上場企業の個人情報漏えい・紛失事故を総括、2019年最多は「宅ふぁいる便」への不正アクセス(東京商工リサーチ) | ScanNetSecurity
2024.03.29(金)

上場企業の個人情報漏えい・紛失事故を総括、2019年最多は「宅ふぁいる便」への不正アクセス(東京商工リサーチ)

株式会社東京商工リサーチは1月23日、上場企業とその子会社における2019年の個人情報漏えい・紛失事故の調査結果を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
トップページ
トップページ 全 9 枚 拡大写真
株式会社東京商工リサーチは1月23日、上場企業とその子会社における2019年の個人情報漏えい・紛失事故の調査結果を発表した。

調査によると、2019年に公表された情報漏えい・紛失事故は66社86件で、漏えいした個人情報は903万1,734人分となり、2013年の87社、事故件数107件をピークに2015年以降は60社以上と小康状態を維持している。調査を開始した2012年から2019年までの累計では372社、事故件数は685件となり、全上場企業(約3,700社)の1割に匹敵する。

2012年の調査開始から個人情報100万件以上の漏えい・紛失は7件発生しており、その中でも最大となったのは2014年7月に発生したベネッセホールディングスの3,504万件。2019年は個人情報100万件以上の漏えいは2件発生し、1月のオージス総研のファイル転送サービス「宅ふぁいる便」への不正アクセスが481万件、3月のトヨタ自動車の販売子会社への不正アクセスが最大310万件の個人情報が漏えいした可能性を公表した。

2012年以降に漏えい・紛失事故が最も多く発生したのは日本電信電話(NTT)グループの7社で計31回発生、次いで東京瓦斯(東京ガス)の21回、3位のフジ・メディア・ホールディングスの16回(うち12回は子会社ディノス・セシールへの不正アクセス)。

2012年からの情報漏えい・紛失事故の累計685件のうち、その最多の理由は「紛失・誤廃棄」の265件で約4割を占め、次いで「ウイルス感染・不正アクセス」の178件、「誤表示・誤送信」が146件となっている。また1事故あたりの漏えい件数の平均はベネッセホールディングスの事件が平均を押し上げた「盗難」が50万4,597件と突出しているが、これを除くと機械的に情報を抜き取る「ウイルス感染・不正アクセス」が24万1,663件で、紙媒体中心の「紛失・誤廃棄」の3万7,841件に比べ、事故1件あたりの情報漏えい・紛失件数に6倍以上の差があり、被害の深刻度は桁違いに大きい。その「ウイルス感染・不正アクセス」による事故は年々、増加傾向にあり2019年は最多の41件(32社)発生し、2019年の情報漏えい・紛失事故は66社86件の約半数を占めた。

2012年からの情報漏えい・紛失事故の累計685件のうち、その原因となった媒体別の最多は「社内システム・サーバ」で288件、次いで「書類」が261件で、上位2媒体で約8割を占めた。パソコンは55件、マイクロチップやUSBメモリ等の記録メディアは47件となっている。1事故あたりの情報漏えい・紛失件数の平均は、不正アクセスによる被害が目立つ「社内システム・サーバ」による事故が27万2,688件で突出、利用範囲が個人に限定されるパソコンや携帯電話等は、情報漏えい・紛失件数が相対的に少ない結果となった。

2012年からの情報漏えい・紛失事故が発生した372社のうち、上場市場別で最多は東証1部で304社と8割以上を占めた。これは従業員数や顧客数が多く扱う個人情報が膨大なため事故が発生する土壌があり、かつ規模や知名度から不正アクセス等の攻撃を受けやすい。また一方で、ガバナンスが徹底し事故が発生した際の情報開示の業務フローが規定されていることも公表が多い背景にあると推測される。

2019年に発生した主な個人情報漏えい・紛失事故としては先述したオージス総研やトヨタ自動車の他、「ユニクロ」のファーストリテイリングへのリスト型攻撃、ヤマダ電機やJIMOSではオンラインショップからカード情報の漏えいが発生した。この他、セブン&アイホールディングスが導入したキャッシュレス決済サービス「7pay」はサービスイン直後に不正アクセスがあり808人、約4,000万円の不正利用被害が発覚し、サービス開始から僅か1ヶ月で廃止に追い込まれた。

同調査では最後に、EC市場の拡大やビッグデータの利活用等を背景に個人情報の重要性は増しているが、同時に高度化、巧妙化する不正アクセス等へのセキュリティ対策と厳格な情報管理はリスクマネジメントの重要な前提になっていると締めている。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る