近年個人情報漏洩のニュースが非常に多く流れるようになっています。
個人情報の漏洩は、どのような個人・組織でも起こる可能性がありますが、組織が引き起こす個人情報の漏洩は、その組織自体に非常に大きなダメージを与えますので、今すぐに対策すべき問題であり、経営者やIT等の担当者はその意識を持っていないといけない時代であると言えます。
当ページではそのような情報漏洩に対する意識を啓蒙するためこれまでのニュース情報を整理しています。
ご自身の対策のためにぜひお役立てください。
最新個人情報漏洩事件・関連ニュース
08月24日:糸満市教育委員会の事務員が個人用端末で児童情報を誤送信
08月24日:米国司法省がウーバー元CSOを不正アクセス隠ぺいの疑いで起訴
08月21日:アイテックが不正アクセス被害でユーザー情報流出の可能性
08月21日:台湾政府がサイバー攻撃被害、中国系ハッカー集団関与か
08月20日:グルメ情報サイト「キッチハイク」11万件超のユーザー情報流出か
08月20日:不正アクセス被害、サーバー内の情報閲覧の可能性|アクトインディ株式会社
08月19日:オンラインゼミのWEBアンケート回答内容が一部流出|マイナビ
08月19日:インターンシップ事業でメール誤送信、個人情報14件流出|新潟県
08月18日:プレミアム付商品券関連で市民のアドレスが外部流出、静岡県焼津市
08月18日:遠隔授業で学生の個人情報1件流出、公立諏訪東京理科大学
>さらにニュースを見る過去の個人情報漏洩事件まとめ
日付は事件発生日、発表日または報道日など。責任を代表する事業者名で記述。
<凡例>
- 被害1千件以上
- 二次被害発生の報道や故意
- その他適宜
2020年
| 日付 | 法人・団体名 | 件数・人数 | 漏洩原因 | 漏洩内容・詳細・二次被害(悪用)など |
|---|---|---|---|---|
| 2020/8/6 | 一般社団法人ライフサイエンス・イノベーション・ネットワーク・ジャパン | 1,733件 | 不正アクセス | 職員が使用するメールアカウントが外部からの不正アクセスを受け、アカウント内の情報が不正閲覧されたほか、関係者に向けた大量のなりすましメールが送信されたと明らかにした。事案の概要を通知し注意喚起。二次被害抑止に向けて対策を進めている。 |
| 2020/8/5 | 株式会社エムアイカード | アカウント:1万5,336件 ユーザー情報:3,583件 |
リスト型アカウントハッキング | 「三越伊勢丹オンラインストア」のユーザーアカウント、エムアイカードウェブサイトのユーザー情報が、第三者のサイバー攻撃による不正閲覧が発生したと明らかにした。被害アカウントのユーザーに対してパスワードを変更し、他のサービスとの使いまわしを避けるよう呼び掛ける方針。 |
| 2020/7/30 | 株式会社Kitamura Japan | クレジットカード情報:44件 個人情報:5,589件 |
不正アクセス | 2020年6月15日までに、同社ECサイトでカード決済を使用したユーザーについてカード情報が流出し、不正利用被害まで生じた可能性が判明。攻撃の影響で2019年10月25 日~2020年1月7日にかけて、「キタムラジャパンオンラインストア」にてカード情報を決済したユーザーや会員登録したユーザーの情報について、流出の可能性が生じている。 |
| 2020/7/24 | 株式会社キッチハイク | 11万6,863件 | 不正アクセス | 運営するグルメ情報サイト「キッチハイク」に対し不正アクセスが発生、情報流出の可能性を公表。8月14日に続報を出し、調査専門会社からの報告内容を公表した。不正アクセスによる情報流出は、は2020年7月21日までに登録したユーザー情報11万6,863件。氏名やメールアドレス、電話番号等。 |
| 2020/7/22 | みずほ総合研究所株式会社 | 約250万件 | 紛失(誤廃棄) | 個人情報を記録した外部記憶媒体を誤って紛失(廃棄)したと公表。顧客情報約66万9千件、顧客のサービス利用実績に関する情報約183万8千件が含まれていた。データの読み取りには特殊なシステム環境が必要であるため、情報流出の可能性は低いとしている。 |
| 2020/7/16 | MGMリゾート | 個人情報:約1億4千万人 | 不正アクセス | 約1億4千万人もの個人情報が、ハッカーフォーラムにて販売されている事象が確認されている。個人情報を約30万円程度で有償販売を開始。関係企業に混乱を与えている状況。クレジットカード情報は含まれていないが政府関係者やTwitterCEOのジャックドーシーやジャスティンビーバー、主要技術企業の従業員情報などの個人情報が内在している事実も判明している。 |
| 2020/7/16 | 株式会社城南進学研究社 | 3万4,263件 | 不正アクセス | 公式ウェブサイトのデータを格納するサーバーが第三者による外部からの不正アクセスを受け、ウェブサーバー内のデータや2016年4月以降の資料請求者に関する個人情報3万4,263件について、流出の可能性があると明らかにした。流出被害に関しては記事発表時点で二次被害等は確認されず、カード情報等についても流出の可能性はないとのこと。 |
