情報漏洩原因ランキングからわかる内部不正の実態と今すぐ着手すべき対策
近年、多くの業界で情報漏洩事案の報道が見られています。同業他社で情報漏洩事件が報道されることで、自社の情報セキュリティ体制を見直す機会となります。
このコラムでは、株式会社東京商工リサーチが2025年1月に公表した「上場企業の個人情報漏えい・紛失事故」調査結果データをもとに、情報漏洩の主要な原因、特に近年増加傾向にある内部不正の実態を詳細に分析し、企業が直ちに取り組むべき具体的な対策について解説します。
目次[非表示]
- 1.情報漏洩の原因ランキング
- 2.内部からの情報漏洩が増加している理由
- 2.1.リモートワークの普及と監視の難しさ
- 2.2.クラウドサービスの利用拡大
- 2.3.人材の流動化
- 3.内部情報漏洩を引き起こす原因5選
- 3.1.① 退職者による意図的な情報持ち出し
- 3.2.② メールや添付ファイルの誤送信
- 3.3.③ デバイスの紛失・置き忘れ
- 3.4.④ アクセス権限の不適切な設定
- 3.5.⑤ 未承認ツールの無許可利用(シャドーIT・シャドーAI)
- 4.情報漏洩が企業に与える深刻な5つの被害
- 5.内部要因による個人情報漏洩の被害事例
- 6.セキュリティ責任者が今すぐ着手すべき具体的な内部対策
- 6.1.「内部不正」への対策
- 6.2.「ヒューマンエラー」への対策
- 7.行動分析による情報漏洩対策
- 8.まとめ
情報漏洩の原因ランキング
情報漏洩は企業の信用と存続を脅かす重大なリスクであり、発生源は外部・内部を問わず多岐にわたります。
引用:東京商工リサーチ_2024年「上場企業の個人情報漏えい・紛失事故」調査
株式会社東京商工リサーチが2025年1月に公表した『2024年「上場企業の個人情報漏えい・紛失事故」調査』統計によると、情報漏洩の最大の原因は「ウイルス感染・不正アクセス」が全体の約60.3%(114件)を占めており、巧妙化するサイバー攻撃の脅威が常に存在し、外部からの侵入に対する継続的な警戒が不可欠であることを示しています。
次に多い原因は「誤表示・誤送信」で約21.6%(41件)を占めており、悪意のないヒューマンエラーがメールの宛先間違いや添付ファイルの誤選択といった日常業務の中で企業の信用を大きく損なう可能性があります。また、「不正持ち出し・盗難」や「紛失・誤廃棄」も依然として重要な原因として残されています。
内部からの情報漏洩が増加している理由
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2025 組織編」を基にエルテスが作成
独立行政法人情報処理推進機構(IPA)が2025年7月に発表した「情報セキュリティ10大脅威」では、「内部不正による情報漏えい」が優先的に対処すべき課題として第4位にランクインしており、この背景には、現代の働き方の変化や技術の進化が深く関係しています。
リモートワークの普及と監視の難しさ
新型コロナウイルスの影響で急速に普及したリモートワークは、従業員が社外で情報資産を取り扱う機会を大幅に増やしました。自宅やコワーキングスペースなど、オフィス以外の場所で業務を行うことで、PCや記録媒体の紛失・盗難リスクが高まるだけでなく、物理的な監視が難しい環境下での情報管理の不徹底が、不正持ち出しを容易にする側面があります。
クラウドサービスの利用拡大
クラウドサービスの利用拡大も一因であり、利便性が高い一方で、アクセス権限の設定ミスや共有設定の誤りにより、意図せず情報が外部に公開されてしまうケースが後を絶ちません。
人材の流動化
終身雇用制度の変化に伴う人材の流動化も、内部不正リスクを増大させる要因の一つです。転職を検討する従業員が退職後の業務利用を目的として顧客リストや技術情報などの機密情報を持ち出す「手土産転職」が増加しています。
内部情報漏洩を引き起こす原因5選
内部情報漏洩は、企業にとって非常に深刻な問題ですが、その原因は「悪意による内部不正」と「意図しないヒューマンエラー」の二つに大きく分類できます。ここでは、日常業務のあらゆる場面に潜む、内部情報漏洩を引き起こす原因について詳しく解説していきます。
