９の事例から学ぶ、個人情報漏洩の危険性と対策

個人情報漏洩は人ごとではない、過去に起こった事件を紹介

個人情報の漏洩のニュースが流れるたび、セキュリティが甘いと思う人もいれば、明日は我が身と思う人もいることでしょう。いずれにせよ個人情報漏洩が大きな企業でも起こりうる身近な問題だととらえることが大切です。

まずは、主要な個人情報流出の事例とどんな損害になったかを見てみましょう。

フラット35を展開の優良住宅ローン、不正アクセスにより個人情報流出

2016年9月、長期固定型の住宅ローンを扱う民間金融機関「株式会社優良住宅ローン」が外部からの不正アクセスを受け、利用者約3万7,000人分の氏名や住所、勤務先、口座番号などの個人情報が流出しました。

参照：フラット35を展開の優良住宅ローン、不正アクセスにより個人情報流出

標的型攻撃によりJTBの個人情報が流出

2016年3月、JTBの子会社でのネットサービスで793万人もの個人情報流出事件が起きました。ウイルスメールによるもので、標的型攻撃メールを社員が開封してしまいウイルスに感染。遠隔操作によりデータベースにアクセスされ、その結果、住所・氏名・電話番号・メールアドレス、さらには4,300件の有効なパスポート番号までが流出しています。

参照：ＪＴＢ、最大７９３万人分の情報流出か　不正アクセスで

リクルートキャリアが約3万7000件の個人情報を誤送信

2015年12月、大手転職サイトのリクルートキャリアが、年収750万以上を対象としたハイクラス転職サイト「CAREER CARVER」に登録している会員の氏名、生年月日、年収、職歴、学歴などの個人情報を、業務委託先にメールで誤送信してしまうという流出事件がありました。

参照：３．７万人分の個人情報流出　リクルート系列転職サイト

新日本プロレス　約１万８０００件の顧客情報流出

2015年4月、新日本プロレスの公式サイトへの不正アクセスにより、公式サイト内でチケット購入、オフィシャルファンクラブ入会・更新を行った最大1万8,000件の個人情報が流出しました。

参照：新日本プロレス　約１万８０００件の不正アクセス顧客情報流出で謝罪

サカイ引越センター　406名の個人情報廃棄

2022年3月、サカイ引越センターの社員が、本来ならば社内でシュレッダーにかけて廃棄しなければならない見積書を持ち帰り、自宅でゴミ収集所に廃棄するという事案が発生しました。メールアドレスや氏名等が記載されていましたが、書類は回収されたと発表されています。

日本年金機構個人情報流出事件

2015年5月、日本年金機構から約125万件の個人情報（基礎年金番号、名前、住所、生年月日等）が流出し、国内公的機関としては史上最大の流出事件となりました。こちらも、ＪＴＢ同様、ウイルスメールによる不正アクセスでした。

参照：年金機構流出：３度の判断ミスで流出拡大

日本航空及び全日空での個人情報流出事件

2021年3月、JAL（日本航空株式会社)及びANA（全日本空輸）で、複数の航空会社に予約システムなどを提供するSITA社への不正アクセスを原因として、両社のマイレージ会員の氏名、会員番号が流出する事件がありました。JALが約92万人、ANAが約100万人分の情報が被害にあいました。

東京都教育庁でメールアドレスの誤配信

2021年12月に、東京都教育庁が、文書を133件の担当者に対してメール送信する際、誤ってメールアドレスをBCC欄ではなく、宛先欄に入力して送信したため、同時に送信した送信先メールアドレスが他者に流出するという事故が発生しました。

ベネッセ個人情報流出事件

2014年6月に発生した、ベネッセホールディングスの個人情報流出事件は、約3500万件の顧客情報が流出したことで、世間を大きく騒がせました。この事件は、ベネッセホールディングスの業務委託先の社員が、サービス登録者氏名、性別、生年月日、住所、電話番号等の個人情報を、名簿業者3社に売却していたというものでした。

この事件が個人情報保護法の改正内容にも影響を与えたとも言われています。

参照：【続報】対象者は4000万人超か、ベネッセ個人情報漏えいの調査経緯https://www.benesse.co.jp/customer/bcinfo/01.html

そもそも個人情報漏洩とは？

個人情報とは、個人情報保護法によれば、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるものや、パスポート番号や年金番号などの個人識別符号と呼ばれるものをいいます（個人情報保護法2条1項）。

そして、「漏洩（漏えい）」とは外部に流出することをいいます。

例えば、不正アクセス等により個人情報が外部に流出する場合はよくありますが、それ以外でも、メールを誤送信した場合や、個人情報が記載された書類やUSBメモリーを紛失した場合も、漏洩にあたります。

個人情報の漏洩がますます問題に!?

