catch-img

【2025年版】内部情報漏洩の最新事例と組織が考えるべき対策

著者・監修|株式会社エルテス編集部主なデジタルリスク

内部脅威検知情報セキュリティリスク管理レピュテーションリスク情報漏洩内部不正

企業を取り巻くセキュリティ環境が複雑化するなかで、外部からのサイバー攻撃だけでなく、従業員による内部情報漏洩が経営に大きな影響を及ぼし得るリスクとして広く認識されつつあります。

営業秘密の漏洩事例の有無
引用:IPA「企業における営業秘密管理に関する実態調査2024」


実際に独立行政法人情報処理推進機構(IPA)が2025年8月に公開した「企業における営業秘密管理に関する実態調査2024」でも、「過去 5 年以内の営業秘密の漏洩事例の有無」の認識が5.2%から35.5%へと増加傾向にあることが報告されています。

内部情報漏洩には、意図的に情報を持ち出す内部不正だけでなく、日常業務での誤操作や設定ミスなど、悪意がないものの結果として重要な情報が外部へ流れてしまうケースも含まれるため、企業としては幅広い要因を前提に対策を検討する必要があります。

例えば、業務に関連するファイルを私用のクラウドストレージに保存してしまったり、設定を誤ったアクセス権を誤った状態で公開サーバーにデータを配置してしまったりするなど、一見すると些細に思える行動が情報漏洩につながる場合があり、特に製造業や金融業のように機密性の高い情報を扱う業界では、内部要因による漏洩の影響が大きくなる可能性があります。
したがって、「自社は問題ない」と判断するのではなく、内部情報漏洩がどの企業にも起こり得るという前提で現状を整理し、適切な対策を進めることが重要だといえます。

このコラムでは、2025年に実際に発生した内部情報漏洩の事例を取り上げつつ、漏洩につながる原因を整理し、従来のセキュリティ対策だけでは把握が難しい内部情報漏洩への対応として注目されているUEBAの役割についても触れながら、企業がどのように再発防止策を構築すべきかを網羅的に解説します。

目次[非表示]

  1. 1.2025年に実際に発生した内部情報漏洩の事例5選
    1. 1.1.【物流業界】元従業員による顧客情報の情報漏洩
    2. 1.2.【エネルギー業界】退職した元従業員による情報漏洩
    3. 1.3.【金融業界】従業員のメール誤送信による外部委託先への情報漏洩
    4. 1.4.【卸売業界】元従業員による管理者権限の不正設定と退職後のファイルサーバーアクセス
    5. 1.5.【金融業界】元職員による私物USBメモリへの個人情報の無断持ち出し
  2. 2.内部情報漏洩が起こる原因
    1. 2.1.技術的要因
    2. 2.2.人的要因
  3. 3.内部情報漏洩を防ぐ「UEBA」とは
    1. 3.1.ケース1:特権アカウントにおける異常行動の検知
    2. 3.2.ケース2:普段と異なるユーザー行動の監視
    3. 3.3.ケース3:不審なデータ転送と外部接続の監視
  4. 4.エルテスの内部脅威検知サービス(Internal Risk Intelligence)とは
    1. 4.1.システムと専門アナリストによるハイブリッド分析
  5. 5.内部脅威検知サービスの導入事例:三菱UFJ eスマート証券株式会社様
  6. 6.まとめ

▶ 内部脅威検知サービス紹介資料を【無料】ダウンロード

内部脅威検知

2025年に実際に発生した内部情報漏洩の事例5選

内部情報漏洩をより具体的に理解できるよう、2025年実際に発生した具体的な5つの事例を紹介します。

【物流業界】元従業員による顧客情報の情報漏洩

2025年10月、ある物流企業において、元従業員が取引先企業10,000社強に関わる合計30,000件弱に及ぶ顧客情報を不正に持ち出し、外部の2社に流出させる事案が発生しました。

元従業員が持ち出した情報は流出先企業の営業活動に利用されており、 取引先企業が不審な営業活動を受けたことをきっかけに当該物流企業へ連絡し、社内調査によって不正が判明しました。

【エネルギー業界】退職した元従業員による情報漏洩

2025年8月、あるエネルギー関連企業において、退職した元従業員が社用PCを使い、社内サーバーに保存されていた顧客の個人情報と契約情報を電磁的方法で不正に持ち出ししていたことが発覚しました。元従業員の退職後のPC点検作業中、システム担当者が外部送信の記録を確認したことで明らかになりました。

