顧客情報や財務情報、人事情報など、企業が取り扱う情報にはさまざまなものがあります。これらは、適切な管理を求められる重要な情報資産といえます。もし情報資産が外部に漏洩してしまった場合、企業は社会的信用を大きく損なってしまい、最悪の場合経営の継続が難しくなることも考えられます。
今回は、情報漏洩のリスクに備えるために、参考になる事例をいくつかご紹介したいと思います。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
ランサムウェア被害
まずは、2021年から「情報セキュリティ10大脅威(組織向け)」で常に1位に選出され続けている、ランサムウェア攻撃による事例から見ていきたいと思います。
<KADOKAWA/2024年>
個人情報流出:25万人超
特別損失:約36億円
その他:「ニコニコサービス」全般の長期間サービス停止
社会的なインパクトも大きかったKADOKAWAのランサムウェア攻撃による被害は、2024年6月8日未明に発生しました。KADOKAWAデータセンター内のサーバーが攻撃を受け、被害の拡大を防ぐために同社は直ちにサーバーをシャットダウン。それにより、複数のWebサイトおよびグループの基幹システムに影響が及びました。
売り上げ規模の大きい出版事業の停止は大打撃だったとみられ、通期連結業績ではこの影響で84億円の売上高減少が見込まれています。
<イセトー/2024年>
個人情報流出:約150万人(委託元組織54社が保有する個人情報含む)
特別損失:非公表(取引先への損害賠償請求に対応中)
KADOKAWAと並んで、2024年に大きな話題となったのが、京都市にある印刷会社・イセトーのランサムウェア攻撃被害です。
本来であれば個人情報を保存してはならないサーバーに個人情報が存在しており、そのサーバーがランサムウェア攻撃を受けたことで個人情報が流出してしまいました。また、契約上はすでに削除されているはずのデータが複写され、別部門のサーバーに保存されていたことも判明し、取引先から損害賠償請求される事態に発展しています。
この事例は、預けた情報が漏洩することを前提としたリスクマネジメント設計の必要性についても問うものとなりました。
<エムケイシステム/2023年>
個人情報流出:確認されていない ※漏洩の可能性があった:最大約2242万人分
特別損失:2億2千万円
その他:約1ヵ月のサービス停止
社労士事務所などに対して「社労夢」をはじめとするソフトウェアを提供するエムケイシステムは、2023年6月6日にランサムウェア攻撃を受けたことを公表しました。
現時点まで個人情報の漏洩や二次被害は確認されていませんが、個人情報保護委員会への報告において、攻撃を受けたシステム上で最大約2242万人分の個人情報を取り扱っていたことを公表しました。
個人情報保護委員会は、ユーザーのパスワードルールが脆弱であったことや、ソフトウェアのセキュリティ更新が適切に行われていなかったことで、深刻な脆弱性が残存されていたことなどを指摘し、エムケイシステムに対して再発防止策の確実な実施と継続的な安全管理を求めました。
ランサムウェア攻撃の手法は日々アップデートされており、100%の対策を講じるのは極めて難しいと言えます。そのため、今できる対策を講じつつ、インシデントが発生したときに、迅速かつ責任ある行動がとれるよう、準備をしておくといいでしょう。
内部不正
次に、内部不正による情報漏洩の事例をご紹介したいと思います。
<NTTマーケティングアクトProCX(NTT西日本の子会社)/2023年>
個人情報流出:約900万件
特別損失:非公表
その他:NTT西日本社長が引責辞任
NTTマーケティングアクトProCX社が利用するコールセンターシステムの運用保守を行う会社に派遣社員として勤務していた従業員による内部不正の事例です。元派遣社員は、システム管理者アカウントを悪用し、業務端末などから約900万件超の個人情報をUSBメモリにコピーして持ち出し、第三者へ不正に流出させていました。
<プルデンシャル生命保険株式会社/2023年>
個人情報流出:979件 ※二次被害の発生は確認されていない
特別損失:不明
元社員が退職時に顧客の個人情報を不正に持ち出し、転職先企業へ開示および一部使用されていたことが判明しました。
元社員は、退職時に個人情報の持ち出しが無いことについて宣誓書へ署名していましたが、実際には業務引き継ぎの際に使用した顧客管理リストを印刷し、退職後も自宅で保管していました。
事件発覚後、プルデンシャル生命保険株式会社はすみやかに金融庁ならびに個人情報保護委員会にこのことを報告し、該当のリストはすべて廃棄処分がなされたことを確認した旨を公表しています。個人情報の持ち出しが「紙」で行われた、近年では珍しい事例です。
情報漏洩は外部からの攻撃に対して準備をしていれば大丈夫だと思われがちですが、業務上知り得た情報を使って従業員が不正に利用する可能性もあります。あらゆる可能性を考えたうえで行動することが重要です。
クレジットカード情報の不正利用
最後に、キャッシュレス化が進み、より身近になっているクレジットカードによる被害についても触れておきましょう。
<株式会社金剛堂/2019年>
個人情報流出:30,830件のクレジットカード情報が漏洩のおそれ
特別損失:不明
2019年2月21日、株式会社金剛堂は、契約するオンラインショップの決済代行会社より情報流出の可能性について通知を受け、第三者調査機関に調査を依頼しました。その結果、サイト内にシステムの脆弱性を確認し、その脆弱性を利用してオンラインショップから情報を盗み取られている可能性があることが判明しました。
調査報告によると、攻撃者の手口は、本来の画面に情報を盗み取るために悪意のあるコードを加える「フォームジャッキング」と呼ばれるもので、決済画面が改ざんされていました。
被害期間は2014年12月31日〜2019年2月21日までの長期間にわたり、期間中にサイトでクレジット決済された顧客の情報が抜き取られた可能性があります。
オンラインショップの普及により、パソコンやスマートフォンで、いつでも簡単に買い物ができる時代になりました。しかし、その手軽さのあまり、オンライン決済に対する危機感が薄れていることも否定できません。手軽さとリスクは隣り合わせだという意識を、常に忘れずに持つことが大切です。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
