2025年現在、企業における個人情報保護対策の重要性は一段と高まっています。背景には、2024年4月に施行された「個人情報の保護に関する法律施行規則」の改正と、それに伴うガイドラインの見直しがあります。この改正により、これまで報告対象外とされていた一部の「個人情報」も新たに規制の対象となり、Webスキミングなどによる情報漏洩事故も報告義務の範囲に含まれるようになりました。

さらに、「個人情報データベース等不正提供等罪」（第179条）に係る法人両罰規定（第184条第１項第１号）等の法定刑が引き上げられ、法人に対する罰金額の上限は従来の数十万円から最大1億円へと厳罰化されました。悪質な不正取得や提供があった場合には、懲役刑や高額な罰金が科される可能性もあります。

個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方①）より

このほかにも、退職後の元従業員による情報漏洩なども企業責任が問われる可能性があり、虚偽報告や立入検査拒否にも罰則が適用されるなど、違反抑止のための規制はより厳格化しています。

法改正による個人情報流出への規制強化

さらに現在は、個人情報保護法の「3年ごとの見直し」に向けた議論も進行中です。2024年秋以降、有識者会議では課徴金制度の導入など、企業の責任をより明確化・重罰化する方向での検討が進められており、2025年6月には中間整理が発表されました。

個人情報保護委員会（PPC）も、グループ会社や海外拠点を狙ったサイバー攻撃により個人情報の流出が発生するケースが増えていると指摘しています。こうした背景から、企業には境界を越えたセキュリティ対策、すなわちグループ全体での個人情報流出リスクに備えた情報管理体制の強化が不可欠です。

企業はこれまで以上に「情報が漏れる」ことを未然に防ぐための対策が求められています。ログ監視、アクセス制御、従業員教育などの予防策に加え、インシデント発生時の迅速な対応体制も整備し、個人情報の流出を防止する姿勢が重要です。

増え続ける個人情報流出

規制強化の背景には、情報漏洩インシデントの増加があります。東京商工リサーチの調査によれば、2024年に上場企業とその子会社が公表した個人情報の漏洩・紛失事故は189件と過去最多を更新しました。幸い漏洩人数合計は約1,586万人分と前年より減少しましたが、それでも日本の人口の1.5倍にあたる累計1億8,249万人分の個人情報が2012～2024年の13年間で漏洩した計算になります。

東京商工リサーチ　2024年「上場企業の個人情報漏えい・紛失事故」調査より

頻発する情報漏洩事故は他人事ではなく、企業規模や業界を問わず発生している深刻なリスクと言えます。特に近年目立つのが、委託先やグループ会社経由の情報漏洩や内部関係者による不正です。例えば以下のような事例が挙げられます。

元派遣従業員による管理権限の悪用で900万件超が流出

ある大手通信関連企業グループで、委託業務を担っていた子会社に派遣されていた元従業員が、業務用システムの管理権限を悪用し、長期間にわたり顧客情報を不正に持ち出していたことが発覚しました。

この不正行為は約10年間続いており、個人情報流出のリスクが放置された状態にありました。事件が明るみに出たのは、警察による捜査協力の要請がきっかけで、企業内部の監視体制では個人情報の流出を把握できていなかったのです。

調査の結果、流出した個人情報は900万件以上にのぼり、個人だけでなく法人・団体の顧客データも含まれていました。ログの定期的な確認やアクセス権限の管理が不十分だったことが、こうした大規模な個人情報流出を長期にわたり見逃してしまった原因とされています。

この事態を重く見た企業グループは、経営トップの辞任をはじめとする責任の明確化を図り、関係する従業員を懲戒処分としました。加えて、情報管理体制の見直し、委託先への監督強化、従業員教育や社内監査の徹底など、グループ全体での個人情報流出防止に向けた再発防止策が講じられています。

保険代理店による不適切な共有で個人情報が流出

ある保険業界グループ企業において、代理店を介した個人情報流出事故が相次いで発生しました。

主な原因は、保険契約に関する証券番号や契約者氏名などの個人情報を、本部から複数の拠点にメールで送信する際、CCに他の損害保険会社の担当者が含まれていたことによる情報流出です。本来共有されるべきでない情報が、委託先企業や他社にまで不適切に共有されていたことが明らかになりました。