持ち出された情報には顧客の基本情報が2000件強 、契約関連情報は180,000件強と大規模で、企業は元従業員に情報の完全削除と返却を求め、厳正に対処するとともに、再発防止策の策定を実施するとしています。

【金融業界】従業員のメール誤送信による外部委託先への情報漏洩

2025年4月、ある金融企業において、従業員が社内向けに顧客情報を含むファイルをメール送信する際、誤って外部委託先の従業員2名を宛先に含めて送信する事案が発生し、送付されたデータには個人顧客約2,500名、法人顧客約250社が含まれていました。

企業は当日中に誤送信に気づき、外部委託先へ連絡し、メールおよび添付ファイルの削除を行い、再発防止策としてメールの運用ルールを徹底するなどを実施すると発表しています。

【卸売業界】元従業員による管理者権限の不正設定と退職後のファイルサーバーアクセス

2025年4月、ある卸売業界の企業において、元従業員が3月末の退職当日に社内資料を印刷して持ち出したうえ、4月の月初から中旬にかけて複数回にわたりファイルサーバーへ不正アクセスし、取引先担当者約1,300名分の個人情報をダウンロードしていたことが判明しました。

元従業員は在職中に管理者権限を利用し、退職後もファイルサーバーにアクセス可能な権限を不正に設定していたことも明らかになり、企業は4月下旬に不正を発見後、直ちに権限削除や事情聴取を進め、持ち出された情報の削除対応を行うと同時に、従業員への情報セキュリティ教育強化や退職予定者への情報管理ルールの徹底通知、ファイルサーバー管理者権限の見直しといった再発防止策を実施するとしています。

【金融業界】元職員による私物USBメモリへの個人情報の無断持ち出し

2025年4月、信用金庫において、当時本部勤務だった元職員が内部規程に反して業務ファイルを私物のUSBメモリに保存し、自宅へ持ち帰っていたことが、社用PC における電子データファイルのダウンロード状況を日次確認する際に発覚しました。

漏洩した顧客情報は約18,000名分に達し、企業は発覚後直ちに社用PCからのUSBへの書き込み機能の遮断、個人情報に係る安全管理措置の強化、役職員へのコンプライアンス教育などの再発防止策を実施すると発表しています 。

▶ 内部脅威検知事例集を【無料】ダウンロード

 【資料】内部脅威 検知事例集 ~IRIサービス~ | エルテスエルテスの提供する内部脅威検知サービス(IRIサービス)で、情報持ち出しや超過勤務(隠れ残業)などの社内脅威を実際に検知した事例をまとめました。無料でダウンロードできますので、業務にお役立てください。株式会社エルテス

内部情報漏洩が起こる原因

これらの事例からわかるように、内部情報漏洩の原因は一つだけではありません。悪意ある犯行から、不注意によるミスまで、複数の要因が複雑に絡み合って発生することがほとんどです。次では、これらの多様な原因を「技術的要因」「人的要因」の2つのカテゴリに分類し、詳しく掘り下げていきます。

技術的要因

内部情報漏洩が起きてしまう技術的な要因としてまず挙げられるのが、セキュリティ対策不足と監視体制の欠陥です。

多くの企業では、従業員に必要以上の権限を与えてしまう「過剰な権限付与」が常態化しています。例えば、本来は特定な従業員だけがアクセスすべき機密情報に、関係のない部署の従業員もアクセスできる状態になっているケースがあります。また、退職後もアカウントが削除されずに残っていたり、異動後も不要なアクセス権を不要にしていなかったりといったID管理の不備も、内部不正を許す大きな要因となります。

さらに深刻な問題として、監視体制の欠陥があります。誰が、いつ、どの情報にアクセスしたのかというログが適切に取得し分析されていない、あるいはそもそもログが取られていない、という状況が少なくありません。これでは、たとえ不正な操作が行われても、検知することは極めて困難です。

関連記事:内部不正による情報漏洩はなぜ発生する?事例と不正防止の基本原則を紹介

 内部不正による情報漏洩はなぜ発生する?事例と不正防止の基本を紹介情報漏洩は内部不正が原因で発生する場合があり、企業は常に細心の注意を払う必要があります。この記事では、内部不正による情報漏洩の事例と原因、防止するための基本原則を解説します。株式会社エルテス

