皆さんこんにちは、代表の上口稚洋です。
「情報漏えいのリスクがあることはわかっているが、実際に起きたらどんな影響があるのか、いまひとつイメージできない」
そんな課題を抱えているセキュリティ担当者も、多いのではないでしょうか。
最近では、自社の弱点や対策の甘さを見直そうと、他社の情報漏えい事例を参考にする企業が増えています。
そこでこの記事では、ランサムウェア攻撃、クラウド設定ミス、リモートワークなど、さまざまな原因で起こった情報漏えいの事例を交えて解説します。
リアルなケースを知ることで、情報漏えいが起きたときの被害の深刻さや、自社が直面するリスクの全体像を把握しやすくなります。
より実践的な対策を検討するヒントとしてご活用ください。
情報漏えいとは?
まずは、情報漏えいの基本を紹介します。
情報漏えいの定義
情報漏えいとは、「本来は社外に知られてはならない重要な情報が、第三者に渡ってしまうこと」を指します。
たとえば、顧客の個人情報や企業の営業機密が外部に流出するようなケースは、代表的な情報漏えいです。
「情報漏えい」と聞くと、ハッキングや内部不正といった悪意ある行為を思い浮かべがちですが、実際にはメールの誤送信やUSBメモリの紛失など、日常業務でのちょっとしたミスが原因になるケースも多くあります。
なぜ企業は情報漏えい対策を強化すべきなのか
ひとたび機密情報や個人情報が外部に流出すると、企業は社会的な信頼を失うだけでなく、顧客離れや株価の下落など、深刻なダメージを受ける可能性があります。
とくに個人情報が漏えいした場合には、「個人情報保護法」に基づいて、所管官庁への報告や行政処分が求められることもあります。
さらに、被害者から損害賠償を請求され、数千万円規模の費用が発生するケースも少なくありません。
中小企業にとっては、こうした事態が経営そのものを揺るがす致命的な打撃につながることもあります。
だからこそ、正しい理解と早めの対策が欠かせません。
【原因別】情報漏えい事例9つと企業のリスクポイント
ここからは近年発生した情報漏えいの事例を、ランサムウェア・クラウドの設計ミス・リモートワークなど、原因別に紹介します。
実際に起きた情報漏えいの原因や被害を知ることは、自社の情報セキュリティ体制を見直すうえで非常に参考になります。
ランサムウェアによる情報漏えい
近年増加しているランサムウェアによる情報漏えいは、攻撃者が企業や組織のネットワークに侵入し、重要なデータを盗み出したうえで、外部に漏えいさせると脅迫する手口を指します。
データの暗号化による業務停止だけでなく、「情報をばらまく」といった二重の被害をもたらす点が、ランサムウェア攻撃の大きな特徴です。
サンリオエンターテイメント:2025年1月
2025年1月、株式会社サンリオエンターテイメントで、ランサムウェア攻撃による大規模な情報漏えいが発生しました。
これにより、同社が運営する施設のシステムが不正アクセスを受け、最大で約200万人分の個人情報が流出した可能性があると発表されています。
漏えいした情報の中に、クレジットカード情報は含まれていませんでしたが、ピューロランドの年間パスポート購入者の氏名・住所・電話番号・メールアドレス・ID、さらに従業員や取引先のマイナンバーの一部が流出しました。
サンリオエンターテイメントは、速やかに関係機関へ報告し、対象者への通知や専用窓口の設置など、迅速な対応を行っています。
この事例からは、企業が管理するデータの量が多ければ多いほど、一度の攻撃で甚大な被害になるリスクがあることがわかります。
また、サンリオエンターテイメントは被害の拡大を最小限に抑える努力がみられましたが、裏をかえせば「初動が遅れると被害が拡大する」リスクも示しています。
参考記事:株式会社サンリオエンターテイメントへの不正アクセスに伴う情報漏洩の可能性に関するお知らせとお詫び
保険見直し本舗:2025年2月
2025年2月、保険見直し本舗を運営する株式会社GOESWELLが、ランサムウェアによるサイバー攻撃を受けました。
GOESWELL社は攻撃が確認されてすぐに対象サーバーをネットワークから切り離し、外部の専門家と連携して原因や被害範囲の調査を進めています。
その結果、保険の申込時や相談時に顧客から預かった情報、協業先企業から受託した業務データ、約510万件が暗号化されていた可能性があると判明しました。
