個人情報漏洩の事例|最新の内容も踏まえて解説
今回記事では個人情報漏洩の事例について紹介していきます。個人情報漏洩の事例ではランサムウェア攻撃など外部によるものから、社員による不正持ち出しなど事例は様々です。海外の事例なども取り上げて様々な事例について紹介しておりますので、参考にして頂けますと幸いです。
目次
- 1 個人情報漏洩の統計情報(2020年~2024年)
- 2 個人情報漏洩により発生した損害賠償
- 3 Cash App社の個人情報漏洩の事例 (社員の個人情報不正持ち出し)
- 4 SGMC社の個人情報漏洩の事例 (社員の個人情報不正持ち出し)
- 5 Canva(オーストラリア)社の個人情報漏洩の事例 (ランサムウェア攻撃)
- 6 川崎重工業(欧州子会社)社の個人情報漏洩の事例 (ランサムウェア攻撃)
- 7 テスラ社の個人情報漏洩の事例 (社員の個人情報への不正アクセス)
- 8 日本貿易振興機構(JETRO)の個人情報漏洩の事例 (紛失)
- 9 愛知県の個人情報漏洩の事例 (紛失)
- 10 関西テレビの個人情報漏洩の事例 (USB紛失)
- 11 まとめ
- 12 参考
個人情報漏洩の統計情報(2020年~2024年)
東京商工リサーチの調査によると、2023年の上場企業とその子会社が公表した個人情報の漏えい・紛失事故は175件(前年比6.0%増)と公表しています。漏洩した個人情報は前年の約7倍の4100万人分と大幅に増加。事故件数も3年連続で最多を更新。漏洩・紛失した可能性のある個人情報は累計1億6,662万人分にも達しています。
2023年の特徴としては、従業員の個人情報の不正持ち出しにより第三者に流出させる事例が多かったこと、不正アクセスでは「ランサムウェア」が猛威をふるい、ウイルス感染・不正アクセスの事故はこれまでで最多の93件が発覚したことなどが挙げられます。
2024年についてはまだ統計はでておりませんが、Techcrunchの記事によると、個人情報漏洩の事例は引き続き増加傾向にあり、2024年現在までに起きた最悪のデータ侵害の事例では少なくとも10億件の個人情報が盗難されたとしています。
また、イセトー社やKADOKAWA社のランサムウェア 事例など日本でもランサムウェアによるセンセーショナルな事件が表れているで、ランサムウェアによる個人情報漏洩は引き続き警戒する必要があります。
個人情報漏洩により発生した損害賠償
個人情報が漏洩した場合、民事上の損害賠償責任が発生します。損害賠償の金額は、漏洩した情報の項目や漏洩の件数、二次被害の有無などによって異なります。個人情報漏洩による損害賠償の金額相場は、1人あたり数千円から数万円程度です。漏洩した情報の項目が一般的な連絡先情報にとどまり、二次被害もない場合は、1人あたり3,000円~5,000円が相場です。一方、漏洩した項目がセンシティブな情報を含み、かつ、二次被害が出ているケースでは、1人あたり35,000円程度の損害賠償が認められた判例もあります。個人情報漏洩による損害賠償の対象には、次のようなものがあります。
- 直接的損害:流出したデータの価値、リコールや製品の修正にかかる費用など
- 間接的損害:ブランドイメージの毀損、将来の収益減少など
- 対応費用:情報漏洩による顧客対応、顧客への通知費用、法的な対応費用など
- 個人への影響:精神的苦痛やプライバシーの侵害に対する賠償費用など
一方で、グローバルに目を向けると、いわゆるGAFAと呼ばれる世界大手プラットフォーマーも対象となり、近年の特徴として、データ侵害に対して課せられる罰金は巨額に及んでいます。このことは、消費者データを適切に保護していない組織に対する取り締まりに規制当局がより真剣に取り組んでいることを示しています。例えば、メタ(旧Facebook)は、欧州連合から米国に個人データを違法に転送したとして13億ドルの罰金を科され、最近の巨額制裁のリストのトップに立っています。また、中国の滴滴出行(ディディ・グローバル)は、同国の個人情報保護法に違反したとして10桁の罰金を科されています。続いて、3番目に高額な制裁として、2021年に欧州の一般データ保護規則(GDPR)に違反したとしてアマゾンに科された8億7700万ドルの罰金などもあります。
