、プレスリリースで発表するケースや、ホームページ上での公表にとどまるケースなど、上場企業の開示方法も様々であることがわかった。今回の調査ではこうした企業の自主的な開示情報をもとに集計したが、表面化している情報漏えい・紛失事故が、実際は氷山の一角である可能性も否定できない。
 上場企業には経営の透明性と高い情報公開が求められている。情報漏えい・紛失事故は社会に多大な影響を及ぼす可能性があるだけに関心も高まっており、企業の情報開示のルール整備と徹底が早急に求められている。