人的要因

人的要因とは、従業員が原因となって発生する不正を指します。企業への不満や金銭的な利益を求める欲求、あるいは競合他社への引き抜きといった「悪意ある動機」が主な発生原因です。これらの動機を持つ従業員は、システムの脆弱性や管理の甘さを巧みに利用し、組織に甚大な被害をもたらすことがあります。

また、意図せずに悪意のない「ヒューマンエラー」を行う場合もあり、操作ミスによる設定不備、機密ファイルを誤った相手にメールで送信してしまうなど、「うっかり」や「知らなかった」が原因で重大な情報漏洩につながるケースが後を絶ちません。

関連記事:情報漏洩原因ランキングからわかる内部不正の実態と今すぐ着手すべき対策

 情報漏洩原因ランキングからわかる内部不正の実態と今すぐ着手すべき対策このコラムでは、株式会社東京商工リサーチが2025年1月に公表した「上場企業の個人情報漏えい・紛失事故」調査結果データをもとに、情報漏洩の主要な原因、特に近年増加傾向にある内部不正の実態を詳細に分析し、企業が直ちに取り組むべき具体的な対策について解説します。株式会社エルテス

情報漏洩

内部情報漏洩を防ぐ「UEBA」とは

ここまで内部情報漏洩の具体的な事例と、発生する背景としての技術的・人的要因を整理してきましたが、近年では内部情報漏洩に対処する手法として「UEBA(User and Entity Behavior Analytics)」が注目されるようになっています。

UEBA は、ユーザー(従業員)やエンティティ(サーバーや端末など)が日常的に行っている行動パターンを把握し、基準から外れた異常な動きを自動的に検知することで、従来のセキュリティ対策だけでは見つけにくかった内部不正の兆候や、意図せず発生する誤操作による情報漏洩リスクを早い段階で把握しやすくする仕組みです。具体的には、次のようなユースケースに対応できます。

関連記事:UEBAとは?SIEM・EDRとの違いと振る舞い検知の重要性を解説

 UEBAとは?SIEM・EDRとの違いと振る舞い検知の重要性を解説内部不正や従業員の過失による情報漏洩など、内部リスクが深刻化しています。このコラムでは、内部不正対策に有効なUEBAについて、その役割と重要性を解説します。株式会社エルテス

ケース1:特権アカウントにおける異常行動の検知

通常は限定的な操作しか行わない特権アカウントが短時間に大量の機密データへアクセスしたり、通常と異なる権限変更を行ったりするような振る舞いが検知対象となります。

関連記事:「組織における内部不正防止ガイドライン」準拠に必要な特権ID管理と早期不正発見

 「組織における内部不正防止ガイドライン」準拠に必要な特権ID管理と早期不正発見このコラムでは、特権ID管理の基本から、IPAのガイドラインや法令・業界基準が求める要件、さらには内部不正を未然に防ぐための具体的なソリューションまで、企業が取るべきセキュリティ対策を網羅的に解説します。株式会社エルテス

ケース2:普段と異なるユーザー行動の監視

普段は正当な業務範囲で行動するユーザーが、業務時間外に頻繁に特定領域へのアクセスや通常行わない外部連絡先へデータを送信しようとする行為などが検知対象です。

関連記事:見過ごせない内部不正の兆候|情報漏洩を防ぐUEBAによる行動異常検知

 見過ごせない内部不正の兆候|情報漏洩を防ぐUEBAによる行動異常検知このコラムでは、内部不正の現状と従来のセキュリティ対策の限界を整理し、AIを活用した「UEBA」の仕組み、そして情報漏洩検知の新たなアプローチについて解説します。株式会社エルテス

ケース3:不審なデータ転送と外部接続の監視

通常の通信量やファイル操作の傾向と比較して著しく大きいデータ転送や、外部サーバーへ継続的に接続する通信パターンなどがアラートの対象となります。

関連記事:従業員による会社データ持ち出しの手法と対策方法を解説

 従業員による会社データ持ち出しの手法と対策方法を解説リモートワークやSaaS利用の拡大により、従業員の情報持ち出しリスクは増加しています。このコラムでは、従業員によるデータ持ち出しの一般的な手法と、その兆候に「気づく」ための方法について解説します。株式会社エルテス

