止まらぬ個人情報漏洩、令和5年度は前年比1.5倍。最新動向を解説

近年、巧妙化するサイバー攻撃やヒューマンエラー等による個人情報漏洩が増加し、企業にとって深刻な課題となっています。個人情報漏洩は、企業にとって風評被害や訴訟リスク、事業停止などの重大な損害を招きえます。

この記事では、個人情報保護委員会が公表した令和5年度の年次報告から見える個人情報漏洩事案の動向について解説します。本記事を参考に、自社の情報セキュリティ対策を強化し、漏洩リスクを未然に防ぎましょう。

個人情報保護委員会の年次報告とは

令和4年（2022年）4月に施行された改正個人情報保護法で、個人情報取扱事業者において個人情報の漏洩等の事案が発生し、それが一定の条件を満たす場合には、個人情報保護委員会（PPC）のウェブサイトから報告することが義務付けられています。

個人情報保護委員会は、令和6年（2024年）6月に令和5年度の年次報告を公表しました。

関連記事：令和6年（2024年）改正個人情報保護法のポイントとは？知っておくべき変更点や対応策を解説

個人情報取扱事業者等に対する監督

令和5年（2023年）度の漏洩等事案については、 1万2120 件の報告処理が行われ、前年度の7685件と比べ大幅な増加となりました。では具体的に内容を見ていきましょう。

漏えい等事案に関する処理状況等

報告された事案のうち、1件当たりの事案で漏洩等した人数は1000人以下が1万1635件（96.0％）、5万人を超える事案の割合が61件（0.5％）でした。

委員会に直接報告された事案において、漏洩等した情報の種類は顧客情報が最も多く（83.5％）、形態別に見ると、紙媒体のみが漏洩等したもの（82.0％）が、電子媒体のみが漏洩等したもの（12.2％）より多くなっています。

個人情報保護法及び個人情報の保護に関する法律施行規則（施行規則）が定める報告義務の類型による分類では、最も多くを占めたのは病歴や人種などの要配慮個人情報を含む個人データの漏洩等であり（89.7％）、これに次いで不正アクセス等、不正の目的をもって行われたおそれのある個人データの漏洩等でした（8.1％）。

このような傾向となった要因は、漏洩等事案の発生原因の多くが誤交付、誤送付、 誤廃棄及び紛失といったいわゆるヒューマンエラーであったこと（合計86.3％）も踏まえると、漏洩等が生じた場合その対象となった本人数が１人であっても報告義務がある要配慮個人情報を含む個人データについて、当該個人データが記載された紙媒体（例えば 医療機関における診療報酬明細書等）の誤交付等による漏洩等事案が多かったことにあると考えられます。

これらの報告を受けて、個人情報保護委員会により、本人への対応の実施状況として本人に対する通知（個人情報保護法第 26 条第2項）が適切になされているか、発生原因を適切に特定及び分析しているか、再発防止のための措置として記載されている事項が発生原因に適切に対応したものであるか等、施行規則所定の報告対象事項についてその内容を確認し、必要に応じて発生原因分析や再発防止策検討の手法等につき情報提供する等の対応が行われました。

報告徴収、指導及び助言の状況

個人情報取扱事業者等に対し73 件の報告徴収、333 件の指導及び助言が行われました。

重大な事案として以下のものが挙げられています。

• 一般送配電事業者が保有する新電力顧客の情報を、そのグループ会社又は同一会社の小売部門である関係小売電気事業者が閲覧し利用していたという事案
• 資源エネルギー庁が管理運用する「再生可能エネルギー業務管理システム」について、一般送配電事業者に割り当てられたアカウントのID及びパスワードを関係小売電気事業者が利用して同システム内の保有個人情報を閲覧し利用していた事案
• トヨタ自動車株式会社が子会社であるトヨタコネクティッド株式会社に対し、車両利用者に対するサービスに関する個人データの取扱いを委託していたところ、同社が管理するサーバ内の個人データが外部から閲覧できる状態となっていたという漏洩等事案
• 医療分野の研究開発に資するための匿名加工医療情報に関する法律（2017年法律第28 号）の医療情報取扱事業者である独立行政法人国立病院機構が患者の医療情報を漏洩した事案
• オプトアウト届出事業者3社が個人情報保護法の規定に違反していた事案
• 株式会社NTTドコモが株式会社NTTネクシアに対し、電話営業用の顧客情報管理 を含む業務を委託していたところ、ネクシア社の派遣社員が、業務上使用するPCから、個人契約するクラウドサービスに無断でアクセスし、合計約 596 万人分の個人データをクラウドサービスへアップロードすることにより、外部に流出させ、漏洩のおそれが生じた事案
• 中学受験学習塾を運営する株式会社四谷大塚の講師が在職中に、塾に通う小学生児童の写真及び動画とともに、塾が管理する在校児童の個人データを検索して閲覧し、私用スマートフォンに入力して記録し、6人分の個人データを自分のSNSアカウントに掲載して漏洩させた事案
• 株式会社エムケイシステム社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏洩等のおそれが発生した事案
• 「ヤフオク！」の特定の商品ページ等において、一定のコマンド等の入力を行った場合に、オークション出品者のGUID（社内識別子）が 表示される仕様となっていたことにより、GUIDが第三者から閲覧できる状態となり、個人データの漏洩のおそれが発生した事案

