2019年も下半期に入りましたがすでに多くの情報漏洩事件が報告されています。情報漏洩が起きると会社やクライアント、関連企業などが大きな被害を受けることがあり、場合によっては多額の損害賠償に発展することもあります。この記事では2019年の情報漏洩事例を取り上げたいと思います。
1.2019年の情報漏洩事例
では、2019年にすでに起きた情報漏洩事例をいくつか見てみましょう。
・2019年1月24日:宅ふぁいる便不正アクセス&個人情報流出事件
「株式会社オージス総研」は同社運営の「宅ふぁいる便」の一部サーバーへの不正アクセスを受けて顧客情報が漏洩したと発表しました。漏洩したのは顧客情報約480万件で、その中にはメールアドレスやログインパスワード、生年月日、業種・職種、居住地など様々な個人情報が含まれていました。
・2019年2月9日:学習塾利用者メールアドレス流出事例
「親子DE発達凸凹学習塾86」を運営する「株式会社MOYU」によると、同塾からメール送信をした際にメールアドレスが他の受信者に流出してしまいました。誤ってメールのTO欄にアドレスを入力したことが原因でした。
・2019年3月25日:歯学書ドットコムカード情報流出の可能性
「歯学書ドットコム」というショッピングサイトは外部からサーバーに不正アクセスを受け、サイトを運営する「クインテッセンス出版株式会社」は個人情報流出の可能性があると発表しました。システムの脆弱性を突かれた事件ですが、クレジットカード情報(番号、有効期限、セキュリティコードなど)や登録氏名、メールアドレス、歯科医院名、職種などの情報漏洩が起きた可能性があります。
・2019年4月14日:スキミング攻撃「Magecart」によるクレジットカード情報漏洩事件(アメリカとカナダ)
アメリカとカナダでは201店のオンラインストアでクレジットカード情報が盗まれました。この事件はサイバー犯罪集団によるスキミング攻撃によって、入力された個人情報とクレジットカード情報が遠隔サーバーに送信されたことで発生しました。
・2019年5月28日:ジャングルの顧客情報流出事件
ホビーショップの「ジャングル」は自社のデータベースに不正アクセスを受けた結果、クレジットカード情報を含む個人情報が漏洩した可能性があることを発表しました。漏洩の恐れがあるのは2507件のクライアント情報で、詳細についてはログが削除されていて特定できませんが、消費者の不安をあおることになりました。
・2019年5月29日:ヤマダ電機通販サイトのクレジットカード情報流出事件
大手電化製品店であるヤマダ電機は「ヤマダウェブコム」と「ヤマダモール」を運営していますが、これらのサイトが不正アクセスによって改ざんされた結果、クレジットカード情報を含む個人情報漏洩が起きたことが発表されました。流出件数は最大で37,832件にものぼるとされていて、クレカ番号や有効期限、セキュリティコードなど悪用するには十分な情報が漏洩しています。
・2019年6月21日:市民病院での個人情報を含むUSBメモリ紛失事件
福知山市立福知山市民病院(京都府)は、大江分院で個人情報が記録されたUSBメモリの紛失が判明したと発表しました。メモリには患者366名分のID、イニシャル、性別、年齢、病名、検査結果等のデータが含まれていました。個人情報の院外への持出は禁止されていましたが、私物のUSBメモリが使用されて持ち出されました。
・2019年7月24日:クロネコメンバーズへの不正ログイン事件
ヤマト運輸の提供する「クロネコメンバーズ」のWebサービスが外部からパスワードリスト攻撃を受けて不正ログインされましたが、不正ログイン施行件数は約3万件もあり、うちログインされたのは3,467件もありました。クレジットカード情報やメールアドレス、氏名、電話番号などが閲覧された可能性があります。
ここで紹介しているのは2019年に起きた情報漏洩事件、およびその可能性を示すインシデントのほんの一例です。このように毎月のように情報漏洩事件が起きていますが、外部からの不正アクセスだけでなく社内の人間の業務上過失も要因となっています。USBメモリの紛失は多数起きていますが、会社の徹底した情報管理が今後ますます問われることになるでしょう。
2.情報漏洩が起きた場合の会社の損失
もし会社側のセキュリティシステムの脆弱さや業務上過失などが原因で情報漏洩が起きてしまったらどうなるでしょうか。具体的には以下のような損害が発生する可能性があります。
・損害賠償
情報漏洩によって被害を受けた人への損害賠償費用が発生する可能性があります。「特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)」によると、2017年の個人情報問題から推定される損害賠償額は一軒当たり5億4,850万円にもなります。1人当たりの平均損害賠償額は2万3,601円でした。
同協会の分析では、1事故当たりの損害賠償額が1,000万未満のものが60%以上と大半を占めていますが、1億円以上のものも14%ほど含まれています。被害が大きければ大きいほど損害賠償額も上乗せされていきます。
・業務停止
情報漏洩事故が起きた場合は被害の拡大を防ぐために一時的に業務が停止されることがあります。そうなれば本来、利益につながっていたはずの働きがなくなるため会社の将来利益が損失します。もし長期間業務を停止する必要があればその損害はさらに広がるでしょう。
・法的な制裁
企業が業務上過失を起こせば刑事罰を受けることがあります。個人情報保護法によると、適切に対応しない企業には「6か月以上の懲役または30万円以下の罰金」が適用されます。会社全体のイメージも一気にダウンしてしまうでしょう。最悪の場合倒産につながる恐れすらあります。
3 .まとめ
2019年にはかなりの情報漏洩事例が見られました。これだけITリテラシーやネットセキュリティの重要性が叫ばれていても、情報漏洩はうっかりミスや、不正アクセスによって頻繁に起きています。残念ながらネット上には悪意のある人間が多く、社内にはITリテラシーレベルが低い社員が少なからずいるものです。
ですから会社側は少しでもシステムの脆弱性を減らすとともに、情報セキュリティに関する社内教育に尽力することが急務になっていると言えるでしょう。できるだけ早く対策を講じるなら将来のリスクを軽減できます。