この事例では、情報の外部流出こそ確認されていませんが、情報が暗号化されただけで業務が止まるという大きなインパクトを与えました。
とくに保険のように顧客情報を日常的に扱う業種で、一時的にでもデータにアクセスできない状態になることは、信頼や業務継続に大きな痛手となります。
参考記事:当社グループにおけるランサムウェア被害に関しまして(第2報)
カシオ計算機株式会社:2024年10月
2024年10月、カシオ計算機株式会社が海外から不正アクセスを受け、ランサムウェアによるシステム障害と情報漏えいが発生しました。
流出した個人情報には、従業員の氏名・メールアドレス・所属部署・社員番号・一部生年月日や身分証情報、取引先担当者の連絡先、ユーザーの配送先情報などが含まれていました。
今回の被害は海外からの不正アクセスがきっかけであり、その原因として海外拠点を含むネットワークセキュリティの不備が指摘されています。
この事例では、国内での対策が万全でも、海外拠点やグローバルネットワークの管理体制に抜け穴があると、全体が危険にさらされることを示しています。
なお、カシオは被害を受けて、関係者への個別連絡や社内外への説明対応を迅速に実施しました。
参考記事:ランサムウェア攻撃による情報漏えい等調査結果について
サイゼリヤ:2024年10月
2024年10月、株式会社サイゼリヤがランサムウェアによるサイバー攻撃を受け、大規模な情報漏えいとシステム障害が発生しました。
この攻撃により、パートやアルバイトを含む従業員情報、取引先の情報、さらに過去の応募者や取引先関係者の個人情報など、約6万件が流出した可能性があります。
サイゼリヤは、外部の専門調査機関と連携しながら、被害状況の調査と再発防止策の検討を進めています。
この事例からわかることは、店舗運営やサプライチェーンの管理をITに依存している飲食業界では、サイバー攻撃が即座にサービス提供や経営に支障をきたすリスクがあることです。
また、流出した情報のなかに過去の応募者や取引先関係者が含まれているため、情報の保管期間・管理範囲・アクセス権限の見直しなど、包括的なセキュリティ体制の構築が求められます。
参考記事:当社におけるランサムウェア被害に伴うサービスの一部停止と情報漏えいに関するお知らせ
クラウド設定ミスによる情報漏えい
2025年5月30日、コスモ石油が運営する「コミっと車検」で、顧客とスタッフの個人情報、最大約17万件が漏えいした疑いが発覚しました。
社内クラウドストレージのアクセス制限の設定ミスにより、本来は社内関係者のみが閲覧できるはずのデータが、外部から閲覧できる状態になっていたことが判明しています。
この事例では、サイバー攻撃や不正アクセスではなく、社内の設定不備という“人的ミス”によって情報が外部に漏れる状態になっていた点が重要です。
クラウドサービスは利便性が高いですが、設定を誤ると意図しない情報公開につながる危険があります。
導入後も定期的な設定チェックと社内教育の継続が不可欠です。
参考記事:コミっと車検申込情報のアクセス権限での設定誤りについて
リモートワークによる情報漏えい
2025年5月、プレスリリース配信サービス「PR TIMES」を運営する株式会社PR TIMESは、最大90万1,603件の個人情報が漏えいした可能性があると発表しました。
きっかけは、2025年4月25日にサーバーで不審なファイルが確認されたことです。
調査の結果、24日から25日にかけて管理者画面への不正アクセスが行われ、27日から28日にかけて管理者が保有する情報が流出した可能性があることが判明しています。
この情報漏えいは、リモートワーク対応のためにセキュリティ設定を緩めていたことに起因します。
さらに、共有アカウントの管理が不十分だったことも、リスクを拡大させました。
この事例では、リモートワーク環境整備のために業務効率を優先した結果、本来必要だった防御が甘くなり、不正アクセスが起こりました。
早急なリモート対応時のセキュリティポリシー見直しと、管理体制の再構築が求められます。
参考記事:PR TIMES、不正アクセスによる情報漏えいの可能性に関するお詫びとご報告
メール誤送信による情報漏えい