① 退職者による意図的な情報持ち出し
退職を控えた従業員による意図的な情報持ち出しは、内部不正の中でも企業に甚大な被害をもたらす可能性が高い行為であり、その動機は転職先での市場価値を高めるための顧客情報や技術情報の利用、企業への不満など様々です。
企業への帰属意識が低下した時期に、USBメモリへの大量コピー、私用メールへの送信、個人クラウドストレージへのアップロードといった方法で実行されることが多く、企業の監視体制の隙を突くため発覚が遅れる傾向にあります。
▶ 事例から学ぶ、転職者による情報持ち出しの特徴資料を【無料】ダウンロード
② メールや添付ファイルの誤送信
メールや添付ファイルの誤送信は、従業員の「うっかりミス」から発生するヒューマンエラーの代表であり、情報漏洩の原因として非常に多く、機密情報を含むメールを本来送るべきではない第三者に送ってしまう「To/Cc/Bcc」の設定ミスや、同姓の別人に誤って送信してしまう事例が典型的です。
また、本文は正しくても添付ファイルに機密性の高い顧客リストや社外秘の企画書が含まれてしまうケースも発生しており、たった一度の誤操作が数千、数万件に及ぶ個人情報や機密情報の漏洩につながり、企業の社会的信用を大きく損なうだけでなく、損害賠償や行政指導といった法的や金銭的リスクを招きます。
関連記事:ビジネスメールの誤送信を防ぐための意識と起きたときの対処法とは
③ デバイスの紛失・置き忘れ
PCやスマートフォン、USBメモリなどの記録媒体の紛失や置き忘れは、物理的な管理ミスによる情報漏洩の典型であり、リモートワークや出張、外出先での業務が増加した現代において、従業員が社外でデバイスを取り扱う機会が格段に増えたことで、リスクも高まっています。具体的な発生場面としては、通勤中の電車内での置き忘れや、カフェやタクシー内での紛失・盗難が挙げられます。
④ アクセス権限の不適切な設定
アクセス権限の不適切な設定は、内部からの情報漏洩リスクを著しく高める原因です。多くの企業では、従業員の職務に関係なく重要情報にアクセス可能であったり、退職者の権限が放置されたりしている状況が見られます。情報への容易なアクセスは、従業員による意図せぬ誤操作での情報流出リスクを高めるだけでなく、内部不正を行う機会を与えてしまいます。
関連記事:社内の情報漏洩とは?定義や法律、リスク、主な原因と対策を解説
⑤ 未承認ツールの無許可利用(シャドーIT・シャドーAI)
企業が正式に許可していないIT機器やサービスを従業員が業務に利用することを「シャドーIT」と呼び、近年では正式に許可していない生成AIサービスを業務で利用する「シャドーAI」も問題となっています。企業のセキュリティポリシーの管理下に置かれず、情報が「見えない場所」で拡散してしまうため、防御策を講じることが困難になり、機密情報が流出する可能性が高まります。
関連記事:「シャドーAI」とは?見えないAI利用が招く情報漏洩リスクと企業が今すぐ実施すべき対策
情報漏洩が企業に与える深刻な5つの被害
情報漏洩が発生した際に企業が被る損害は、金銭的なものに留まらず、企業の存続そのものを脅かすほど深刻です。ここでは、情報漏洩が企業に与える特に深刻な5つの被害について詳しく解説します。
社会的信用の低下
情報漏洩が発生すると、情報管理ができない企業やセキュリティ意識が低いというネガティブな評判が広まり、顧客からの信頼は失われ、既存顧客の離脱や新規顧客獲得の困難につながり、取引先からも懸念を抱かれ、取引停止を宣告される可能性も生じます。また、優秀な人材から敬遠されることで、長期的な企業成長戦略に不可欠な人材獲得競争において不利な状況を招きます。
業務停止
情報漏洩が発生すると、原因究明や謝罪、再発防止策の策定などに追われ、本来の業務が中断する可能性があります。業務効率の低下や、従業員の士気低下につながり、深刻な影響を及ぼすことがあります。
金銭的損失
情報漏洩が発生すると、調査費用や損害賠償金、顧客への通知費用、メディア対応費用、再発防止策の導入費用など、経営を圧迫する多額のコストが発生します。特に被害件数が多い場合、損害賠償が高額になることが経営上の大きなリスクとなります。
行政指導
