2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分
2024年「上場企業の個人情報漏えい・紛失事故」調査
2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、189件(前年比8.0%増)で、漏えいした個人情報は1,586万5,611人分(同61.2%減)だった。
事故件数は調査を開始した2012年以降、2021年から4年連続で最多を更新した。漏えい・紛失人数は、100万人超えの大型事故が相次いだ2023年(合計4,090万8,718人分)から6割減少した。
個人情報の漏えい・紛失事故は、2012年から2024年までの13年間で1,454件に達した。漏えい・紛失した可能性のある個人情報は、累計1億8,249万人で、日本の人口の1.5倍に達する。
2024年に発覚した事故では、前年に引き続きランサムウェアなどの不正アクセス被害が多かったが、業務委託先が被害を受け、顧客情報の流出が発覚したケースなどが目立った。
また、顧客情報の共有など、業界慣習やガバナンス意識の低さに起因する個人情報の不適切な取り扱い事例も発覚し、リテラシー強化の課題が浮き彫りとなった。
※ 本調査は、2024年に明らかになった上場企業と子会社の情報漏えい・紛失事故のプレスリリース、お知らせ、お詫びなど、自主的な開示を独自集計した。調査開始は2012年から。
※ 個人情報の範囲を、氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、「漏えいの可能性がある」や、個人情報の不適切な取扱いで生じた事例も対象とした。また、「対象人数不明・調査中」も事故件数としてカウントした。
2024年は事故件数、社数ともに最多を更新
2024年の事故件数は189件(前年比8.0%増)で、2012年に調査を開始以降、4年連続で最多件数を更新した。また、社数は151社(同2.7%増)で、前年から4社増え、これまで最多だった2022年(150社)を上回り最多となった。
情報漏えい・紛失を公表した人数別では、100万人以上に及ぶ大型事故が前年の8件から2件に減少した一方、10万人以上100万人未満のレンジは15件から23件に8件増加した。1万人以上は合計51件で、前年(53件)とほぼ同水準だった。
2024年の最大の事故は、子会社のネットワークへの不正アクセスで416万人分の顧客情報の流出可能性を東京ガス(東証プライム)が公表した。本件では東京ガス子会社に業務を委託していた京葉ガス(東証スタンダード)も連鎖的に約81万人分の顧客情報の流出可能性を開示している。
なお、2024年の漏えい人数の総数は1,586万5,611人分だが、人数開示がない「調査中・不明等」が61件あり、これを踏まえると実態はさらに膨らむとみられる。
原因別 「ウイルス感染・不正アクセス」が6割、個人情報の不適切な取り扱いによる流出も
2024年の情報漏えい・紛失事故の189件のうち、原因別は、「ウイルス感染・不正アクセス」の114件(構成比60.3%)が最多で、6割を占めた。
次いで、「誤表示・誤送信」が41件(同21.6%)で、メール送信時のCC、BCCの取り違え、システムの誤設定などの人為的なミスで情報を流失させたケースが続く。
このほか、データの「紛失・誤廃棄」が20件(同10.5%)、「不正持ち出し・盗難」が14件(同7.4%)。
漏えい・紛失人数の平均は、「不正持ち出し・盗難」が最多の22万4,782人分にのぼる。人数が拡大したのは従業員が不正に持ち出したケースのほか、損害保険の大手4社が保険代理店や出向者を通じ、競合他社の契約者情報を共有していたことが発覚したため。これは金融庁から報告命令を受ける事態に発展し、不適切な取り扱いで流出した個人情報は大手4社で合計250万人分に及んだ。
「ウイルス感染・不正アクセス」の件数は右肩上がり
「ウイルス感染・不正アクセス」による情報漏えい・紛失事故件数は114件で前年を上回り、初めて100件台を記録し、最多を記録した。事故件数は2019年以降、6年連続で最多を更新している。2024年も前年に引き続き、ランサムウェアによる不正アクセスの被害が多発した。
また、情報処理サービスを専門に請け負う企業が不正アクセスを受けたことで、業務を委託した側の顧客情報が流出して被害が拡大したケースが問題化した。
