Webサイトからの個人情報漏えい/流出(原因と被害)
セキュリティ対策の専門家でないサイト運営者の皆さんにとって、Webサイトセキュリティは疑問だらけ。EC/オンラインショップ、顧客/会員管理、企業ホームページ、BtoBサイト…など、様々なWebサイトに共通の対策を分かりやすく解説します!
【1-1】Webサイトからの個人情報漏えい・流出(前編:原因と被害)
Webサイトを運営する上で最も心配なことの1つが、不正アクセスによる「個人情報の漏えい」です。日本でも大規模な漏えい事件が頻発しており、その勢いは収まりません。報道を記憶している方、あるいは実際に自分の個人情報が被害の対象となった方も多いでしょう。
ここでは、Webサイトの責任者や運用者がこうした事件に接する場合を想定し、「現実的な対策としてどう何を行えばいいのか」「対策の前提としてどういったことを考えればいいのか」を、わかりやすくまとめてみました。この機会にちょっと整理してみませんか?
2025年5月更新
※個人情報漏えいの原因はいろいろありますが、この記事ではWebサイトへの不正アクセスによる漏えいに絞って説明しています。
Webサイトで扱う個人情報 ~個人情報っていったい何?~
個人情報の定義は、「個人情報の保護に関する法律」の第二条第1項で定められています。
e-Gov「個人情報の保護に関する法律」
政府広報オンライン内では、より分かりやすい表現で解説されています。
どんな情報が「個人情報」になるの?
--------------------------------
個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます。例えば、生年月日や電話番号などは、それ単体では特定の個人を識別できないような情報ですが、氏名などと組み合わせることで特定の個人を識別できるため、個人情報に該当する場合があります。また、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。
このほか、番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。例えば、次のようなものです。
(1) 身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータがあります。
(2) サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号などがあります。
政府広報オンライン「『個人情報保護法』をわかりやすく解説 個人情報の取扱いルールとは?」より抜粋
2017年5月に施行した改正された個人情報保護法では、本人に対する不当な差別、偏見その他の不利益が生じないよう、取扱いに特に注意が必要な個人情報として「要配慮個人情報」が定められました。
「不正アクセス行為の禁止等に関する法律」により、不正アクセスは法律でも禁止されています。
参考: 富山県警察サイバー犯罪対策室 「不正アクセス禁止法の概要」
個人情報漏えいの原因 ~なぜ個人情報流出事故は発生するの?~
漏えいを狙う大きな理由は「個人情報がお金になるから」。ダークウェブと呼ばれる場所で個人情報自体を売買したり、不正入手した決済情報を使って換金する犯罪者が世界中に存在しています。それ以外にも興味本位や思想的な背景などからWebサイトを攻撃する人もいて、以前のハッカー集団というとこのようなイメージが強かったと思いますが、最近では利益を目的とした攻撃が大半であると考えられています。
インターネット上のビジネスが企業にとって必須となった現在、残念ながらこういった活動をする人たちは今後も後を絶たないでしょう。
不正アクセスを禁止するための法律は各国で整備が進んできましたが、今なお一部の国や地域では不正アクセス行為自体が十分に取り締まられておらず、なかば公然とビジネスになっていることも多いようです。
こうした不正アクセスを行う動機と、Webサイトの欠陥、すなわち 「脆弱(ぜいじゃく)性」 とが結び付くことで、情報流出事故は容易に起こります。
経済的動機による不正アクセスが増加し、国境を越えて行われるのに対し、各国で法律整備度合いのばらつきが大きい現状を踏まえると、不正アクセスによる個人情報漏えいは一時的なブームではなく、脆弱性が放置される限り、今後もそう簡単に無くならないものと考えた方がよさそうです。
※個人情報保護委員会「個人情報保護委員会の活動実績について(概要)」(平成29年度~令和6年度上半期)より、各年度の個人情報の取扱いに関する監督の処理状況件数を抽出
※経済産業省「電子商取引に関する市場調査」(2017年~2023年)より、BtoC-EC市場規模の経年推移(単位:億円)を抽出
個人情報漏えいの事例と傾向 ~どのくらい、どんな事件が起こっているの?~
