安全管理・漏えい対応

個人情報漏えい過去最多、中小企業に多い原因と実務対応の起点

/ 更新: by プライバシーポリシーの専門家:ビーンズ行政書士事務所

個人情報保護委員会への漏えい等報告件数は、2022年の義務化以降、右肩上がりで推移しており、最新の公表データでは過去最多を更新しています。件数の増加は大企業だけの話ではなく、中小企業を含む幅広い業種・規模で発生していることが数字に表れています。

漏えいの原因として件数上位を占めるのは、メールの誤送信・不正アクセス・書類や記録媒体の紛失という三つのパターンです。いずれも大規模なシステム投資を必要とするものではなく、社内フローや管理体制を見直すことで対処の起点を作ることができます。

この記事では、件数増加の背景と中小企業に多い原因パターンを整理した上で、プライバシーポリシーの運用実態、漏えい発生時の対応、管理体制の確認ポイントまでをまとめています。

報告件数が過去最多に達した背景

報告義務の対象拡大が件数を押し上げた経緯

2022年の個人情報保護法改正により、一定の要件を満たす漏えい等については個人情報保護委員会への報告と本人への通知が義務化されました。これにより、それまで組織の内部で処理されていたインシデントが公式な数字として計上されるようになっています。

個人情報保護委員会が公表する四半期ごとの漏えい等報告件数は、改正以降、右肩上がりで推移しています。報告件数の増加には「漏えいそのものが増えた」面と「これまで表面化していなかったインシデントが数字に現れるようになった」面の双方が含まれます。この二つを混同しないことが、件数を正確に読む上で重要です。いずれにせよ、報告件数が高水準で推移していること自体が、企業側に対策の実態を問いかけています。

業種・規模別に見る傾向

公表データを見ると、小規模事業者を含む報告が件数全体の相当部分を占めており、「大企業だけの問題」とは言いにくい状況が続いています。医療・介護・不動産・小売など、日常業務の中で個人情報を継続的に扱う業種での発生が目立つ傾向があります。

「自社には関係ない」という認識が、最初の対策の遅れを招くきっかけになりやすい点は、業種を問わず共通していると考えられます。個人情報をわずかしか扱っていないという自己評価が、管理体制の優先順位を下げる方向に働きやすいのです。

中小企業に多い漏えいの原因パターン

パターン①:メールの誤送信・誤添付

宛先ミス、BCCとCCの取り違え、別のファイルを誤添付するケースが、漏えい原因の件数ベースで上位に継続してランクインしています。同姓同名や社名の類似した取引先へのメール誤送付も、少なくありません。

一般的に送信前に担当者が宛先を確認するフローが整備されていないことが多く、個人の注意に委ねられたまま運用されていることが構造的な背景にあります。確認フローの有無は、手順書やマニュアルの整備状況に直接つながる問題です。
誤送信防止ツールの導入も大切ですが、「他人が確認する」というフローを明文化することも、費用対効果の高い起点となります。

パターン②:不正アクセスによる情報流出

フィッシングメール経由でのアカウント乗っ取り、VPN機器の脆弱性を突いた侵入、クラウドサービスのアクセス権限設定ミスによる意図せぬ公開が代表的なパターンです。「リンクを知っている全員がアクセスできる」状態のまま運用されているケースも、依然として見受けられます。

中小企業でクラウドサービスのアクセス権限ミスが生じやすい理由として、導入時に設定した権限をその後見直す機会がないまま、退職した社員のアカウントが残り続けているという運用実態があります。これは技術的な問題というより、定期的な棚卸しの仕組みが存在しないことが本質的な原因です。

独立行政法人 情報処理推進機構(IPA)が公開している『中小企業の情報セキュリティ対策ガイドライン』でも、従業員の役割に応じたアクセス権限の最小化と定期的な見直しが重要であると指摘されています。

また、個人情報保護法が求める安全管理措置においても、アクセス制御と権限管理は組織的な措置の中核に位置づけられています。標的型攻撃だけでなく、無差別型のスキャンによって設定ミスが発見・悪用されるケースもあるため、「自社はそこまで狙われない」という前提が対策の遅れにつながるおそれがあります。