Cash App社の個人情報漏洩の事例 (社員の個人情報不正持ち出し)
モバイル決済サービス「Cash App」を提供するCashApp社の個人情報不正持ち出しの事例を紹介します。
個人情報漏洩の概要
2022年4月に会社に不満を抱いた元従業員が「CashApp」のユーザーの個人データをダウンロードしました。2022年12月10日に解雇された当該社員がCashAppの顧客に関する下記の情報を盗難しました。
- 顧客のフルネーム
- 各顧客の証券会社のポートフォリオ情報
- 各顧客の証券会社のポートフォリオ残高
- 各顧客の株式取引活動
個人情報漏洩の原因
個人情報漏洩の原因としては、従業員は解雇されたにもかかわらず、会社はユーザーのアクセス権限を取り消さなかったため、従業員は社外から機密リソースをダウンロードすることができました。適切な解雇手順の作成や定期的はユーザーアクセス レビューを実施するなどの対策が無かったことが挙げられます。
個人情報漏洩件数
この侵害により820万人の顧客のデータが漏洩しました。同社は、事件発覚から4か月後に初めて、影響を受けた顧客に侵害について通知し、Cash App Investingとその親会社であるBlockに対する集団訴訟につながりました。
SGMC社の個人情報漏洩の事例 (社員の個人情報不正持ち出し)
米国SGMCヘルス社の元従業員によるデータ盗難事例について紹介します。
個人情報漏洩の概要
2021年11月、ジョージア州バルドスタにあるサウスジョージア医療センターの元従業員が、退職した翌日に明らかな理由もなく、医療センターのシステムから自分のUSBドライブに個人データをダウンロードしました。
個人情報漏洩の原因
原因の一つとしては、当該元従業員が会社に対して怒りや不満、または組織に損害を与えるその他の個人的な理由を持っていたたことが挙げられます。また、元従業員は盗んだデータに正当にアクセスでき、目的を遂行するのを妨げるものは何もありませんでした。当社が採用していたセキュリティソフトウェアは、従業員が機密情報をUSBデバイスにコピーしたことをサイバーセキュリティスタッフに通知するアラートの形で、不正なデータダウンロード自体には反応しました。従って、この事件はすぐに発見され終了しました。しかし、厳密に必要な人だけにアクセス許可を与える効率的なアクセス管理ソリューションがあれば、不正アクセスを最初から阻止できたとも言えます。
個人情報漏洩件数
個人情報漏洩の件数の公表はありませんが、漏洩した情報は、患者の検査結果、名前、生年月日が漏洩しました。その結果、当社は漏洩の被害に遭ったすべての患者に無料の信用調査と個人情報盗難復旧サービスを提供しなければなりませんでした。
Canva(オーストラリア)社の個人情報漏洩の事例 (ランサムウェア攻撃)
オーストラリアのユニコーン企業Canvaのデータ侵害の事例について紹介します。
個人情報漏洩の概要
オーストラリアのユニコーン企業Canvaは1億3,700 万人のユーザーに影響を与える大規模なデータ侵害に見舞われました。当社のデザインツールの月間アクティブ ユーザー数は約5,500 万人と言われています。Ghosticplayersと特定されたサイバー犯罪者がCanvaの防御を突破しましたが、Canva がシステム内で悪意のあるアクティビティを検出したため阻止されました。しかしながら、この傍受はすぐには行われませんでした。サイバー犯罪者がアクセスできた個人情報は下記の通りです。
- ユーザー名
- 実名
- メールアドレス
- 国別データ
- 暗号化されたパスワード
- 支払データ
個人情報漏洩の原因