| 2020/7/13 | 株式会社アスカ | 3万件 | 不正アクセス | アスカグループへのサイバー攻撃は、同社に登録していた派遣労働仮登録者の氏名や住所、連絡先に資格などの個人情報が、インターネット掲示板に不正にアップロードされた可能性がある。攻撃者はウェブサービスに本来想定されていない不正なコードを注入する「SQLインジェクション」と呼ばれる手口で情報を抜き取ったものと見られてる。 |
| 2020/7/12 | 愛知県豊橋市 | 個人情報:最大1万9,828件 口座情報:最大6,173件 |
紛失 | 上下水道局の取引先情報が保存されたUSBメモリを紛失。保存されていたのは取引関係にある個人・法人の情報で、銀行口座番号や口座名義人に関する情報も含まれていた。 |
| 2020/7/6 | 学校法人おかやま希望学園 | 3,083件 | 紛失 | 学校法人おかやま希望学園が運営する吉備高原のびのび小学校の校長がUSBメモリを紛失し、児童ら3.083件の情報が行方不明。在宅ワークのためUSBメモリを持ち出していた。 |
| 2020/6/15 | 株式会社キタムラ | 最大40万件 | パスワードリスト型攻撃 | 運営する「カメラのキタムラネットショップ」に対し不正アクセスが発生し、顧客情報最大40万件が流出した可能性。攻撃はパスワードリストを用いたものと見られ、一部の顧客についてはポイントの不正利用等も確認されている。クレジットカード情報は保持していないため、流出はないとしている。 |
| 2020/6/12 | 一般財団法人日本国際協力センター | 1,984件 | 不正アクセス | 運営するアフリカ人留学生関連のポータルサイト「ABEイニシアティブ」に対して不正アクセスが発生し、留学生やJICA職員などの情報1,984件が流出した可能性。これを受けサイトは閉鎖。再開時期は未定だが、セキュリティ強化に努めるとしている。 |
| 2020/6/9 | 任天堂株式会社 | 約14万件 | パスワードリスト攻撃 | 2020年4月に発覚した「ニンテンドーネットワークID(NNID)」へのパスワードリスト攻撃で、約16万件の情報流出が確認されていたが、その後の調査で新たに約14万件の情報流出が確認された。前回の被害時同様、パスワードリセットで対応済みとしている。 |
| 2020/6/2 | 厚生労働省 | 1,118件 | システム不具合 | 2020年5月20に公開した「雇用調整助成金等オンライン受付システム」において、システム不具合により"他人の情報が表示される"事態が発生。その後原因を調査したところ、内部処理に使用する識別ID付与の設計ミスと判明した。最終的に548件の重複IDが確認され、1,118件の登録者について情報が誤表示された可能性。情報には取引先金融機関名、口座番号等も含まれていた。 |
| 2020/5/12 | 株式会社日本経済新聞社 | 1万2,514件 | フィッシングメールからマルウェア感染 | 日本経済新聞社グループの従業員が所有するPC端末がマルウェアに感染したことにより、日経及びグループ企業の社員・関係者の情報1万2,514件が流出した。社内端末にはウイルス検知システム等のセキュリティ対策が施されていたが、感染したマルウェアは未知のものの可能性が高く、セキュリティ対策をすり抜けたと考えられている。 |
| 2020/5/7 | 鳥取市 | 合計8万6,687件 | 不正アクセス | 鳥取市が運営するショッピングサイト「とっとり市」に対し複数回の不正アクセスが発生し情報が流出した。1回目の不正アクセスでは顧客情報2万7,279件、注文情報5万9,021件が流出、2回目では396件の情報が流出したことがわかっている。流出対象者に二次被害の警戒を呼びかけている。 |
| 2020/5/1 | 沖電気工業株式会社(OKIクロステック株式会社) | 約7万件 | 紛失 | 沖電気工業株式会社のグループ子会社であるOKIクロステック株式会社が、三井住友銀行より事務機器の保守業務を受託していましたが、作業の過程で情報が保存されているハードディスクドライブを紛失していたことがわかりました。ハードディスク内には、同行葛西支店の顧客情報・取引履歴約7万件が保存されていたとしています。 |
| 2020/4/24 | 任天堂株式会社 | 約16万件 | パスワードリスト型攻撃 | 提供するネットワークサービス「ニンテンドーネットワークID(NNID)」約16万件および、一部の「ニンテンドーID」について、外部からの不正ログインが確認されたと明らかにしました。緊急的な対応として、NNIDやニンテンドーIDのログインパスワードをリセットしたほか、NNIDを経由してのニンテンドーIDへのログイン機能を削除するなどの措置を講じました。 |
