個人情報の漏洩は多くの企業や組織にとって、防ぐべき大きな問題です。
個人情報が漏洩してしまうと、生活者の安全が脅かされる可能性があり、その結果、組織に対する信頼の低下や損害賠償が発生する場合があります。
しかし、個人情報漏洩と聞いても
「個人情報の漏洩って具体的にどんな情報が漏洩したことを指すのかわからない…」
「もし、個人情報が漏洩したらどんな対応をすれば良いのかわからない…」
と思っていませんか?
本記事では、個人情報漏洩の定義や個人情報漏洩が生じた際の対処フローについて、解説します。
なお、情報漏洩対策を実際に検討されている方は、「個人情報漏洩が起きない組織作りにつながるCWAT(シーワット)」の概要資料をご請求ください。CWATは、以下のような特徴を持つ情報漏洩対策製品です。
- 情報漏洩のもととなる印刷、外部記憶媒体、メール、Webの利用を柔軟に制御可能
- キーワードチェックにより自動で重要情報を検出し保護(機密キーワードはお個別に変更可能)
- 部署やユーザーの権限に合わせてポリシー(ルール)を設定し、部署/ユーザー単位の監視・制御が可能
- 独自の暗号化機能によるファイル保護と閲覧制限(万が一漏洩しても閲覧不可)
- 重要情報に対する不正操作(コピー、ファイル名変更)の即時検知と管理者通知
- 詳細な操作ログ取得によるリアルタイムの監視と不正操作の自動制御機能
- 日/英/韓/中(繁体・簡体)マルチ言語対応によるグローバルなセキュリティ対策
- CWATの資料を請求する
個人情報漏洩の対策を検討されている方
目次
個人情報漏洩とは
個人情報漏洩とは、企業や団体が組織内で保管すべき個人情報が、何かしらの要因によって不本意に第三者に知られてしまう事態を意味します。
例えば、人物の映像や画像、氏名、住所など、特定の人物を識別できる個人情報が、意図せず第三者の手に渡った場合、個人情報漏洩として扱われる可能性があります。
個人情報漏洩として判断される事例については、個人情報の保護に関する法律についてのガイドライン(通則版)内で、次のように定義されています。※
【個人データの漏洩に該当する事例】
事例1)個人データが記載された書類を第三者に誤送付した場合
事例2)個人データを含むメールを第三者に誤送信した場合
事例3)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
事例4)個人データが記載又は記録された書類・媒体等が盗難された場合
事例5)不正アクセス等により第三者に個人データを含む情報が窃取された場合
事例6)個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が、当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏洩に該当しない。また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合は、漏洩に該当しない。(個人情報取扱事業者は、個人データの第三者への提供に当たり、原則としてあらかじめ本人の同意を取得する必要がある。)
※引用:個人情報保護委員会|個人情報の保護に関する法律についてのガイドライン(通則編), (参照日:2024-12-13)
当ガイドラインによると、メールの誤送信やデータの権限設定のミスによって個人情報が外部へと流出してしまったケースが、個人情報漏洩に該当する事例であると記載されています。
また、悪意のある外部の人物からの不正アクセスで個人情報が抜き取られた場合も、個人情報の漏洩にあたるとされています。ただし、いずれのケースでも個人情報を手にした外部の人物が情報の閲覧に至らなかった際は、個人情報漏洩と見なされないこともあります。
個人情報漏洩が生じた際に必要とされる対処フローをIPAの対応ポイント集をもとに解説
個人情報の漏洩が生じてしまった場合、情報処理推進機構(IPA)によれば主に以下のような対応が必要です*1。
- 初動対
- 調査
- 通知・報告・公表等
- 抑制措置と復旧
- 事後対応
初動対応
被害拡大を抑えるため、関係者への通知などの臨時対応を行う
個人情報の漏洩が発生した際には、まずは被害拡大を抑える臨時対応を行ないます*1。
個人情報が漏洩した際の臨時対応として、以下の例が挙げられます。
- マルウェアに感染している場合には電子機器をインターネットから断つ
- 不正アクセスがあった場合には、パスワードなどの認証情報を変更する
- 情報の公開ミスや誤送信に関しては、速やかに被害範囲を把握し、関係者への周知を図る
- 記憶媒体を紛失した際や、漏洩情報を悪用される恐れがある際には、警察への届け出を行う
個人情報漏洩に対応するための対策本部を設置する
また、個人情報の漏洩が生じた際の初動対応として、対策本部を設置することが挙げられます*1。
情報漏洩が起きた際の問題に対応する人員が多いと、情報の交差がおこり、組織内部で混乱を招く可能性があります。そのため、対策本部を設置することによって、情報の集約や伝達が円滑化し、情報漏洩問題の収束に向けて組織が協働しやすくなることが期待できます。
調査
個人情報漏洩が起きた原因や被害の想定範囲を調査する
また、個人情報漏洩が起きた原因や被害の想定範囲についても調査することが必要です*1。
情報漏洩の原因として、主に以下の3つが挙げられます。
- 第三者からの不正アクセス 外部要因
- 内部関係者の恣意的な漏洩 要因
- ヒューマンエラー
情報漏えいが発生したら、まず5W1H(いつ、どこで、誰が、何を、なぜ、どのように)の観点から状況を調査します。この方法で事態の全体像を把握し、事実を裏付ける証拠を集めることが重要です*1。
被害の範囲と原因を特定するためにはコンピューターのログや社内データを詳細に確認することも有効です。
情報漏洩の原因について、詳しくは以下の記事をご確認下さい。
通知・報告・公表等
状況次第で個人情報漏洩の内容を公表する
個人情報が漏洩しているのを発見した際には、状況次第で速やかにその内容を公表することが求められます*1。
流出した個人情報の件数が多いケースでは、被害の拡大や二次被害のリスクが大きくなることが想定されます。また、公表が遅れると、組織に対するさらなる信頼の低下につながる可能性があります。そのため、迅速に公表を行い、事実と今後の対応を伝えることが大切です。