また、同じグループ企業が他の損害保険会社から情報を受信していたケースも複数確認されるなど、全体として個人情報が流出するリスクへの認識や管理体制に不備があったことがうかがえます。

調査の結果、全国176店舗で誤送信が行われていたことが判明し、影響を受けた情報には契約者の氏名や証券番号が含まれていました。こうした個人情報流出の事案を重く見た金融庁からは業務改善命令が出され、あわせて個人情報保護委員会や業界団体からも指導が行われています。

▶ 内部脅威検知事例集のダウンロード【無料】はこちら

【資料】内部脅威検知事例集～IRIサービス～ | エルテスエルテスの提供する内部脅威検知サービス（IRIサービス）で、情報持ち出しや超過勤務（隠れ残業）などの社内脅威を実際に検知した事例をまとめました。無料でダウンロードできますので、業務にお役立てください。株式会社エルテス

個人情報流出を防ぐためのログ分析の重要性

以上の2つの事例からも分かるように、どちらのケースも、事前に適切な対策を講じていれば、個人情報の流出を防げた可能性があります。「自社は大丈夫だろう」といった油断が、思わぬ抜け穴となり、情報が漏れる原因につながることも十分にあり得ます。

機密情報や個人情報を扱う企業にとって、他社の事例から学び、自社の体制を見直す姿勢がますます重要になっています。

中でも効果的な対策のひとつが、「誰が・いつ・どの端末で・どのような操作を行ったか」を把握する操作ログの監視と分析です。社内システムのアクセスログや操作履歴を継続的にチェックすることで、不審な動きや内部不正の兆候を早期に発見し、被害の拡大を防ぐことが可能になります。

また、「操作ログが記録されている」という事実を従業員に明示しておくことは、ルール違反の抑止効果を生み、社内全体のセキュリティ意識の向上にもつながります。

ログ分析は、万が一の不正対策としてだけでなく、日常的なリスク管理の一環としても非常に重要な役割を果たします。

デジタルリスクに備えるならエルテス

エルテスの「内部脅威検知サービス（Internal Risk Intelligence）」では、豊富なデジタルリスク対策の実績と、過去の不正事例から構築されたリスクシナリオ、さらに機械学習技術を組み合わせ、不審な行動の予兆まで捉えられる点が大きな特徴です。

個人情報流出対策として、社内システムの操作ログやアクセスログを活用することで、内部不正の兆候を早期に察知し、リスクの拡大を防ぐことが可能です。

検知後は専門のアナリストが内容を精査し、必要に応じた対応策をご提案します。専任の監視要員がいない企業でも、安心してご利用いただけます。

▶ 内部脅威検知サービス紹介資料のダウンロード【無料】はこちら

情報漏洩対策は、エルテスへ

まとめ

個人情報流出のリスクは、2024年の法改正によって「報告義務」や「企業責任」がより重くなる中、もはや他人事ではありません。実際の個人情報流出事例を見ても、「委託先任せ」や「操作ログ未監視」といった小さな管理の甘さが、大規模な個人情報の流出事故に直結しているケースが多く見られます。

今後の法制度の動向にも注視しながら、自社の情報管理体制を見直し、日常的にできる個人情報流出対策を強化していくことが求められます。

「自社の内部不正リスク対策を強化したい」とお考えの方は、エルテスの内部脅威検知サービスの活用もぜひご検討ください。

著者・監修｜株式会社エルテス編集部

株式会社エルテスは、これまで多種多様な企業のデジタルリスク対策に尽力してきたノウハウを生かし、企業のリスク課題・デジタル課題に役立つコンテンツを提供しています。編集部ではネット炎上やSNS運用トラブル、ネット上の風評被害・誹謗中傷、情報セキュリティ対策など様々なビジネスのリスク課題に関するコラムを発信しています。

実例から学ぶ、企業の個人情報流出リスクとその対策ポイント