原因は明らかにされていませんが、サイバー攻撃の後、Ghosticplayersはデータ侵害が成功したことを誇らしげに自慢したとされています。Canva は、パスワードが復号化された影響を受けたアカウントにパスワードを変更するよう速やかに通知し、6 か月間パスワードを変更していないアカウントについてはすべてのアカウントをリセットしました。
個人情報漏洩件数
概要でも触れた通り1億3700万人のユーザーに影響を与えました。
川崎重工業(欧州子会社)社の個人情報漏洩の事例 (ランサムウェア攻撃)
川崎重工業の欧州子会社のサイバー攻撃の事例について紹介します。
個人情報漏洩の概要
2024年9月12日の夕方、川崎重工業は「サイバー攻撃の対象となった」ことを認める声明を発表しました。攻撃自体は成功しなかったものの「同日中に戦略的復旧計画が開始されるまで、同社のサーバーは一時的に隔離された」と説明しました。
「カワサキモータースヨーロッパとその各国の支店は多数のサーバーを運用しており、予防措置として各サーバーを隔離し、すべてのデータをチェックし、疑わしい資料を特定して対処するクリーニングプロセスを導入することを決定しました」と同社は述べました。2024年9月14日時点で90%以上は復旧したと説明しています。
個人情報漏洩の原因
原因は明らかとされていません。
個人情報漏洩件数
被害件数は明らかとはなっていませんが、攻撃者側での投稿では、ランサムハブ攻撃グループはカワサキモーターズヨーロッパから487ギガバイトのデータを盗んだと述べています。
テスラ社の個人情報漏洩の事例 (社員の個人情報への不正アクセス)
テスラ社の元従業員2名による大規模なデータ侵害事例について紹介します。
個人情報漏洩の概要
2023年5月、ドイツの報道機関がテスラに対し、同社の機密情報を入手したと通知しました。テスラのデータプライバシー責任者スティーブン・エレントゥク氏によると、「調査の結果、テスラの元従業員2名がテスラのITセキュリティおよびデータ保護ポリシーに違反して情報を不正に流用し、メディアと共有していたことが明らかになった」と説明しました。
個人情報漏洩の原因
テスラは責任のある元従業員に対して訴訟を起こしましたが、元従業員が機密データへのアクセスをどのようにして得たのかの詳細は公表されていません。会社が退職時に従業員のアクセス権を取り消さなかったと推測されています。
個人情報漏洩件数
ドイツの報道機関はテスラの社内文書23,000件以上、合計で約100ギガバイトの機密データを入手しました。文書には従業員の個人情報、顧客の財務情報、テスラの製造上の秘密、テスラの電気自動車の機能に関する顧客の苦情などが含まれていました。 この侵害により75,000人の個人データが漏洩し、機密性の高い個人データの保護が不十分であったため、GDPRに基づき33億ドルの罰金が科される可能性があります。
日本貿易振興機構(JETRO)の個人情報漏洩の事例 (紛失)
日本貿易振興機構(JETRO)の個人情報漏洩事例について紹介します。
個人情報漏洩の概要
日本貿易振興機構(JETRO)は2024年7月31日、機構の組織である日本食品海外プロモーションセンター(JFOODO)にて、JETRO職員含む内外の個人情報5,960件やJETROが保有する情報1万4,436件を記録したHDDの所在不明を発表しました。
個人情報漏洩の原因
JETROによるとHDDは普段JFOODOの執務室内にて保管されていました。しかしながら、2024年6月14日、HDD所定の保管場所になく、職員らが持ち帰った記録もなく、紛失状態になっていることが判明しました。HDDにはJETROは内外の企業・団体名、氏名、電話番号、メールアドレス等の情報5,960件が記録されていました。JETROは2024年7月2日、個人情報保護委員会に報告しました。
個人情報漏洩件数
概要でも触れた通り、JETRO職員含む内外の個人情報5,960件やJETROが保有する情報1万4,436件を記録したHDDの所在不明が明らかとなりました。
愛知県の個人情報漏洩の事例 (紛失)
愛知県(県住宅課)の個人情報の紛失事例について紹介します。
個人情報漏洩の概要