情報漏洩で重大な過失が認められた場合、企業は政府や自治体から行政指導を受ける可能性があり、業務改善命令や業務停止命令、事業免許の取り消しなどの重い処罰の対象となり得ます。個人情報保護法違反として法人に最大1億円の罰金が科せられることもあります。
情報の悪用
個人情報や機密情報が漏洩すると、悪意を持った第三者に悪用され、個人だけでなく、所属する組織にも深刻な被害をもたらす可能性があります。具体的には、なりすましや勧誘、クレジットカードの不正利用などが挙げられます。
内部要因による個人情報漏洩の被害事例
ある半導体メーカーの提携先企業に所属していた元従業員が、共同研究の過程で得た営業秘密に該当する技術情報を不正に取得し、国外の半導体企業へ提供していたとして、不正競争防止法違反の容疑で逮捕される事件が発生しました。
この事案に対し、技術情報を保有する企業側は、情報を提供した元社員および提供先企業に対して、1000億円を超える損害賠償を求める訴訟を提起する事態となりました。
機密情報の保護は、単なるコンプライアンス遵守ではなく、企業価値そのものを守るための最重要課題であることがわかります。
セキュリティ責任者が今すぐ着手すべき具体的な内部対策
ここまで、内部情報漏洩が企業にどれほど深刻な被害をもたらすか解説してきました。効果的かつ体系的にセキュリティ体制を強化するためには、対策を意図的な不正行為を防ぐ「内部不正対策」と、従業員のうっかりミスを防ぐ「ヒューマンエラー対策」という2つの大きな柱に分けて考えることが重要です。
ここでは、今すぐ着手すべき具体的な対策について説明します。
「内部不正」への対策
悪意を持った従業員による情報漏洩は、企業の存続そのものを脅かしかねない深刻なリスクであるため、技術的な仕組みによって「不正ができない環境」を作り、万が一不正行為があった場合には「必ず検知される」体制を構築することが不可欠です。
① アクセス権限の最小化
企業がリスク評価やツール選定に時間を要する間に、従業員は自ら外部の解決策を探し始めます。また提供されていても機能が限定的であったり、利用申請が煩雑であったりすると、手軽な外部の無料サービスへ流れてしまう場合があります。
② 操作ログの監視
アクセス権限の最小化と並行して、操作ログの監視を徹底する必要があります。特定の従業員による深夜の大量データダウンロードや通常業務外の領域へのアクセスといった不審な行動を自動で検知・通知するシステムを導入することで、情報漏洩防止や不正アクセス検知、従業員の行動可視化に役立ち、問題の早期発見や迅速な原因究明に繋がります。
③ 退職者への情報管理対策
退職者からの情報漏洩リスクは特に高いため、以下の内部不正対策を徹底することが重要です。
- 顧客情報の取り扱いに関する誓約書を取り交わし、退職後の情報利用禁止や秘密保持義務の継続性を文書化する
- 業務端末の返却はもちろん、クラウドアカウントのアクセス権停止と関連データの完全な削除する
- ファイルの暗号化やUSBポートの制限など、物理的なデータ持ち出しを防ぐ技術的な仕組みを構築する
- 退職前に不審な行動がなかったか、PCの操作ログ(USBの使用やファイル転送履歴など)を必ず確認する
▶ 事例から学ぶ、転職者による情報持ち出しの特徴資料を【無料】ダウンロード
④ ゼロトラストセキュリティモデルへの移行
従来のセキュリティ対策は、社内ネットワークを「信頼できる領域」、社外ネットワークを「信頼できない領域」と見なす「境界型セキュリティモデル」が主流でしたが、リモートワークの普及やクラウドサービスの利用拡大により、社内と社外の境界は曖昧になり、このモデルでは内部からの不正や侵害に対応しきれなくなっています。
そこで注目されているのが、「ゼロトラストセキュリティモデルへの移行」です。ゼロトラストの基本概念は、「社内ネットワークであっても決して信頼せず、すべてのアクセスを検証する」という考え方です。つまり、ユーザーやデバイスがどこからアクセスしてきても、毎回正当性を認証し、認可された範囲内でのみ情報資産へのアクセスを許可します。
これにより、万が一社内ネットワークに不正な侵入があった場合や、内部の人間が不正を働こうとした場合でも、情報資産へのアクセスが都度チェックされるため、被害を最小限に食い止めることができます。