| 2020/4/19 | 株式会社リジョブ | 最大22万6,991件 | 不正アクセス | 2020年4月17日に実施したネットワーク調査にて、同社が使用するシステム用のサーバーへの不正アクセスの痕跡を確認。これを調査したところ、テストサーバーのデータベースに2015年12月5日以前に登録していたユーザー情報最大20万6,991件が記録されていた事実が判明し、流出の可能性が浮上した。 |
| 2020/4/16 | 一般社団法人全国土木施工管理技士会連合会 | 最大7万2,000件 | 不正アクセス | 提供している会員向け継続学習システム(CPDS)の登録会員情報、約7万2千件が流出した可能性があると明らかにしました。流出は警視庁からの通知で発覚し、連合会側では不正アクセスの原因や攻撃の手口について、今後調査を行うとしています。 |
| 2020/4/13 | Classi株式会社 | 最大122万件 | 不正アクセス | ベネッセホールディングスとソフトバンクグループの合弁会社であるClassi株式会社が提供する、教育機関向けSaaS「Classi」に対し不正アクセスが発生。最大122万件の利用ID・暗号化されたパスワードが流出の可能性。7月30日に続報 |
| 2020/4/13 | ナカバヤシ株式会社 | 最大12万件 | SQLインジェクション攻撃 | 運営するECショップ「フエルモール」に対しSQLインジェクション攻撃が発生。顧客情報最大12万件が流出した可能性。 |
| 2020/4/9 | 北海道文化放送株式会社 | 6,727件 | 紛失 | 外部の個人情報が含まれた業務用外付けハードディスクを紛失。保管場所で管理されているはずのハードディスクが紛失していることに従業員が気付き発覚。2020年3月4日から全部署内で捜索を進めたが、記事発表時点で発見に至っていない。 |
| 2020/4/7 | サイバーエージェント | 1,027件 | 不正アクセス | AWS上で管理するシステムの広告配信管理画面に対して、外部からのサイバー攻撃が発生し、Ameba Infeed及びAmebaDSPのユーザー1,027件に流出の可能性があると明らかにしました。攻撃者によりアクセスキーやシークレットが不正利用された痕跡が見つかったとのこと。これにより内部に保存されていたデータに対して、外部からアクセスできる環境が整ってしまったと考えられています。 |
| 2020/3/27 | 株式会社道新サービスセンター | 2万8,515件 | 委託先従業員による操作ミス | 株式会社道新サービスセンターの業務基幹システム構築作業を委託していた従業員が作業中にミスを起こし、保有する取引先情報2万8,515件(この内個人情報:1万5,599件)については個人情報が外部閲覧可能な状態にあったと明らかになりました。また問題の誤表示について、委託先企業は道新サービスセンターへ報告をしていなかったことがわかっています。 |
| 2020/3/17 | 金沢市立病院 | 1,726件 | 委託先従業員による持ち出し | 管理する医療情報管理システムの保守管理業務を委託していた事業者の再委託先に所属する従業員が、患者情報1,582件・医師等の情報144件をUSBメモリに複製し、持ち出していたことが判明。今後は作業場所に監視カメラを設置するなど対策を行うとしています。 |
| 2020/3/7 | 鎌田醤油株式会社 | 5,787件 | 不正アクセス | 運営する業務用醤油販売サイトが不正アクセスを受け、会員情報5,787件が流出した可能性。不正アクセスは海外のIPアドレスからによるもの。 |
| 2020/3/5 | JR東日本 | 3,729件 | 不正ログイン | 運営する「えきねっと」に対しサイバー攻撃が発生、スマートフォンアプリを通じて3,729件のユーザーアカウントが不正にログインされた。この内13件については住所や電話番号、クレジットカード情報などを不正に閲覧された可能性があり、二次被害が懸念される。 |
| 2020/3/4 | ブックオフグループホールディングス株式会社 | 1,309件 | メール誤送信 | オンラインショップサイト「ブックオフオンライン」のサービス利用者に向けたメールを誤送信し、ユーザーのメールアドレス1,309件が流出。 |
| 2020/2/27 | 株式会社ホビーズファクトリー | 6万3,587件 | 不正アクセス | 運営する「カードショップBIG-WAVE」の登録顧客情報6万3,587件が流出の可能性。流出の原因は特定できていないが、データ保管先のサーバの脆弱性を悪用された可能性が高いとしている。 |
| 2020/2/26 | LINE株式会社 | 4,000件超 | 不正ログイン | LINEの日本ユーザーに対し短期間で4,000件以上の不正ログイン行為が確認された。攻撃者はアカウントを乗っ取り、本人になりすまして商品購買やアカウントの窃取を目的としたURLを投稿していたとのことです。 |
