2023年「個人情報漏えい・紛失事故」175件で年間最多　流出・紛失情報も最多の4090万人分

株式会社東京商工リサーチ（以下：TSR）は【2023年「上場企業の個人情報漏えい・紛失事故」調査】を実施。2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故が175件（前年比6.0％増）で年間最多となったことを明らかにした。
※ 本調査は、2023年に明らかになった上場企業と子会社の情報漏えい・紛失事故のプレスリリース、お知らせ、お詫びなど、自主的な開示を独自集計した。調査開始は2012年から。
※ 個人情報の範囲を、氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、「漏えいの可能性がある」や、個人情報の不適切な取扱いの結果、生じた事例なども対象とした。また、「対象人数不明・調査中」も事故件数としてカウントした。

2023年は事故件数と情報漏えい人数が過去最多

TSRの調査によれば、2023年の事故件数は175件（前年比6.0％増）で、2012年に調査を開始して以降、3年連続で最多件数を更新している。社数は147社（同2.0％減）で、前年から3社減少し、過去2番目。

また、2023年の事故175件のうち、情報漏えい人数は「調査中・不明等」が63件（構成比36.0％）を占めた。不正アクセスで被害の全容がつかめず「調査中」として、数値公表を控えるケースが多い。

人数の公表分では「1万人以上10万人未満」の30件（同17.1％）が最多となっている。また、100万人以上に及ぶ大型事故は8件（同4.5％）で、前年の2件から4倍に増加。TSRは、大型事故が相次いだ結果、2023年の漏えい人数の総数は4090万8718人分に膨らんだとしており、これに「調査中・不明等」の分を含めると、実態はさらに多くなると推察。年間の漏えい人数は、歴代最多のベネッセホールディングスの漏えい事故（3504万人分）が発生した2014年（3615万1467人）を抜いて、最多を記録したことを明らかにした。

原因別「不正持ち出し・盗難」が前年から約5倍に

2023年の情報漏えい・紛失事故の175件のうち、原因別で最多となったのは「ウイルス感染・不正アクセス」の93件（構成比53.1％）で、半数以上を占めている。次いで、「誤表示・誤送信」が43件（同24.5％）で、メール送信やシステムの設定ミスなどの人為的な要因も多い。

「ウイルス感染・不正アクセス」による情報漏えい・紛失事故は増加の一途をたどっており、2019年以降、5年連続で最多を更新。特に、2023年は感染した端末などのデータを不正に暗号化するなどしてロックをかけ、解除を条件に対価（身代金）を要求するランサムウェアによる感染被害が多発した。

TSRは情報の不正利用や持ち出しにより情報漏えいした「不正持ち出し・盗難」が24件（同13.7％）で、前年の5件から約5倍に増加した点に着目。「不正持ち出し・盗難」による大型事故が相次いだため、情報漏えい・紛失人数の平均は102万4713人分とダントツで多く、被害が広範囲に及んでいるとした。

媒体別最多は「社内システム・サーバー」

情報漏えい・紛失事故175件のうち、原因となった媒体別では「社内システム・サーバー」が125件（構成比71.4％）で最多となり、全体の7割を占めた。次いで「パソコン」24件（同13.7％）「書類・紙媒体」20件（同11.4％）「その他・不明」6件（同3.4％）の順となっている。

1件あたりの情報漏えい・紛失人数の平均では、「社内システム・サーバー」を媒体とした事故が47万1096人分と突出。社内サーバーが不正アクセスを受けたことによる顧客情報の流出や、従業員がサーバーにアクセスして不法に個人情報を入手したケースが発生した。

まとめ

TSRは2023年の個人情報漏えい事故について「情報管理の意識欠如を含めた人為的な理由での漏えい事故が多いことが特徴だった。事業価値の維持のためにも、個人情報の適切な取り扱いは一層優先して取り組むべき経営課題で、改めて情報保護に対する取り組み強化が求められる」とまとめている。

個人情報漏えい事故は、経済的な損失はもちろんのこと、信頼を失うという大きなリスクを併せ持っている。改めて社内への啓蒙や従業員一人ひとりのリテラシー向上に取り組むきっかけとしていただきたい。