近年、情報漏洩のリスクはますます高まり、企業や個人にとって深刻な問題となっています。特に、人的ミスや内部不正、外部攻撃といった原因による漏洩が後を絶ちません。
本記事では、2025年最新の情報漏洩事例を紹介し、よくあるケースや主な原因ごとの具体的な事例を解説します。さらに、被害を防ぐための有効な対策も詳しく紹介し、安全な情報管理のポイントを徹底解説するので参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
情報漏洩(情報漏えい)とは?流出や紛失件数は増加中
情報漏洩(情報漏えい)とは、企業が保有する機密情報や個人情報などの重要なデータが、不正な手段や人的ミスによって外部に流出してしまうことを指します。このような漏洩が発生すると、企業は損害賠償責任を問われるほか、信頼の低下やシステム停止など、営業活動そのものの存続自体が脅かされてしまうリスクも生じます。
東京商工リサーチの調査によれば、2024年の「個人情報漏えい・紛失事故」は過去最多の184件を記録し、流出・紛失した情報は2012年の調査開始時から累計1億8,249万人分に達しました。 この増加傾向の背景には、サイバー攻撃の高度化やデジタル化の普及に伴う社内体制の不備などが挙げられます。
※参考:2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分| TSRデータインサイト |東京商工リサーチ
関連記事:情報漏洩とは?原因やリスクと企業が取るべき対策をわかりやすく解説
情報漏洩の主な原因3つと最近の傾向
情報漏洩の原因は多数ありますが、ここでは主な原因を大きく分けて外部攻撃、内部不正、人的ミスの3種類にまとめて最近の傾向と共に紹介します。
(1)外部攻撃(サイバー攻撃)
情報漏洩の主な原因のひとつに、外部からのサイバー攻撃が挙げられます。これには、ハッキング、マルウェア(ウイルスやランサムウェア)感染、フィッシング詐欺などが含まれます。東京商工リサーチの調査によれば、2024年に発生した情報漏えい・紛失事故189件のうち、「ウイルス感染・不正アクセス」が114件(全体の60.3%)を占め、前年を上回って初めて100件台に達しました。
特に、ランサムウェアによる不正アクセス被害が多発しており、情報処理サービスを専門とする企業が攻撃を受け、業務委託先の顧客情報が流出するなど、被害が拡大するケースが問題視されています。さらに、リモートワークの普及に伴い、VPN機器の脆弱性を狙った攻撃も増加しています。
※参考:2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分| TSRデータインサイト |東京商工リサーチ
(2)内部不正
情報漏洩の原因として、従業員や関係者による内部不正も大きな割合を占めます。営業秘密や個人情報などのデータを無断で持ち出したり、不正に利用したりするケースが後を絶ちません。企業内部の従業員だけでなく、中途退職者による情報の流出も問題視されています。
特に、内部不正の動機としては、特定の企業に対する報復や個人的な利益目的で故意に行われるケースが多いです。そのため、企業のセキュリティ対策の強化が求められています。実際に、IIPA(情報処理推進機構)が実施した「企業における営業秘密管理に関する実態調査2020」では、営業秘密の漏洩者のなかで最も多かったのが中途退職者(36.3%)という結果が報告されているほどです。
企業は、アクセス制限や監視体制の強化、退職者への誓約書の徹底などの対策が急務となっています。
※参考:「企業における営業秘密管理に関する実態調査2020」報告書について | アーカイブ | IPA 独立行政法人 情報処理推進機構
(3)人為ミス(ヒューマンエラー)
情報漏洩の原因のなかで、従業員の不注意による人為ミス(ヒューマンエラー)も深刻な問題です。代表的な例として、メールの誤送信が挙げられます。本来送るべき相手とは異なる宛先に機密情報を送信してしまうケースは頻発しており、一度流出した情報の回収は困難です。
また、会社支給のパソコンやスマートフォンの紛失、USBメモリを電車や飲食店に置き忘れるといった物理的なデバイスの管理ミスも情報漏洩の大きな要因です。特に、重要データが保存された端末の紛失は、悪意ある第三者による不正利用のリスクを伴います。
さらに、クラウドサービスの公開範囲の設定ミスや紙書類の誤廃棄など、デジタル・アナログ双方での注意不足が漏洩につながることもあります。企業は従業員教育を徹底し、誤送信防止システムやデータ暗号化の導入を進めなければなりません。
【1】外部攻撃が原因の情報漏洩・事例3選(2024年)
ランサムウェア攻撃などのサイバー攻撃が原因の情報漏洩の事例のうち、2024年の代表的な例を3つ紹介します。
【事例1】電機メーカーにランサムウェア攻撃で個人情報漏洩
2024年10月に大手電機メーカーのサーバが海外からの不正アクセスを受け、ランサムウェア攻撃によってシステムが使用不能となる事態が発生しました。調査の結果、社内業務用に保管されていた個人情報や秘密情報の一部が漏洩したことが判明していますが、企業側は攻撃者の不当な要求には応じていないと発表しました。
原因として、フィッシングメール対策の不備や、海外拠点を含むグローバルネットワークのセキュリティ体制の脆弱性が指摘されています。これを受け、グループ全体のITセキュリティ強化、情報管理体制の見直し、社内教育の徹底を進める方針を発表しました。
【事例2】スーパーマーケットチェーンで778万件の個人情報漏洩
2024年2月、大手スーパーマーケットチェーンがランサムウェア攻撃を受け、第三者がグループの一部サーバへ不正侵入し、最大7,782,009件の会員情報が流出しました。漏洩した情報には、氏名、電話番号、住所、生年月日、性別、ポイント管理番号が含まれていました。