「ウイルス感染・不正アクセス」による事故のうち、これまでの漏えい・紛失人数の最多は2013年5月に不正アクセスでIDが外部流失した可能性を公表したヤフー(現:LINEヤフー)の最大2,200万件。2024年の最多は、子会社のネットワークへの不正アクセスで顧客情報416万人分の流出可能性を公表した東京ガス(東証プライム)だった。
媒体別 件数・人数ともに「社内システム・サーバー」が最多
情報漏えい・紛失事故189件のうち、原因となった媒体別の最多は「社内システム・サーバー」で、136件(構成比71.9%)と全体の7割を占めた。次いで、「パソコン・携帯端末」が34件(同17.9%)、「書類・紙媒体」が11件(同5.8%)の順。
1件あたりの情報漏えい・紛失人数の平均では、「社内システム・サーバー」を媒体とした事故が16万1,137人分と突出した。社内サーバーが不正アクセスを受け、大量の顧客情報が詐取された可能性を開示するケースが大半だった。
「パソコン・携帯端末」は本体の紛失や、メール利用時の誤送信など。「書類・紙媒体」は保存しておくべき書類の紛失や、誤廃棄に起因する事故が多数を占める。漏えい・紛失人数は4,216人で、他の電子的な媒体と比較すると漏えい・紛失人数は少ない。
産業別 最多は製造業の46社
情報漏えい・紛失事故を公表した151社の産業別は、最多が製造業の46社(構成比30.4%)で3割を占めた。次いで、サービス業の28社(同18.5%)、情報通信業と小売業の18社(同11.9%)、金融・保険業の16社(同10.6%)と続き、幅広い産業で事故が発生した。
市場別 東証プライムが7割超え
上場市場別では、最多は東証プライムの115社(構成比76.1%)で、7割以上を占めた。複数のグループを抱える大手企業は事業領域や従業員数、顧客数も多く、ターゲットにもなりやすい。情報漏えい・紛失のリスクは、より高度なセキュリティ対策や情報管理が必要なことを示している。
また、コンプライアンス(法令順守)やガバナンス(企業統治)への意識の高まりで、事故発覚後の開示フローが徹底し、大手の公表数の多さに繋がっている。
2024年 主な個人情報漏えい・紛失事故
2024年の事故で最大は、子会社ネットワークへの不正アクセスが起因となって顧客情報などが漏えいした東京ガスグループの416万人分だった。また、これに連鎖的に被害を受けた京葉ガスも全体で6番目となる81万人分の漏えいを公表した。
2番目は三菱電機の子会社、三菱電機ホーム機器が不正アクセスにより、231万人分の漏えいを公表。3、4番目は顧客情報の不適切な取り扱いが発覚した損害保険会社の2社が続いた。
このほか、ランク外だが(株)KADOKAWA(東証プライム)は2024年6月、データセンター内サーバーへの大規模なサイバー攻撃を発端に被害が拡大、25万5,241人分の個人情報の外部漏えいを公表した。運営する動画サイトの一時的なサービス停止や補償費用などで、売上や利益の下方修正を余儀なくされた。
また、非上場会社だが、情報処理サービスを専門に手掛ける(株)イセトー(京都市中京区)がランサムウェア被害を受け、業務を委託していた自治体や企業などに二次的な被害が拡大した。このうち、上場企業の被害判明分は8事例だった。伊予銀行(東証プライム)は顧客向け通知物等の作成・発送業務をイセトーに委託しており、本件により25万4,659人分の漏えいが確認されたことを公表している。
近年、自然災害だけでなく、サイバー攻撃に備えた「IT-BCP(事業継続計画)」がより重要視されている。2024年の個人情報漏えい事故でも、不正アクセスやサイバー攻撃などによる被害の増加が鮮明となった。また、他社への業務委託や外注が進むなか、業務委託先が被害を受けたことによる二次被害が目立ったことも特徴として挙げられる。
自社だけでなく委託先のセキュリティシステムに懸念はないか。また、仮に問題が発生した場合、どのような対応を取るべきかを想定する幅広い危機管理対応が重要になっている。
一方、顧客情報の複数社間での共有など、悪意がなく以前は問題にならなかったことも、個人情報の厳密な取り扱いが求められるなかで表面化するケースも増えている。
業界慣習にとらわれず、情報管理に関する規定づくりや社員意識の徹底、専門人材や部署の育成、そして日常的な教育や研修による意識付けが重要になっている。年々、個人情報の漏えい・紛失への対応策は企業にとって最優先の経営課題として優先度を増している。情報の取り扱いはシステム対応と同時に、取引先を含めた意識の共有化が必要になっている。
