2023年の個人情報漏えい・紛失事故、件数・人数ともに過去最多

東京商工リサーチ(TSR)が1月19日に発表した調査結果によると、2023年に明らかになった個人情報漏えい・紛失事故の件数は175件、流出・紛失情報は4090万人分で、いずれも同社が調査を開始した2012年以降で最多だった。

2023年は事故件数と情報漏えい人数が過去最多

2023年の事故件数は3年連続で最多件数を更新したが、企業数は147社と2022年と比べて2.0%減した。2023年の事故のうち、情報漏えい人数は「調査中・不明等」が63件(全体の36.0%)を占める。不正アクセスで被害の全容がつかめず、調査中として数値公表を控えるケースが多いという。

人数を公表した中での最多は「1万人以上10万人未満」の30件(全体の17.1%)だった。100万人以上に及ぶ大型事故は8件(同4.5%)で、2022年の2件から4倍に増えた。

2023年の事故のうち最大は、受託していたテレマーケティング業務で元派遣社員がクライアントの顧客情報を不正に持ち出し、名簿業者など第三者への流出が発覚したNTTグループの928万人分だった。

大型事故が相次いだ結果、2023年の漏えい人数の総数は4090万8718人分に増加し、調査中・不明等を含めると、実態はさらに多くなると同社は見る。

年間の漏えい人数は、歴代最多のベネッセホールディングスの漏えい事故が発生した2014年の3615万1467人を抜いて最多となった。

• 情報漏えい・紛失事故件数の推移 出典: 東京商工リサーチ

「不正持ち出し・盗難」が前年の約5倍に増加

原因を見ると、「ウイルス感染・不正アクセス」が93件(全体の53.1%)と最多で過半数を占めた。

2位は「誤表示・誤送信」の43件(同24.5%)で、メール送信やシステムの設定ミスなどの人為的な要因も多い。

情報の不正利用や持ち出しにより情報漏えいした「不正持ち出し・盗難」は24件(同13.7%)で、2022年の5件から約5倍に増加した。

従業員が個人情報を不正に流出させ、刑事事件に発展したケースや、大手電力会社がグループの送配電子会社を通じて新電力の顧客情報の不正閲覧していた事例が相次いで発覚し、監督官庁より行政指導を受ける事態となった。

不正持ち出し・盗難による大型事故が相次いだため、情報漏えい・紛失人数の平均は102万4713人分となり、被害が広範囲に及んでいるという。

• 情報漏えい・紛失事故の原因比率 出典: 東京商工リサーチ

「ウイルス感染・不正アクセス」の件数が過去最多

「ウイルス感染・不正アクセス」による情報漏えい・紛失事故件数は2019年以降5年連続で最多を更新しており、 2023年は93件で2022年の91件を上回った。

2023年は特に、感染した端末などのデータを不正に暗号化するなどしてロックをかけ、解除を条件に対価(身代金)を要求するランサムウェアによる感染被害が多発した。

ウイルス感染・不正アクセスによる事故のうち、これまでの漏えい・紛失人数の最多は2013年5月に不正アクセスでIDが外部流失した可能性を公表したヤフー(現在のLINEヤフー)の最大2200万件だった。

2023年の最多は、ランサムウェア被害で個人データを閲覧された可能性が否定できないとしたIDOMの240万2233件で、歴代6番目の大型事故だったという。

• ウイルス感染・不正アクセスによる事故の件数推移 出典: 東京商工リサーチ

媒体は「社内システム・サーバー」が最多

情報漏えい・紛失事故175件の原因となった媒体を見ると、社内システム・サーバが125件(全体の71.4%)で最も多く、以下、PC(24件、同13.7%)、書類・紙媒体(20件、同11.4%)、その他・不明(6件、同3.4%)が続く。

1件あたりの情報漏えい・紛失人数の平均では、社内システム・サーバを媒体とする事故が47万1096人分と突出している。社内サーバが不正アクセスを受けたことによる顧客情報の流出や、従業員がサーバにアクセスして不法に個人情報を入手したケースが発生した。

PCは本体の紛失の他、メール利用時の誤送信が中心といい、送信時のccとbccの誤用による事故など初歩的なミスも多いという。書類・紙媒体では、保存しておくべき書類の紛失や、誤廃棄に起因する事故が多数を占めた。

産業別 最多は製造業の44社

情報漏えい・紛失事故を公表した147社を産業別に見ると、最多は製造業の44社(全体の29.9%)だった。以下、情報・通信業(25社、同17.0%)、サービス業(23社、同15.6%)、小売業(14社、同9.5%)の順だった。BtoC業態に限らず、幅広い業種で事故が発生していると同社は見る。

市場別 東証プライムが7割超え

上場市場別では東証プライムの113社(全体の76.8%)が最も多い。複数のグループを抱える大手企業が中心で、事業範囲や従業員数、顧客数も多いため、より高度なセキュリティ対策や個人情報の管理が必要となると同社は指摘する。

一方、上場企業はコンプライアンス(法令順守)やガバナンス(企業統治)の意識が高く、開示フローが機能していることで公表数が多いと同社は見ている。

• 情報漏えい・紛失事故の産業別/上場市場別の比率 出典: 東京商工リサーチ

2023年　主な個人情報漏えい・紛失事故

2023年の最大の事故は、NTTグループ(日本電信電話)で発生した928万人分であり、集計開始以降4番目に多い。

2番目はデリバリー大手の出前館で、システムの誤設定により顧客のアカウント情報924万4553件が閲覧の恐れがあったと公表した。3番目はNTTグループのNTTドコモの596万人分。業務委託先の元派遣社員が顧客情報を含む業務情報を不正に外部に持ち出したことがわかった。

この他、大手電力会社でグループの送配電子会社が持つ新電力の顧客情報を不正に閲覧していたことが相次いで発覚して問題となるなど、個人情報の不正持ち出しや不適切な取り扱いに起因する事故が目立った。

また、事故件数が最も多い不正アクセスでは、ランサムウェアによる被害により多数の情報を流出させた可能性を公表した大型事故もあったが、被害の全容を把握できずに調査中とのみ開示したケースも多かったという。

• 情報漏えい・紛失事故の人数上位 出典: 東京商工リサーチ

社内で抱える個人情報を守るためには、巧妙化するサイバー犯罪に対するセキュリティ強化が不可欠だと同社は指摘する。同時に、不正防止を目的としたガバナンスの徹底も求められ、個人情報の取り扱いルールの厳格化を通じた従業員の意識付けも重要になっているとのこと。

個人情報の漏えい事故は、受注喪失や賠償請求などの経済的損失だけに留まらず、長年築いてきた信用を一瞬で失いかねないリスクも併せ持つと同社は警告する。事業価値の維持のためにも、個人情報の適切な取り扱いは一層優先して取り組むべき経営課題で、改めて情報保護に対する取り組み強化が求められると、同社は提言している。