2025年4月、みずほ信託銀行株式会社で、個人顧客2,472名と法人顧客246社に関する情報が、誤って外部に送信される事故が発生しました。
原因は、同行の社員が社内の別の社員に送るつもりだったメールの宛先に、誤って外部委託先の社員2名を含めてしまったことです。
誤送信は当日中に発覚し、委託先に連絡のうえ、該当メールと添付ファイルを削除したことが確認されました。
不正利用や再漏えいの可能性はないと報告されていますが、みずほ信託銀行は、再発防止のため電子メールの運用ルール徹底など管理体制の強化を進めています。
メール誤送信は誰もが起こしうる情報漏えいリスクのひとつであり、技術的なセキュリティ対策だけでは防ぎきれません。
委託先とのやり取りが増える現代のビジネスシーンにおいて、内部だけでなく外部との情報共有ルール・送信先管理の徹底も必要です。
参考記事:お客さま情報の漏えいに関するお詫びとご報告について
USBの置き忘れによる情報漏えい
2022年6月、兵庫県尼崎市で、市の臨時給付金事業を受託した業者の社員が、約46万人分の個人情報が保存されたUSBメモリを紛失しました。
この社員は、データ移行作業を終えた後に同僚と飲食店で会食し、その際にUSBメモリを入れたカバンを紛失。翌朝、警察に届け出を行いました。
幸いにもUSBは発見され、データの抜き取りは確認されませんでした。
この事例では、職務とプライベートの境界が曖昧な状態でデータ管理が行われていたこと、USBの持ち出しに関する明確なルールやチェック体制がなかったことが指摘されています。
委託先に業務を任せきりにせず、セキュリティポリシーと監督義務を果たす必要が委託元とに求められます。
手土産転職による情報漏えい
2019年、ソフトバンクの元社員が退職直前に同社のネットワーク技術に関する営業秘密を不正に持ち出し、その後楽天モバイルに転職した事件が発生しました。
この元社員は、自宅からソフトバンクのサーバーにアクセスし、約170点の技術情報ファイルを不正に持ち出し、楽天モバイルの業務に関わるデバイスにデータを移していたことが確認されました。
2020年2月の不正持ち出し発覚後、ソフトバンクは警察へ相談。2021年1月、元社員は不正競争防止法違反(営業秘密領得)の容疑で逮捕されています。
この事例は、従業員による「手土産転職」と呼ばれる機密情報の不正持ち出しが、企業に与える深刻なリスクを示した典型例といえます。
情報漏えいが発覚したとき対応
万が一、情報漏えいが発覚したら「早く・正確に・組織的に」動くことが大切です。
ここからは、情報漏えいが起きたときの対応の流れを紹介します。
ステップ1:報告
情報漏えいの兆候や事実に気づいたら、すぐに上司や担当部署へ報告しましょう。
個人の判断で動くのではなく、組織の責任者やインシデント対応チームに速やかに共有することが最優先です。
初期段階での報告が早ければ早いほど、被害の拡大を防ぐ初動対応をスムーズに開始できます。
報告後は、速やかに対策本部を立ち上げ、関係者との情報共有や指示系統の整備を進めます。
ステップ2:実態確認と応急処置
次に、「どの情報が、どの程度漏えいしたのか」を正確に把握します。
被害拡大を防ぐため、必要に応じてシステムやサービスを一時的に停止する判断も必要になります。
不正アクセスが疑われる場合は、該当システムをネットワークから隔離し、アクセスログなどの証拠を保全しましょう。
たとえば、クレジットカード情報が漏えいしていれば速やかにカード会社へ連絡し、アカウント情報が流出していた場合は、対象ユーザーにパスワードの変更や再発行を依頼します。
こうした応急処置は、二次被害の防止と早期回復のために不可欠です。
ステップ3:二次被害を防ぐ
漏えいした情報が第三者に悪用されないよう、早急に追加の対策を講じることが重要です。
まず、被害を受けたユーザーにパスワードの変更や再設定などの対応を依頼し、不正ログインやなりすましのリスクを軽減します。
また、原因が不正アクセスだった場合には、ネットワークを遮断し、ウイルス感染や侵入の疑いがある端末をすぐに隔離することで、さらなる情報流出を防ぎます。
こうした対応をスピーディーかつ適切に行うことで、二次被害を最小限に抑え、復旧作業へ集中できる環境を整えることができます。