パターン③:書類・記録媒体の紛失・誤廃棄

廃棄手順が定まっていない書類や、管理が不明確なUSBメモリ・外付け記録媒体の紛失が典型的なケースです。リモートワーク導入後に書類の自宅持ち出し・保管が常態化しているケースも見受けられます。デジタル化が進んでいる企業でも、紙書類や物理的な記録媒体の管理が盲点になりやすい状況は変わっていません。

廃棄の記録が残っていないと、後から漏えいの有無を確認できなくなる点にも注意が必要です。「廃棄した」という事実を証明できる記録を残しておくことが、事後対応の精度を大きく左右します。

「書いてある」と「機能している」の差

プライバシーポリシーと実業務フローの不整合

取得目的や第三者提供の有無がポリシーに記載されていても、実際の業務フローと内容が合っていないケースがあります。新しいツールや外部サービスの導入、委託先の変更、業務範囲の拡大があった際にポリシーを更新していないことも少なくありません。

「書いてあればよい」という認識での運用は、漏えいが発生したときに問題の所在を広げるおそれがあります。ポリシーの記載と実態が乖離している状態では、漏えいが起きた際に法令上・自社ポリシー上という二重の義務違反が問われるおそれがあるためです。

後からポリシーを書き直すことでは解消できない性質のものであり、記載と運用実態を一致させておくことが、事後対応の複雑さを下げる上での前提条件となります。プライバシーポリシーを見直すべきタイミングについては、別の記事で詳しく整理しています。

担当者不在が招く初動の遅れ

「総務兼経理が担当している」状態では、インシデント発覚時の判断が遅れやすい傾向があります。誰が何をするかのフローが決まっていないと、発覚から報告判断までに時間がかかり、速報期限を超えるリスクが生じます。
速報の提出は原則として3〜5日以内が求められます。この期限は、対応フローが未整備の状態では達成が難しい水準です。

「担当者を置くこと」よりも先に、「誰が・何を・どのような順番で行うか」を文書化しておくことが実務的な優先順位となります。体制の整備は規模に応じて行えばよく、大企業と同じ組織構造を求められているわけではありません。

プライバシーポリシーの記載を現在の業務フローに合わせて整備したい、情報取り扱い手順を規程として文書化したいというご要望には、行政書士として対応していますので、まずはお気軽に無料相談をご利用ください

無料で相談する

取引先審査が運用実態の乖離を顕在化させる場面がある

大企業との新規取引・取引継続の審査、ECモール出店、官公庁案件への対応などを機に、取引先からセキュリティチェックシートの提出を求められるケースが増えています。こうした審査では、個人情報の管理体制に関する設問が複数含まれることが多く、ポリシーの有無、保管・廃棄手順の整備状況、インシデント発生時の対応体制などが問われることが一般的です。

ポリシーと実態が乖離したままの状態でこれらの設問に直面すると、記載内容と実際の運用が食い違う回答上の矛盾が生じやすいものです。審査通過を優先するあまり実態と異なる回答をしてしまうことは、後から発覚した場合に信頼上の深刻な問題を招くおそれがあります。この点については、BtoB審査と個人情報管理体制の整合性の記事でも詳しく取り上げています。

審査を機に初めて自社の実態と向き合うという構図は、中小企業では珍しくありません。このタイミングを、ポリシーと運用実態を整合させる起点として捉えることが実務上は合理的です。

漏えい発生時に求められる対応

報告と通知の流れを事前に把握しておく

インシデント発生後の対応速度は、平時にどこまで準備できているかによって大きく左右されます。速報・確報の期限と、それに対応した社内フローを事前に把握しておくことが、期限内対応の前提条件となります。

報告義務が生じる主な要件は以下のとおりです。

  • 要配慮個人情報が含まれる漏えい
  • 財産的被害が生じるおそれのある漏えい
  • 不正の目的による漏えい
  • 1,000件以上の個人情報が含まれる漏えい

報告は速報(原則3〜5日以内)と確報(原則30日以内、不正アクセスによるものは60日以内)の二段階で行います。自社の事案が報告対象に該当するかどうか判断できないまま時間が経過することが、速報期限を超える最も直接的な原因となります。要件の該当可否を判断するための基準を、発生前に社内で共有しておくことが実務上の備えとなります。個人データが漏えいした場合に求められる具体的な対応手順については、別途整理しています。