愛知県は、県住宅課が管轄する公営住宅4棟の入居者121世帯分の個人情報を2024年4月19日に不適切に取り扱っていたとして、県として謝罪しました。
個人情報漏洩の原因
公営住宅計画の通常の管理の一環として、公社事務所から名古屋にある愛知県庁舎にデータを転送する必要がありました。データの転送は昔ながらの方法で、段ボール箱に入れた1,696枚の紙を物理的に運搬することで行っていました。しかも、車で運ぶのではなく、台車に箱を載せて道路を歩いて目的地まで運ぶという方法でした。しかも、強風の日にこれを実行することにしました。
カートを押していた公社職員が県庁舎に到着する前に、台車がひっくり返り、箱が開いて転がり落ちました。職員は書類をつかもうとしましたが、多くは吹き飛びました。散乱した書類の捜索は日没まで続き、その時点で愛知県は影響を受けた住民に連絡を取り、データ漏洩および吹き飛んだことを知らせ始めました。捜索はさらに2日間続きましたが、すべての書類を回収することはできませんでした。
個人情報漏洩件数
愛知県の発表によると、書類には公営住宅の居住者(家族の場合は賃借人)の名前と4月分の「家賃」が記載されており、事件で現金が紛失したことについては何も言及されていないため、表面上は居住者が支払った金額の書面記録を指していると思われます。現時点では紛失したデータの不正使用は発見されておらず、愛知県は謝罪に加え、住宅管理プロセスのこの部分をデジタル記録に切り替える予定であると述べています。
関西テレビの個人情報漏洩の事例 (USB紛失)
関西テレビの個人情報漏洩の事例について紹介します。
個人情報漏洩の概要
2020年9月、関西テレビ放送株式会社は番組視聴者プレゼントの応募者2,491名の個人情報を記録したUSBメモリを紛失した可能性がある旨を公表しました。
個人情報漏洩の原因
関西テレビが提供する土曜日13時59分放送の番組「モモコのOH!ソレ!み~よ!」(以下「当番組」)において、視聴者の方から葉書でのプレゼント応募受付を行っており、応募者のうち、当選者を含む一部の個人情報をUSBメモリに保存しておりました。当該USBメモリは関西テレビの関係会社で番組制作の委託をしている(株)メディアプルポの担当者が所持、管理をしていたものの、関西テレビが定期的に実施しているUSBメモリの所在確認作業の中で、紛失が判明しました。メディアプルポは同年6月27日に事務所を移転しており、担当者がその際、当該USBメモリを他の荷物と共に梱包し移転先に搬送していることから、オフィス内の開包作業の過程等で紛失した可能性が高いと説明しています。
個人情報漏洩件数
2009年9月12日から2022年6月13日放送分の応募者のうち、延べ2491名分の「お名前」「ご住所」「電話番号」
まとめ
今回の記事では個人情報漏洩の事例について紹介しました。国内外問わず個人情報漏洩の事例は増加傾向にあります。セキュリティ対策は怠らず、万全の体制で臨むようにしましょう。
参考
2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分
The biggest data breach fines, penalties, and settlements so far
7 Examples of Real-Life Data Breaches Caused by Insider Threats
3 Biggest Data Breaches in Australia [Updated 2024]
Kawasaki’s European arm restores operation after cyberattack claimed by Ransomhub
日本貿易振興機構(JETRO)、個人情報5,960件含むHDDが所在不明に
Japanese city loses residents’ personal data, which was on paper being transported on a windy day