2021年に上場企業とその子会社で個人情報の漏えい・紛失事故を公表したのは120社、事故件数は137件、漏えいした個人情報は574万9,773人分に達した。2012年以降の10年間で、社数と事故件数はそろって最多を記録した。
2012年から2021年までの累計では496社、事故件数は925件となった。個人情報の漏えい・紛失事故を起こした上場企業は、全上場企業(約3,800社)の1割以上を占め、漏えい・紛失した可能性のある個人情報は累計1億1,979万人分に達し、ほぼ日本の人口に匹敵する。
深刻化する不正アクセスなどのサイバー攻撃による事故は、2021年は66社で、事故件数は68件発生した。社数・事故件数ともに3年連続で最多を更新した。
2021年はクレジットカード情報など重要な個人情報の流出や、複数の企業が外部委託していた受注システムが不正アクセスを受け、被害が広がったケースもあった。増加の一途をたどるサイバー犯罪は手口も複雑化しており、セキュリティ対策の難しさを改めて露呈した。
2012年に調査を開始以降、個人情報の漏えい・紛失事故を年別にみると、2021年の事故件数は137件(前年比33.0%増)に達した。2013年の107件を上回り、最多となった。
また、社数も120社(同36.3%増)で、これまで最多だった2020年(88社)を32社上回った。
2021年の事故137件のうち、情報漏えい・紛失件数のレンジ別では「100件以上1,000件未満」が最多で、32件(構成比23.3%)だった。次いで、多かったのは「1,000件以上1万件未満」と「不明・その他」の各30件(同21.8%)だった。「不明・その他」は、調査中などとして件数公表を控えるケースが大半。
情報漏えい・紛失件数が1万件以上は、25件(同18.2%)発生し、前年の19件から6件増加した。このうち、不正アクセスは15件だった。
100万件以上に及ぶ大型事故は2件(同1.4%)発生、ネットマーケティング(情報漏えい・紛失件数171万1,756件)とANAホールディングス(全日本空輸、同100万件)だった。
※ネットマーケティングは純粋なお漏らしだったのに対して、ANAは提携先(SITA)からの漏洩なので、同じ漏洩でもちょっと意味合いが違う気もするが‥‥
2021年の情報漏えい・紛失事故の137件のうち、原因別は、「ウイルス感染・不正アクセス」の68件(構成比49.6%)が最多で、約5割を占めた。次いで、「誤表示・誤送信」が43件(同31.3%)で、メールの送信間違いなどの人為的なミスが中心。
このほか、保管しておくべき書類や取引記録の廃棄・紛失、従業員が外出先で紛失したケースなどの「紛失・誤廃棄」が16件(同11.6%)と続く。
1事故あたりの情報漏えい・紛失件数の平均は、「ウイルス感染・不正アクセス」が11万745件と突出している。膨大な情報に不正アクセスするサイバー犯罪は、紙媒体が中心の「紛失・誤廃棄」(平均3万2,818件)などに比べ、情報漏えい・紛失件数がケタ違いに大きい。
被害の大きさや影響度合いが大きい「ウイルス感染・不正アクセス」は増加の一途をたどっている。事故件数は、調査を開始以来、10年間で最多の68件(66社)発生し、事故件数、社数ともに3年連続で最多を更新した。
68件の事故の漏えい・紛失件数は454万554件に及び、2021年全体(574万9,773件)の約8割(78.9%)を占めた。
「ウイルス感染・不正アクセス」による漏えい・紛失事故では、これまでの最多は2013年5月に不正アクセスで最大2,200万のIDが外部流失した可能性を公表したヤフー(現:Zホールディングス)。なお、2021年の最多はネットマーケティング(171万1,756件)で、歴代6番目の件数となった。
媒体別傾向
情報漏えい・紛失事故137件のうち、原因となった媒体別では「社内システム・サーバー」が81件(構成比59.1%)で最多の約6割を占めた。次いで、「パソコン」が30件(同21.9%)、「書類」が15件(同10.9%)、「その他・不明」が8件(同5.8%)の順。
1事故あたりの情報漏えい・紛失件数の平均では、「その他・不明」が39万9,796件で突出する。これは社外(国際航空情報通信機構)のシステムへの不正アクセスを受けてマイレージ会員情報の一部が漏えいしたANAホールディングス(情報漏えい・紛失件数100万件)、日本航空(同92万件)が押し上げたため。次いで、社内システム・サーバーによる事故が5万2,443件。社内サーバーが不正アクセスを受け、ID、パスワード等の顧客情報が流出したケースなどが多い。
産業別傾向
情報漏えい・紛失事故を公表した120社の産業別では、最多は製造業の31社(構成比25.8%)。
次いで、情報・通信業の20社(同16.6%)、金融・保険業の16社(同13.3%)、小売業の15社(同12.5%)と続き、上位4産業で全体の約7割(同68.3%)を占めた。
製造業の最多は、日清製粉グループ本社(イニシオフーズ)で、社内サーバーへの外部不正アクセスにより顧客情報のほか、社内情報など約6万5,000件の個人情報が流失した可能性を開示した。