被害を受けた企業はグループ全体のネットワークを遮断し、対策本部を立ち上げて調査と復旧作業を実施しています。さらに、警察への相談や外部専門家との連携を進め、セキュリティと監視体制の強化に取り組んでいます。
【事例3】ハッカー集団がサイバー攻撃で犯行声明を発表
2024年6月に大手企業グループの複数のサーバにアクセスできない障害が発生し、調査の結果、ランサムウェアを含む大規模なサイバー攻撃であることが判明しました。その後、ハッカー集団が犯行声明を発表し、従業員情報や個人情報を含む約1.5TBのデータを盗んだと主張しました。
さらに、SNS上ではデマや憶測が拡散し、企業の信用低下や顧客の混乱を招くなど、二次被害も深刻化した事例です。企業側は事実関係の精査を進めるとともに、セキュリティ強化と情報発信の徹底に努めています。
【2】内部不正が原因の情報漏洩・事例2選(2024年)
元従業員による内部不正が原因の情報漏洩で代表的な最新事例を2つ紹介します。
【事例4】生命保険会社で元従業員による個人情報漏洩
2024年4月、大手生命保険会社において、退職した元従業員が転職先の企業での使用するために、顧客情報を不正に持ち出す事案が発覚しました。漏洩した情報は979件に及び、氏名や電話番号、住所、加入商品名が含まれ、紙資料で流出したことが確認されました。
企業は事態を重く受け止め、金融庁や個人情報保護委員会へ報告し、警察にも相談した事例です。再発防止策としてアクセス制限や印刷制限を強化し、従業員教育の再徹底を進めています。
【事例5】不動産会社で元従業員による不正持ち出し
不動産の売買仲介を主軸とする大手企業では、東京都所在の一部マンション所有者情報2万5千件が、不正に元従業員によって持ち出される事案が発覚しました。流出した情報には不動産登記簿情報を含む社内資料が含まれ、元従業員は同業他社へ転職後、持ち出した資料をDM送信に使用していたことが確認されました。
企業は事態を受け、従業員教育の再実施やシステムの監視強化、アクセス制限の見直しなどの対策を講じることを2024年8月に発表し、再発防止に向けた取り組みを進めています。
【3】人的ミスが原因の情報漏洩・事例3選(2024年)
ヒューマンエラーなどの人的ミスが要因の情報漏洩の事例のうち、代表的な例を3つ紹介します。
【事例6】市民病院でUSB紛失による事例
市民病院の医師が論文作成を目的に持ち出したUSBを紛失し、循環器内科の患者1,092名分の個人情報が流出する事態が発生しました。USBには氏名や年齢、性別、生年月日、診断名などが含まれており、病院側は2024年1月に対象患者全員に書面を発送して謝罪し、病院内には専用の問い合わせ窓口を設置しました。
再発防止策として、個人所有の記録媒体の使用禁止、規定およびマニュアルの見直し、全職員への研修実施などの対応を行い、情報管理体制の強化に努めています。
【事例7】大学で学生の個人情報を外部機関へ誤送信
2024年6月、大学の職員が留学プログラムの参加者リストを外部機関へ送信する際に、13,949件の個人情報を含むファイルを誤って添付する事案が発生しました。マスターデータのシートを削除せずに送信したことが原因です。
大学側は情報流出による被害の報告はないとしつつ、個人情報の適切な管理について一層の周知徹底を図り、再発防止に取り組むと発表しました。今後、職員教育の強化や送信前のチェック体制の見直しを進めていくとしています。
【事例8】大手アパレル製造小売業で個人情報の取り扱い不備
大手アパレル製造小売業は、一部の委託先事業者の従業員が、個人情報の取扱いを委託していないにもかかわらず、業務上必要な範囲を超えて個人情報を閲覧可能な状態だったことを2024年7月に発表しました。
原因として、情報システムの開発段階での仕様の不備や、運用段階でのモニタリング不足が指摘されています。具体的な被害は確認されていませんが、適切な制限がなされていれば大規模な情報漏洩事故を防げた可能性があるとして、企業は対策の見直しを進めています。
情報漏洩の防止に有効な企業が行うべき対策例
情報漏洩を防ぐためには、外部攻撃、内部不正、人的ミスのそれぞれに適した対策を講じることが重要です。外部攻撃対策としては、ウイルス対策ソフトの導入によるマルウェア検知、IT資産管理ツールを活用した厳密なパッチ管理やデバイス接続制限が有効です。
内部不正防止には、従業員との書面契約、ポリシーの周知とセキュリティ教育を徹底し、組織内の定期監査や最小権限の法則に基づいたアクセス制御を実装することが求められ、人的リスクを防ぐためには、システムによる仕組み化を進め、万が一ミスが発生した際に迅速に対応できる体制を整えることが重要です。
また、従業員個人の対策として、パスワードの適切な管理、ソフトウェアの更新、多要素認証(MFA/2FA)の利用を徹底し、最新のセキュリティ情報を常に共有することも不可欠です。
まとめ
情報漏洩の昨今の状況やよくある事例と、2025年1月時点で最新の人的ミスや内部不正、外部攻撃などの主な原因別の事例、対策まで解説しました。
メールセキュリティを強化するなら、「Cloud Mail SECURITYSUITE」と「CYBERMAIL Σ」の導入がおすすめです。「Cloud Mail SECURITYSUITE」は、「Microsoft 365」や「Google Workspace」を補完し、日本企業向けの脅威防御・標的型攻撃対策を月額200円で提供します。
「CYBERMAIL Σ」は、ランサムウェア対策を備えた高セキュリティなクラウドメールで、アンチウイルス・スパム対策・サンドボックスを低価格で導入可能です。また、パスワード付きZIPファイルの受信前検知機能により、マルウェア感染のリスクを軽減します。