最近では有名ゲームサイトからの情報漏えいが発生しましたが、過去にも不正アクセスによるWebサイトからの個人情報流出事故がたくさん発生しています。また、表面化されている事故は一部で、本当はもっとたくさん事故が起きているという意見もあります。
「不正アクセス」の事実だけで、詳細な原因が公表されていない場合も多いですが、Webサイト上のアプリケーションに存在する脆弱性が、運営者側に発見されず放置されていたため、外部攻撃によってデータベース上の個人情報が抜き出された、というパターンが典型的なものと言えます。
▼国内で発生したWebサイトへの不正アクセスによる個人情報漏えい・流出事件の例
| 報告・報道 の時期 |
攻撃を受けた Webサイト |
攻撃・個人情報漏えい被害の概要 |
|---|---|---|
| 2018年6月 | 仮想通貨取引所 | 不正アクセスにより、顧客からの預かり資産のうち約70億円相当の仮想通貨が流出 |
| 2019年1月 | ファイル転送サービス | サーバ脆弱性への攻撃による不正アクセスで、約481万件の顧客情報が流出 |
| 2019年3月 | 自動車メーカー販売子会社 | 不正アクセスにより最大310万件の顧客情報が流出した可能性 |
| 2019年7月 | 大手流通グループ | キャッシュレス決済サービスの脆弱性を突いた不正チャージと不正利用により約3800万円の被害 |
| 2020年9月 | 大手携帯キャリア | 販売代理店の元社長により携帯電話契約者の顧客情報や口座情報等、約6300件が不正に持ち出される |
| 2021年5月 | 婚活マッチングサービス | サーバーへの不正アクセスにより、約171万件の個人情報が流出 |
| 2021年7月 | 大手航空会社2社 | 旅客系システム企業への不正アクセスにより、2社合計で最大約192万件の顧客情報が流出 |
| 2022年10月 | 大手旅行会社 | クラウドデータへのアクセス権限設定ミスにより、最大約1.1万件の個人情報が流出 |
| 2023年6月 | 大手中古車販売会社 | ランサムウェア攻撃により、約240万件の個人情報が流出の可能性 |
| 2023年10月 | 大手通信グループ会社 | 元派遣社員による不正流出により、約928万人分の個人情報が流出 |
| 2023年11月 | 大手IT企業 | マルウェア感染をきっかけとした不正アクセスにより、合計で40万件以上の個人情報が流出 |
個人情報漏えい事件判明の経緯
情報漏えいが発生したかどうかを、簡単に調べる方法は残念ながらあまり確立されていません。ログファイルからチェックする方法は比較的手軽に実施できますが、膨大なログをチェックすることになるため、常に実施するにはあまり現実的な方法ではありません。
いろいろな事件のケースを調べると、事件発生後しばらくしてから判明することが多いようです。ユーザーやカード会社などから「情報が漏えいしている疑いがある」という外部からの連絡が、漏えいを認識するきっかけとなります。情報漏えい対策マニュアルや、対策となるサービスを導入していれば、社内での対応者がいち早く対応できますが、それらが用意されていない場合では、第三者機関やベンダーへの確認・対策が行われ、その結果をもって漏えい被害を受けた側がようやく確認する、ということも珍しくありません。
漏えいを認識しながらも、対応に手間取るケースが後を絶たないのです。
個人情報漏えいの被害と影響 ~事故が起こるとどのくらい大変なの?~
【1】 顧客への直接的被害
情報漏えい事件が起こると、まずWebサイトを利用しているユーザーに直接的な被害が発生する可能性が出てきます。個人を特定しうる重要な情報が第三者の手にわたって(売買される例も多いようです)、登録した覚えのないDMが届いたり、他のWebサイトで同じパスワードとIDの組み合わせを利用しているユーザーには、パスワードやIDとなるメールアドレスが漏えいすると、他のサイトで不正アクセスをされる被害も発生してしまいます。
特に重要な決済情報であるクレジットカード番号が流出することはもちろん大問題です。しかし、それ以外の情報でも、上記のように悪用の方法は多岐にわたります。Webサイトで会員情報等を管理する場合は、予想以上の被害が発生しうることを十分に意識するべきだと言えます。
【2】 被害サイトが、クレジットカード決済を利用できなくなることも
クレジットカードで決済可能なECサイトでは、事件が判明すると決済サービスの利用を一時的に停止されてしまうこともあります。被害を受けたECサイトがクレジットカード決済を再開するためにいろいろなセキュリティー対策の実施が必要になったものの、対策費用が高額だったためにクレジットカード決済が数年間再開できなかった、といったケースもありました。
クレジットカード業界の取り組みとして、本人確認の方法は徐々に整備されてきています。しかし、クレジットカード以外の情報でも、上記のように悪用の方法は多岐にわたります。Webサイトで会員情報等を管理する場合は、予想以上の被害が発生しうることを十分に意識するべきだと言えます。