エルテスの内部脅威検知サービス(Internal Risk Intelligence)とは

エルテスの「内部脅威検知サービス(Internal Risk Intelligence)」は、まさにUEBAの特性を最大限に活かし、企業が直面する専門知識や運用リソースの不足を補い、情報漏洩や内部不正の予兆を未然に防ぐソリューションです。

システムと専門アナリストによるハイブリッド分析

エルテスの内部脅威検知サービスの最大の強みは、「システムと専門アナリストによるハイブリッド分析」にあります。

まず、UEBA技術を駆使したシステムが、お客様の環境におけるユーザーやエンティティのあらゆる振る舞いを監視し、普段とは異なる異常な兆候を自動的に検知します。これにより、従来のルールベースでは見逃されがちな、巧妙な内部不正の予兆も捉えることができます。しかし、システムによる自動検知だけでは、どうしても誤検知が発生してしまいます。

そこでエルテスの内部脅威検知サービスでは、システムが抽出したリスク事象を、経験豊富な専門アナリストが即座に分析・評価するプロセスを組み込んでいます。専門アナリストは、リスク事象の背景にある状況や、ユーザーの業務特性を考慮しながら精査を行い、ノイズとなる誤検知を除去します。そして、本当に危険と判断された事象のみを報告するため、企業は不要な情報に惑わされることなく、対処すべき脅威に迅速に対応できます。

内部脅威検知サービスの導入事例:三菱UFJ eスマート証券株式会社様

内部脅威検知サービスを導入していただいている三菱UFJ eスマート証券株式会社様では、導入前は内部不正および情報漏洩リスクのモニタリングを独自で行っていました。しかし、膨大なログの分析は、コア業務に携わる担当者にとって大きな負担となり、多くの時間を要することが課題となっていました。

内部脅威検知サービスでは、ログの量によらず内部リスクを分析できるので、月次単位で行っていたログ分析を導入以降は日次で行えるようになりました。結果として、現場の負担は大幅に軽減されました。

▶ 導入事例の詳細はこちらから

 【導入事例】三菱UFJ eスマート証券株式会社様|エルテス内部脅威検知サービスを導入頂いている三菱UFJ eスマート証券株式会社様の内部不正対策の取り組みを紹介します。株式会社エルテス

まとめ

このコラムでは、2025年最新の内部情報漏洩事例を交えながら、企業にとって見過ごせない内部情報漏洩の実態と、効果的な対策について解説してきました。

専門知識やリソースの確保が難しい場合には、エルテスの内部脅威検知サービスのような専門家によるマネージドサービスを活用することも、非常に有効な選択肢です。ぜひお気軽にご相談ください。

▶ 内部脅威検知サービス紹介資料を【無料】ダウンロード

内部脅威検知サービス

情報漏洩

情報漏洩・内部不正対策のご相談は、エルテスへ

コラム一覧へ戻る

著者・監修|株式会社エルテス編集部
著者・監修|株式会社エルテス編集部
株式会社エルテスは、これまで多種多様な企業のデジタルリスク対策に尽力してきたノウハウを生かし、企業のリスク課題・デジタル課題に役立つコンテンツを提供しています。 編集部ではネット炎上やSNS運用トラブル、ネット上の風評被害・誹謗中傷、情報セキュリティ対策など様々なビジネスのリスク課題に関するコラムを発信しています。

前の記事

prev-article-image

企業における情報漏洩・内部不正対策の課題|UEBAを活用したログ調査と行動分析の重要性

次の記事

next-article-image

上場審査や内部監査で問われる監査証跡とは?内部不正リスクに備える実践ガイド

CONTACT
見出し2装飾

上場しているからこその透明性の高いサービスを提供
1,000社以上への提供実績

お電話でのお問い合わせはこちら
03-6550-9280
(平日10:00~18:00)
ご不明な点はお気軽に
お問い合わせください
お問い合わせ
デジタルリスクに関するお役立ち資料を
ご用意しています
資料ダウンロード
-SEARCH-
記事を探す
-PICKUP-
〈問い合わせ〉リスク対策を提案するエルテスの無料相談。
-SEMINAR-
開催予定のセミナー
他のセミナーを探す
-WHITEPAPER-
お役立ち資料
他のお役立ち資料を探す
-COLUMN-

人気記事

株式会社エルテス

©Eltes Co.,Ltd.