解説:個人情報漏洩事故の実態

Posted in 活動報告, 情報セキュリティG on 9月 15th, 2024

解説記事:情報セキュリティ
 
個人情報漏洩事故の実態 

情報セキュリティグループ  槌谷祐一

 今年の6月8日(土)角川グループがサイバー攻撃を受け、業務停止に追い込まれた。原因は子会社の(株)ドワンゴがランサムウエア攻撃にあい、角川グループの複数サーバーが大規模のサイバー攻撃を受けたこと。
 ドワンゴ関係の個人情報 25万4千人分が漏洩したことを報じられた。経路及び方法は調査中とのことであったが、最初はフィッシングなどの攻撃で従業員のアカウントが窃取されたことが根本原因と推測している。窃取されたアカウント情報によって、社内ネットワークに侵入され、ランサムウエアの実行及び個人情報の漏洩につながった。と報道されている。IPAの10大脅威2024では個人への脅威は個人情報漏洩が1位にランクされており、個人情報漏洩事故が注目されている。
 個人情報漏洩事故について東京商工リサーチセンター及びプライバシーマーク推進協会がそれぞれ、調査報告しているので、その要点を紹介する。

1)2023年度の上場企業とその子会社が公表した個人情報漏洩事故

  (東京商工リサーチ調査2024.1.19)

ⅰ)漏洩・紛失事故件数

漏洩・紛失事故件数

 個人情報の範囲:氏名・住所・電話番号・年齢・性別・メールアドレス・ログインID、と定義。漏洩の可能性がある、個人情報の不適切な扱いで生じた例も対象とした。
 2023年度の事故件数は175件で、2012年に調査を開始以来、3年連続で最多件数を更新した。情報漏洩人数は「調査中・不明等」63件(構成比36.0%)、不正アクセスで被害の全容がつかめず「調査中」として数値公表を控えるケースがあった。人数の公表分では最多は「1万人以上10万人未満」の30件(同17.1%)だった。 100万人以上に及ぶ大型事故は8件で、前年の2件から4倍に増えた。

ⅱ)情報漏洩・紛失事故原因

 2023年度の情報漏洩175件のうち、原因別では「ウイルス感染。不正アクセス」の53件(53.1%)次いで「誤表示・誤送信」が43件(同24.5%)  メール送信やシステムの設定ミスなどの人為的な要因も多い。
 外部要因・内部要因ともに発生している。

 

ⅲ)媒体別
  原因となった媒体別では

 1位  社内システム・サーバー 71.4%
 2位  パソコン           13.7%
 3位   書類・紙媒体        11.4%
 4位   不明              3.4%

ⅳ)産業別

漏洩・紛失事故を公表した147社の産業別では
 製造業       29.9%
 情報・通信業    17.0%
 サービス業     15.6%
 小売業        9.5%

 B to C業種に限らず幅広い業種で事故が発生している。 

Ⅴ)主な個人情報漏洩・紛失事故

 2023年度に発生した最大の事故は、NTTグループで発生した928万人。グループ会社が受託していたテレマーケティング業者で、長年にわたりクライアントの顧客情報を従業員が不正持ち出した事故。
 2番目はデリバリー大手の出前館で、システムの誤設定により顧客のアカウント情報924万4,553件が閲覧の恐れがあったと公表した。
 3番目はNTTグループのNTTドコモの596万人分。業務委託先の元派遣社員が顧客情報を含む業務情報を不正に外部に持ち出したことがわかった。このほか、大手電力会社でグループの送配電子会社が持つ新電力の顧客情報を不正に閲覧していたことが相次いで発覚して問題となるなど、個人情報の不正持ち出しや不適切な取り扱いに起因する事故が目立った。
 
 社内で抱える個人情報を守るためには外部的要因:巧妙化するサイバー攻撃・犯罪に対するセキュリティ強化が不可欠である。同時に、内部的な要因:不正防止を目的としたガバナンスの徹底も求められ、個人情報の取り扱いルールの厳格化を通じた従業員の意識付けも重要になっている。

2)2023年度における個人情報取扱い事故報告

 (プライバシーマーク推進センター調査データ2024.7.15)

2022年度2023年度対前年
事故報告社数1,4601,952134%2023年度は前年に比し30%も増加した。
報告事故件数7,0099,206131%同上
1社あたり件数4.84.798%

発生事象別
 事故報告件数のうち発生事象別には「漏洩」が70.6%と多く、次いで「紛失」が7.9%、3位が滅失・既存3.9%であった。                       

発生事象別

 事象別にみると
     
    1位:誤配達・誤交付      36.2%
    2位:誤送信          28.7%
    3位:紛失・減失・き損     10.2%
    4位:不正アクセス        9.0%
    5位:誤登録          5.7%

原因別集計を見ると、
担当者が適切な作業しなかった作業・操作は全体の63%、その他は組織の教育不十分等がある。

 プライバシーマーク認証取得企業は約1万8千社となっているが、事故報告した企業は10社に1社である。報告した企業では平均5件/年事故を起こしている。
 また、事故原因は内部的要因:従業員が適切な作業をしなかったことが多い。作業ミス防止には組織としてヒューマンエラー防止のための教育・意識喚起とともに手順・ルール不明瞭・未設定をなくすことも必要な処置である

以上

Comments are closed.