ステップ4:原因や影響範囲を詳しく調査
情報漏えいが発生した際には、「なぜ起きたのか」「どのシステム・どのデータが影響を受けたのか」を正確に把握する必要があります。
原因の特定は、再発防止や今後の対策に直結します。
調査には専門的な知識が必要なケースも多いため、社内だけで対応が難しい場合は、外部のセキュリティ専門家へ依頼しましょう。
第三者による客観的かつ専門的な調査によって、根本原因の解明と実効性のある対策の立案が可能になります。
ステップ5:関係機関へ報告と被害者への通知
不正アクセスによる情報漏えいが確認された場合は、速やかに警察やサイバー犯罪相談窓口に相談しましょう。
なぜなら、不正アクセスは「不正アクセス禁止法」に抵触する可能性があるため、警察の専門部署が対応するためです。
さらに、個人情報が流出した場合には、業種ごとに定められた監督官庁や個人情報保護委員会への報告が必要です。
速報は3〜5日以内、詳細な報告は30日以内を目安に提出しましょう。
また、被害を受けた顧客や取引先には、誠実かつ分かりやすい説明を行い、必要に応じてプレスリリースの発表や、問い合わせ窓口の設置も検討します。
自社のホームページなどを通じて状況を正確に開示することが、信頼回復の一歩となります。
参考記事:警視庁不正アクセスに関するページ、 漏えい等の対応とお役立ち資料
情報漏えいが企業にもたらす影響
情報漏えいは、企業にとって信用・経済・法務・事業継続など多方面にわたる深刻なダメージをもたらします。
社会的信用とブランドイメージの低下
情報漏えいが起きると、企業のブランドや社会的信用は一気に失われます。
これは単なるイメージダウンではなく、取引先や顧客からの信頼を失い、売上の減少や取引停止などの実害に発展する可能性があります。
さらに、優秀な人材の採用が難しくなるなど、将来的な成長力や競争力の低下にもつながります。
巨額の損害賠償リスク
情報漏えいによって顧客や取引先に損害が出た場合、企業は損害賠償を求められる可能性があります。
加えて、監督官庁から業務改善命令や罰金といった行政処分を受けることもあり、実際に数億円規模の賠償金が発生した事例もあります。
業務への影響とコスト増大
サイバー攻撃や内部不正による情報漏えいが発生すると、業務の一時停止やシステムの再構築が必要になるケースがあります。
その結果、取引やサービス提供が中断され、顧客対応や復旧作業に多大な時間とコストを要します。
結果として、経営資源が圧迫され、最悪の場合、事業の継続そのものが危ぶまれる可能性も考えられます。
情報漏えいを防ぐには?
情報漏えいのリスクが高まるなか、「何から対策すべきか分からない」という声も少なくありません。
では、実際にどのような対策を講じれば、情報漏えいを防ぐことができるのでしょうか?
ここでは、情報漏えいを防ぐために企業が取り組むべきポイントを解説します。
社内ルールと教育の徹底
情報漏えいを防ぐためには、社員一人ひとりが情報管理の重要性を理解し、正しい知識を身につけることが欠かせません。
そのためには、社内で共通のルールを明文化し、定期的に教育や研修を行うことが大切です。
とくに、テレワークが広がった今、在宅勤務中の情報管理が新たな課題になっています。
リモート環境での対策については、下記の記事で詳しく紹介しています。
>>情報漏えいを防ぐには?リモートワーク時代の必須セキュリティ対策7つ
生成AIツールの情報管理リスク
ChatGPTやCopilotなどの生成AIは便利な反面、情報管理の面ではリスクもあります。
たとえば、AIに社内の機密情報を入力した場合、外部に内容が保存・再利用される可能性があるため、安易な利用は危険です。
AIツールの使用にあたっては、どの情報を扱ってよいかを明確にし、社内でルールを整備することが必要です。
詳しいリスクや具体的な対策は、以下の記事をご覧ください。
>>AI時代の情報漏えい対策|Copilot・ChatGPTのリスク比較と5つの対応策
まとめ
情報漏えいは、企業の信頼を失墜させるだけでなく、巨額の損害賠償や業務の停止など、経営に深刻な影響を及ぼします。
その原因は、ランサムウェア攻撃、クラウドの設定ミス、リモートワーク環境における管理の甘さなど多岐にわたり、これまでにさまざまな企業が被害にあってきました。