| 2020/2/10 | ライクアカデミー株式会社 | 6,693件 | 不正アクセス | 運営する保育園向け連絡アプリ「ナナポケ」のテスト環境に外部からのサイバー攻撃が確認され、データベース内に登録されていた個人情報に流出の可能性が生じた。情報の内訳は保護者2,939件、園児3,754件。今後はセキュリティを強化し再発防止に努めるとしています。 |
| 2020/2/5 | 東京農工大学 | 4,453件 | 不正ログイン | 大学職員2名が使用しているメールアカウントが不正ログインされ、個人情報が漏洩。学内教職員4,044名分・学生及び学外関係者409名分の情報が漏洩したと見られている。 |
| 2020/1/27 | 株式会社リゾートトラスト | 2万7,763件 | メール誤送信 | メールの誤送信により、2019年2月の会員権による宿泊実績情報2万7,763件が流出。会員名・会員番号・利用先宿泊施設などの情報が含まれていた。 |
| 2020/1/20 | 三菱電機株式会社 | 個人情報:8,122件 その他機密情報 |
不正アクセス | 三菱電機のネットワークに対し不正アクセスが発生、従業員や採用応募者の個人情報の他、技術資料・営業資料などの機密情報が外部に流出した可能性。不正アクセスの原因は、利用するウイルス対策システムの脆弱性を突いたサイバー攻撃と考えられている。 |
| 2020/1/17 | 千葉県富津市 | 1万795件 | USBメモリ紛失 | 富津市の総務部防災安全課において避難行動要支援者名簿作成に使用していたUSBメモリが紛失し、メモリ内に保存されていた個人情報1万795件に流出の可能性。 |
| 2020/1/15 | 株式会社ペットハグ | クレジットカード情報4,098件 | ペイメントモジュール改ざん 偽の決済フォーム設置 |
運営する「ペットハグサイト」に対し不正アクセスが発生、ペイメントモジュールが改ざん・偽の決済フォームが設置され他ことにより顧客のクレジットカード情報合計4,098件が流出した可能性。 |
| 2020/1/15 | 株式会社ダートフリーク | クレジットカード情報最大3,101件 | 不正アクセス | 運営する「ダートバイクプラスオンラインショップ」に対して不正アクセスが発生、顧客のクレジットカード情報最大3,101件に流出の可能性。攻撃者はシステムに内在する脆弱性を悪用したとみられている。 |
| 2020/1/14 | 株式会社荏原製作所 | 個人情報1,720件 | フィッシング詐欺 | 顧客情報を記録したPC端末が不正アクセスを受け、顧客情報1,720件が流出した可能性。2020年1月7日に発生したフィッシング詐欺により、従業員が使用するPC端末が遠隔操作されたとみられている。 |
| 2020/1/7 | 株式会社現代ギター社 | 顧客情報:1万9,328件 クレジットカード情報:133件 |
不正アクセス | 運営する「GGインターネットショップ」に対し不正アクセスが発生、顧客の個人情報1万9,328件及びクレジットカード情報133件が流出の可能性。攻撃者はシステム内部の脆弱性を悪用し、決済画面を改ざん。情報を抜き取ったと見られている。 |
個人情報漏洩について
個人情報とは?
個人情報保護法では、個人情報、個人データ、保有個人データの3つの概念を設けていいるのをご存知ですか?
一つずつ説明していきましょう。
個人情報
生存する個人に関する情報であって、
(1) 氏名、生年月日、住所等により特定の個人を識別することができるもの
(他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む)
例)データベース化されていない書面・写真・音声等に記録されているもの
(2) 個人識別符号(1又は2)が含まれるもの
①特定の個人の身体の一部の特徴を電子計算機のために変換した符号
例)DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋等
②対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号
例)旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等
個人データ
個人情報データベース等(※)を構成する個人情報
例)委託を受けて、入力、編集、加工等のみを行っているもの
(※)名簿、連絡帳のように、個人情報を含む情報の集合物であって、電子媒体・紙媒体を問わず、特定の個人情報を検索することができるように体系的に構成したもの。
保有個人データ
個人情報取扱事業者が開示、訂正、削除等の権限を有する個人データ (6月以内に消去することとなるものを除く。)
例)自社の事業活動に用いている顧客情報、従業員等の人事管理情報
要配慮個人情報
人種、信条、社会的身分、病歴、犯罪 の経歴、犯罪により害を被った事実等が含まれるもの
個人情報漏洩とは?
その名の通り、上記の「個人情報」が、「個人情報を保有する者」および「個人情報に該当する者」の意図に反して、第三者による「故意」または「過失」によって、第三者に渡ることを言います。