「ヒューマンエラー」への対策
情報漏洩の原因は、悪意ある内部不正だけではありません。従業員の「うっかりミス」によるヒューマンエラーも、決して見過ごせない重大なリスクです。人間は間違いを犯すという前提に、ミスが起こりにくい仕組みを作り、万が一発生した場合でも被害を最小限に抑えるための対策を講じる必要があります。
① メール誤送信防止
メールの誤送信を防ぐための技術的な対策として、「メール誤送信防止ソリューションの導入」が有効です。これらのツールは、メール送信前に宛先や添付ファイルを再確認するポップアップを表示したり、特定の条件下で上長承認を必須にしたりする機能があるため、従業員の最終確認を促し、ミスを未然に防ぐことができます。
② DLPソリューションの導入
さらに高度な対策として「DLP(Data Loss Prevention)ソリューション」の導入も検討すべきです。DLPは、情報漏洩につながると判断したメールの送信をブロックする機能があり、キーワードやフィンガープリント(データの特徴を登録した識別情報)をもとに、機密情報が含まれるメールを自動で検知して送信を止めることができます。
③ 具体的な事例を用いた定期的なセキュリティ研修の実施
従業員のセキュリティ意識と知識の向上は、ヒューマンエラー対策において重要な要素の一つです。他社で実際に発生した情報漏洩事例や、自社内で起きたヒヤリハット事例などを教材として用いることで、従業員はセキュリティリスクを「自分ごと」として捉えやすくなり、単なる知識の伝達に留まらず、行動変容を促すことが可能です。
④ クラウドサービスや情報端末の利用ルールの策定と周知
企業が利用するIT環境が多様化する中で、組織としてのガバナンスを効かせるためには、「クラウドサービスや情報端末の利用ルールの策定と周知」が極めて重要です。どのようなクラウドサービスの利用を許可し、どのような設定で利用すべきか、私物端末を業務で利用する場合の条件、社外へのPC持ち出し時のルールなどを明確に文書化する必要があります。
また作成するだけでなく、全従業員に対しなぜそのルールが必要なのかという理由を説明し、理解と協力を得ることが重要です。定期的な説明会や社内ポータルでの情報公開、Q&Aの設置などを通じて、従業員がいつでもルールを確認でき、疑問を解消できる体制を整えることも大切です。
行動分析による情報漏洩対策
エルテスの提供する内部脅威検知サービス(Internal Risk Intelligence)は、各種ログデータや勤怠データを活用し、人の行動を分析することで、不正の予兆を高精度で検知します。例えば、業務と関係のないデータへの突然のアクセスや、休日の深夜に機密情報にアクセスするといった普段とは異なる「怪しい振る舞い」が発生した場合、情報持ち出しの兆候と判断し、担当者へ通知します。
機械的にアラートを出すソリューションでは、過検知・誤検知のたびにシステム設定の変更が必要になり、担当者の負担となってしまうことが想定されます。
しかし、エルテスの内部脅威検知サービスでは、お客様の事業を理解した担当アナリストが検知内容を確認するため、必要以上のアラートやシステム設定に煩わされることなく、重要なリスク情報だけを受け取ることができます。
まとめ
情報漏洩は、技術の進化とともに原因が多様化し、複雑化しています。特に、このコラムで繰り返しお伝えしたように、外部からの攻撃だけでなく、悪意を持った従業員による「内部不正」や、うっかりミスによる「ヒューマンエラー」といった内部要因による情報漏洩が、企業にとって深刻なリスクとなっています。
情報漏洩から自社を守るためには、どこか一つの対策に偏るのではなく、多角的なアプローチで防御体制を構築することが不可欠です。情報漏洩対策は、もはや単なるコストと捉えるべきではありません。企業が事業を継続するための必要不可欠な「投資」であり、リスクマネジメントの最優先事項として取り組むべき経営課題であると言えます。
企業の情報漏洩対策について、より詳しい情報が必要な方や、具体的な相談をご希望の方はこちらからお気軽にお問い合わせください。
情報漏洩対策のご相談は、エルテスへ