対応が遅れた場合に生じるおそれ

対応が遅れた場合、行政からの指導・勧告・命令の対象となるおそれがあります。
対外的な信頼の失墜は、顧客との関係だけでなく取引先との関係にも波及する可能性があります。「起きてから調べる」より「起きる前に概要を把握しておく」ことの実務的な意義は、期限内に適切な初動が取れるかどうかという一点に集約されます。

管理体制を確認するポイント

自社の個人情報管理体制を確認する上で、以下の項目を照合してみてください。

個人情報の管理体制を確認する

  1. 自社が扱う個人情報の種類・量・保管場所(紙書類・クラウドサービス・社内サーバー等)を一覧として把握しているか確認する
  2. クラウドサービスのアクセス権限が現在の在籍者に対応した状態に保たれているか確認する(退職者・異動者のアカウント整理を含む)
  3. 個人情報を含む書類・データの廃棄・削除の手順が書面または社内ルールとして定められているか確認する
  4. 漏えいが疑われる事態が発生した際に、誰が最初に対応し、どこに連絡するかが決まっているか確認する
  5. 社員への情報取り扱いに関する周知・注意喚起が定期的に行われているか確認する

プライバシーポリシーの現状を確認する

  1. 現在の業務フロー(個人情報の取得・利用・第三者提供の実態)がプライバシーポリシーに正確に反映されているか確認する
  2. ポリシーを最後に見直した時期を確認し、2022年の法改正後に内容を更新しているか確認する
  3. ポリシーに記載されている問い合わせ窓口の連絡先が現在も機能しているか確認する

上記の確認項目で「できていない」と感じた方
プライバシーポリシーの作成・見直し、情報取り扱いフローを文書化した情報管理規程の作成を承っています。何から手をつければよいか分からない段階でのご相談も歓迎します。
プライバシーポリシー専門サイトへ

まとめ

メール誤送信、不正アクセス、書類・記録媒体の管理不備という三つのパターンはいずれも、大規模なシステム投資なしに対処の起点を作ることができるものです。共通しているのは、個人の注意や経験に委ねた運用が慣行化している点であり、一度状況を棚卸しすれば対処の優先順位が自然と見えてきます。

プライバシーポリシーの記載と運用実態が乖離したままの状態は、漏えいが起きた際に問題の複雑さを増すだけでなく、取引先審査の場面でも予期せぬ形で表面化するおそれがあります。「書いてある」から「機能している」へ、その差を確認することが管理体制整備の出発点となります。

上記の確認事項で気になる項目があった場合、あるいは取引先からのセキュリティチェックシート対応を機に自社の個人情報管理体制を整えたいとお考えの場合は、プライバシーポリシーの内容確認から社内の運用実態の整理まで、法務とセキュリティの両面からお手伝いできます。

プライバシーポリシーの作成・見直し、情報取り扱いの手順を定めた情報管理規程の作成、漏えい発生時の個人情報保護委員会等への報告書作成まで、行政書士・情報処理安全確保支援士として対応しています。まずはお気軽にお問い合わせください。

プライバシーポリシーの作成・確認 お気軽にご相談ください

ビーンズ行政書士事務所 代表 行政書士/情報処理安全確保支援士(登録セキスペ)/個人情報保護士
法律とセキュリティの両方の国家資格を持つ、国内でも数少ないプライバシーポリシー専門の行政書士です。ECサイト、SaaS、マッチングサービス、製造業など幅広い業種のプライバシーポリシーを10年以上にわたり作成・見直ししてきました。テンプレートの使い回しではなく、貴社の実際の運用に合ったポリシーをゼロから設計します。
「うちのポリシー、これで大丈夫?」と思ったら、お気軽にご相談ください!
▶ お問い合わせ

「依頼するほどではないが不安はある」という場合は15分無料診断も行っています▶15分無料診断

関連記事:

個人データが漏えいした場合に必要な対応 個人情報保護法遵守に必要な安全管理措置とは?実務対応のポイントと具体策