これらの事案に対し、個人情報保護法第23条に基づく指導が行われ、 一部に対しては、再発防止策の実施状況についての報告等が求められました。

勧告の状況

個人情報取扱事業者等に対して、3件の勧告が行われました。以下の概要が挙げられています。

民間事業者、独立行政法人及び地方公共団体から委託を受け、株式会社NTTマーケティングアクトProCXが行っていたコールセンター事業に関し、業務で用いるシステムの保守運用を同社から委託されたNTTビジネスソリューションズ株式会社に所属し、システム保守運用業務に従事していた者が、委託元の顧客又は住民等に関する個人データ等合計約928万人分を不正に持ち出したことにより、漏洩が発生した事案では、両社に対し、個人情報保護法第23条の規定違反を是正するために必要な措置をとるよう、それぞれ、勧告が行われました。

LINEヤフー株式会社において、業務委託先の韓国企業であるセキュリティ保守会社の従業者により業務上使用されていたPCが、マルウェアに感染したことが契機となり、情報システムが不正アクセスを受け、LINEに関するユーザー、取引先、従業者等に関する個人データが漏洩等した事案では、個人情報保護法第23条の規定違反を是正するために必要な措置をとるよう勧告が行われ、再発防止策の実施状況を含む勧告に対する改善状況について報告等が求められました。

行政機関等に対する監視

個人情報保護法に基づき、行政機関等に対しても、監視が行われました。

保有個人情報の漏洩等事案に関する報告の処理状況

行政機関等に対する監視として、保有個人情報の漏洩等事案について1159件の報告の処理が行われました。このうち、国の行政機関等による報告は162件、地方公共団体等による報告は997件でした。

報告事案の多くは前年度と同じく要配慮個人情報を含む保有個人情報の漏洩等であり（国の行政機関等：61.1％、地方公共団体等：80.3％）、これに次いで本人数が 100 人を超える保有個人情報の漏洩等がありました（国の行政機関等：31.5％、地方公共団体等：18.8％）。

発生原因の多くは誤交付、誤送付、誤廃棄、紛失等のいわゆるヒューマンエラーであり（国の行政機関等：合計6.8％、地方公共団体等：合計 78.8％）、システムの誤設定等その他に該当するものがこれに次いで多いという結果でした（国の行政機関等：22.8％、地方公共団体等：17.7％）。

1件当たりの事案で漏洩等した人数は1000人以下が最も多く（国の行政機関等： 93.2％、地方公共団体等：96.7％）、漏洩等した情報は国民等の情報が最も多く（国の行政機関等：78.4％、地方公共団体等：91.1％）、漏洩等した情報の形態は、紙媒体のみが漏洩等したもの（国の行政機関等：58.0％、地方公共団体等：76.8％）が多くなっています。

資料提出の求め、実地調査、指導及び助言の状況

個人情報保護法及び個人情報の保護に関する法律についてのガイドライン（行政機関等編）の遵守状況等を確認するため、行政機関等に対する計画的な実地調査等が65 件実施され、個人情報の適正な取扱いに関して改善を求める指導、指導した事項について報告を求める資料提出の求め等が行われました。

実地調査等以外に、個人情報の漏洩等事案の報告の受付等に際し、不備のあった安全管理措置に係る再発防止策の徹底を求めるなどの指導及び助言が73 件行われました。重大な事案として以下のものが挙げられています。

• 資源エネルギー庁が管理運用する「再生可能エネルギー業務管理システム」について、一般送配電事業者に割り当てられたアカウントのID及びパスワードを、関係小売電気事業者が利用して同システム内の保有個人情報を閲覧し利用していた事案
• 青森県野辺地町で大部分の町民の氏名、生年月日、健康診断結果及び新型コロナワクチン接種履歴等の個人情報が記録されたUSBが紛失し、漏洩のおそれが生じた事案
• 長野県教育委員会が所管する高等学校2校の教諭2名が、サポート詐欺に遭い、サポート詐欺を図った攻撃者からの誘導に従い、校務用端末であるPCに遠隔操作ソフトを無断でインストールした結果、当該高等学校の生徒及び教職員に関する保有個人情報の漏洩のおそれが発生した事案

これらに対しては安全管理上の問題への不十分な対応について個人情報保護法第66条第１項に基づく指導が行われ、青森県と長崎県の事案については、再発防止策の実施状況について資料提出等も求められました。

まとめ：個人情報漏洩事案は報告開始以降最多に

令和4年（2022年度）改正以降は、個人情報保護委員会による報告が義務化されていますが、令和5年度の報告件数12120件は前年度に比して約58％増であり、報告が努力義務になった平成25年（2017年）度以降で最多となりました。

個人情報の取り扱いに関しては、措置を誤って実際に漏洩が発生してしまうと、このような形で個人情報保護委員会のサイトに公表されることになり、企業ブランドの毀損や社会的信用の失墜などにつながります。個人情報の取り扱いや運用については、弁護士に相談して、あらかじめ対応しておくことをおすすめします。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。昨今、個人情報の漏洩は大きな問題になっています。万が一個人情報が漏洩してしまった場合、企業活動に致命的な影響を及ぼす場合もあります。当社は情報漏洩防止や対応策について専門的な知見を有しています。下記記事にて詳細を記載しております。

モノリス法律事務所の取扱分野：個人情報保護法関連法務