ただし、内容を公開することにより悪影響が想定される場合に関しては、公開する時期や規模を選定することが必要になることもあります*1。
監督官庁や個人情報保護委員会に報告する
原因や被害の想定範囲を調査した後に監督官庁(民間の企業や公共団体などに対して、その事業や業務を監督する権限を有する官庁)に報告することが求められます*1。
場合によっては、個人情報保護委員会への報告も必要です*2。
個人情報保護委員会では、報告が必要となる場合について以下のように定義しています。※
個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
※引用:個人情報保護委員会|3-5-3 個人情報保護委員会への報告(法第26条第1項関係), (参照日:2024-12-13)
また、報告が必要となる特定の状況については、以下のように定義されています。※
規則第7条
法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
(1)要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第 1 項において同じ。)の漏洩、滅失若しくは毀損(以下この条及び次条第 1 項において「漏洩等」という。)が発生し、又は発生したおそれがある事態
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏洩等が発生し、又は発生したおそれがある事態
(3)不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏洩等が発生し、又は発生したおそれがある事態
(4)個人データに係る本人の数が千人を超える漏洩等が発生し、又は発生したおそれがある事態
※引用:個人情報保護委員会|3-5-3 個人情報保護委員会への報告(法第26条第1項関係),(参照日:2024-12-13)
このような事態が発生している場合は、概ね3〜5日以内に個人情報保護委員会へと報告を行わなければなりません。
抑制措置と復旧
二次被害を阻止するための対応をとる
次の対応フローとして、二次被害を阻止するための対応を取るべきだと考えられます*1。
漏洩した個人情報をそのままの状態にしておくと、第三者に悪用されて二次被害が起こりかねません。そこで、二次被害を阻止するための対応をとることで、被害拡大への抑制へと繋げることが大切だと言えます。
例えば、銀行口座の番号やクレジットカードの番号、セキュリティコードなどが流出した際は、個人情報の持ち主に口座の凍結やカードの利用を一時的に止める対応を依頼します。
また、デバイスへの不正アクセスが想定される際には、外部攻撃に狙われたデバイスをネットワークから閉鎖するなどの対応が必要です。
事後対応
個人情報漏洩の再発防止に向けた対応策を立てる
個人情報漏洩への対応フローの最終ステップとして、再発防止に向けた対応策を立てることが挙げられます。情報漏洩を繰り返さないためには、原因を踏まえて持続的な対策を実施していく必要があります*1。
個人情報の漏洩が再び起こらないよう、下記のような対策の実施を推奨します。
- 外部からの攻撃に狙われないよう、端末の脆弱性管理やセキュリティ製品の見直しを行う
- 社内の情報管理体制の見直しを行う
- 社員向けに情報セキュリティを学ぶ機会を提供する
セキュリティ製品を見直すことで、外部要因による情報漏洩のリスクを低減することが可能です。また、社内の情報管理体制の見直しやリテラシー教育を行うことで、内部からの情報漏洩リスクを減らすことができます。
個人情報漏洩が生じた企業が受ける可能性のある影響・リスク
個人情報漏洩が生じた企業や組織が受ける可能性のある影響やリスクとして、主に以下の内容が挙げられます*3。
- 社会からの信頼が低下することがある
- 損害賠償責任が発生することがある
個人情報漏洩を生じさせないために行うと良い対策
以下に挙げた4つが、個人情報漏洩を生じさせないために行うと良い対策の具体例です。
- 従業員の情報リテラシー教育を徹底する
- データの管理体制を見直す
- セキュリティ製品を取り入れる
- 電子機器や記録媒体の持ち出しにルールを設ける
個人情報漏洩を防止するための施策について、詳しくは以下記事をご確認下さい。
「情報漏洩の対策で企業が取り組むべきことは?セキュリティ対策例を用いて解説」
個人情報の漏洩が生じた事例
以下は、被害が特に大きかった個人情報漏洩の事例です。
- 石油を供給する大手企業の機密情報が漏洩してランサムウェア攻撃を受けた事例*4
- サイバー攻撃により、ネットワークへ不正アクセスされた事例*5
個人情報の漏洩が生じた際の事例について、詳しくは以下記事をご確認下さい。
「情報漏洩とは?種類別に徹底解説!」
出典(参考文献一覧)
※1 IPA 独立行政法人 情報処理推進機構 | 情報漏えい発生時の対応ポイント集 (参照日:2024-11-15)
※2 個人情報保護委員会 | 漏えい等の対応とお役立ち資料 (参照日:2024-11-15)
※3 IPA 独立行政法人 情報処理推進機構 | セキュリティインシデント (参照日:2024-11-15)
※4 CISA|The Attack on Colonial Pipeline (参照日:2024-11-15)
※5 iTnews | MSI confirms cyber attack (参照日:2024-11-15)
監修者プロフィール
靜間 隆二(セキュリティイノベーション本部 CWAT製品企画部 部長)
当社入社から20年以上、情報セキュリティの事業に携わる。サイバー攻撃からの対策、内部不正による情報漏洩対策の両側面で専門知識を有する。中小~国内を代表する上場企業まで幅広いセキュリティ対策を支援した実績あり。
株式会社RE-HEART 代表取締役CEO
小山雄太
Webシステム開発とITコンサルティングを中心に、要件定義から設計・開発、および運用支援まで多様な経験を持つ。近年はAWSを基盤としたクラウドインフラの設計・構築に注力し、
クライアント企業様に向けたセキュリティ対策やDevOps推進を支援する。