今年（2022年）4月1日に施行された個人情報保護法には、個人情報が漏洩した場合で個人の権利利益を害するおそれが大きいものについては、個人情報保護委員会に報告しなければならない、という規定が新設されました。

この義務は事業主の規模により変わるものではありません。そのため、個人情報を取り扱う全ての業者が対象になります。

個人情報が漏洩しないように、仕組みを作ることが益々重要となりました。

なお、「個人の利益を害するおそれが大きい」場合として下記4例が定められています。

①要配慮個人情報が含まれる個人データ（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第1項において同じ。）の漏えい、滅失若しくは毀損（以下この条及び次条第1項において「漏えい等」という。）が発生し、又は発生したおそれがある事態

②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

個人情報漏洩による企業や組織はどんなダメージを受けるのか？

　個人情報漏洩により、企業や組織が受けるダメージとしては、下記のようなものがあげられます。

消費者や取引先への損害賠償

 情報が漏洩したことにより、顧客である消費者や、取引先に、実害が生じている場合、損害賠償を請求され、支払わなければならなくなります。また、個人情報の漏洩により、精神的な苦痛を受けたとして、慰謝料を請求されることもあります。なお、先に紹介したベネッセの顧客流出事件では、各地で訴訟が提起されましたが、慰謝料の金額は0円（認められなかった）から5000円程度の範囲となっています。

損害賠償以外でもコストがかかること

先述したように、個人情報が流出し個人の利益を害するおそれが大きい場合は、個人情報保護委員会への報告が必要ですし、規模が大きくなれば、社内調査にコストがかかる可能性もあります。

企業のイメージダウン

情報漏洩の場合、何より、企業のイメージダウンや風評被害のリスクが高まります。

報道される場合もありますし、ＳＮＳ等で拡散され、被害が大きくなることもあります。特に、情報漏洩の対策がお粗末だったり、怠っていたような場合では、ＳＮＳで炎上する可能性も高いといえます。 

個人情報漏洩には早めの対策を

個人情報漏洩及びそこから生じる法律問題についての対策について解説お願いいたします。

個人情報保護法が求める安全管理措置とは？

個人情報保護法は20条において、安全管理措置をとることを求めています。これは、漏洩防止も含めた個人情報の適切な管理、取扱いを求めるものです。

安全管理措置については、ガイドラインにて、詳しく説明されています。その内容を、組織的、人的、物理的、技術的な観点から分けて具体例を紹介しています。

まずは社内規定を整備することがあげられています。

組織的安全管理措置としては、情報を扱う責任者を決めて、社内の運用を定めることなどが書かれています。

人的安全管理措置としては、従業員に定期的に研修することが書かれています。

物理的安全管理措置としては、個人情報を保管する区域を分けて施錠管理したり、個人情報が入った電子機器の取扱いを注意することがあげられています。

まだ、技術的安全管理措置として、アクセス制限や外部からの不正アクセスの防止があげられています。

これらの例を参考に自社に必要と思われる安全管理措置を構築していくことが重要です。

情報漏洩＝不正アクセスではありません

 先の情報漏洩事故の事例を見ると、不正アクセスによるものが多いとはいえますが、これだけではありません。

引越しのサカイの場合は、社内の運用に反して従業員が書類を持ち出したことが原因です。社内規定や運用の徹底が不十分だったと言えるでしょう。

また、東京都教育庁の場合は、メールをBCCではない方法で送信したという、初歩的な人的ミスです。しかし、どこにでも起こりうるものです。

つまり、個人情報の漏洩は、不正アクセスなどの外的かつ違法なものだけが、原因となるのではなく、メールを誤って送信するような、身近でよくあるミスから起こりうることを、理解することが大切です。

また、個人情報を取り扱う業務を外部業者に委託している場合には、委託先を監督する必要があります。監督の一環として、委託契約書に情報の管理や、情報漏洩の場合の義務等をしっかりと盛り込んでおくことも必須です。先のJALやANAの事例も、委託先からの情報漏洩と言えるでしょう。

弁護士が教える情報管理のポイント

 先に述べた安全管理措置を講じることが大切です。とくに、自社の規模、取り扱う個人情報の内容や量、管理の方法に適したものにすることが大切です。

また社内で運用を徹底し、従業員にも意識と内容を落とし込むことも重要です。

サイバーセキュリティサービスを利用することも良いと思います。外部講師を利用して従業員にセミナーをすることもよいでしょう。

伊奈先生からのメッセージ

改正された個人情報保護法の施行が今年4月にされたため、個人情報の漏洩防止については、これまで以上に取り組む必要があります。

サイバーセキュリティも大切ですが、それ以外でも対策しなければならないことは多々あります。

遅すぎることはありません。

今からでも、社内体制やシステムの見直しをすることが大切です。