【3】 調査や報告など各種手続きに追われる
◆ 警察への連絡
本当にWebサイトから情報が漏えいしている場合は、盗難事件にあたる可能性がありますので、警察に連絡しなくてはなりません。警察庁の「サイバー警察局」では、オンラインでの相談窓口も設置されています。緊急を要すると判断した場合は、110番に電話し所轄の警察署に相談しましょう。
◆ セキュリティー調査や対策の実施
漏えいしている個人情報の内容を確認したり、その証拠(Webサーバー等のシステム)を保全したり、そもそも稼働しているWebサイトを停止するか等をすぐに決めなくてはなりません。できれば、そういった非常事態が発生した際の連絡先一覧表と意志決定プロセスを組織内でまとめて周知しておきましょう。
◆ 利用者や関係者、マスコミへの案内
Webサイトのユーザーや取引先の企業に対していち早く連絡することが大切です。事件の発生からその後の対処経過も含めてWebサイトにて公表するとユーザーの不安も軽減できます。逆に、公表が遅れると不安が増大しかねません。
情報漏えい発生時の対応ポイント
万が一、漏えい事故が起こってしまったら何をすべきでしょうか? 第一に考えるべきはユーザーへの影響です。これを防ぐために参考となる資料が多くの団体等から公開されています。参考にして迅速な対応を心がけましょう。
独立行政法人 情報処理推進機構(IPA)では、「情報漏えい発生時の対応ポイント集」と題した情報漏えい時に行うべき対応をまとめた資料や「中小企業のためのセキュリティインシデント対応の手引き」をPDFファイルで発表しています。念のため確認しておきましょう。
一般社団法人 JPCERT コーディネーションセンターでは、インシデント対応時に整理しておくべき事項をまとめた「組織内CSIRT構築の参考資料 インシデント対応マニュアルの作成について」を公開しています。
個人情報保護法及びマイナンバー法に基づき、個人情報保護にまつわる活動を行う個人情報保護委員会でも、「漏えい等の対応とお役立ち資料」として「漏えい等報告」「漏えい時の対応について(事業者編)」などの飼料を公開しています。
【4】 損害賠償責任
過去に何度も報道されていますので、皆さんもご存じだとは思いますが、情報漏えい事件が発生すると、被害ユーザーに対して補償や損害賠償をすることがあります。金額の多寡はまちまちですが、漏えいしたしまった情報の内容によっては、非常に高額になる事例もあります。
※計算例: 一人1万円×10000人=1億円
ユーザーへの補償額・賠償額だけでなく、それに付随する対応のために、専門家への報酬や手続き費用など、まとまった金額が必要となることが一般的です。
【5】 人材面での損害
ユーザーへの被害や対応、また金銭的な被害の陰に見過ごされがちですが、事故が発生すると、事後対応に苦慮し、組織がとても疲弊してしまう例が多いのです。その結果、問題の解決にあたったキーマンが会社を辞めてしまう例も少なくないようです。
もちろんお金の問題も大切ですが、それ以上に、優秀な人材が疲弊し会社を去ってしまう、人的被害も小さくありません。もし一人に漏えいに関する対応を任せてしまい、その一人が職を辞したら、社内には情報漏えい対策のノウハウは残りません。組織で対応したとしても、降ってわいた情報漏えい対応に忙殺され、中小企業では企業ドメインの縮小に発展することも珍しくはありません。情報漏えいを未然に防ぐための対策は、企業規模によっては会社自体を守ることにも直結するのです。
【6】 ネットに残り続ける風評
そして、個人情報の流出がその後の事業にじわじわと影響を与え続けるのが、長期間にわたる風評です。事故発生後の的確な対応や、追加したセキュリティー対策によりユーザーの信頼を速やかに回復できる場合もありますが、一般的には、既存のユーザーが離れてしまうだけでなく、新規のユーザーも警戒してしまうなど、数年にわたり売上や利益に影響することが多いようです。
ネットでの情報はなかなか消えないため、ECショップの名前で検索すると、漏えいに関するニュースが検索結果の上位に表示される、などということも考えられます。
個人情報漏えい事故の責任 ~誰の責任なの?~
情報漏えいの責任については、状況によっては、漏えいした本人やWebサイト制作者にもあるのではないかという意見もありますが、いままでの判例等をみると、やはり企業側に損害賠償等の責任を求めることが多いようです。
ECサイトに限らず、Webサイトを運営する企業の多くは、外部業者にプログラムの開発や運用を依頼しています。委託元であるサイト運営者自身が、Webサイトのセキュリティー上の問題を意識し、委託先業者と情報を共有してしっかりと管理しましょう。
参考: 情報処理推進機構「安全なウェブサイトの作り方」
(後編に続く)