データ侵害とは？定義や想定される被害、防止策を解説

データ侵害とは、主に企業の機密情報や個人情報などの重要なデータが不正にアクセスされて盗まれるセキュリティ事故のことです。データ侵害は、情報漏洩や意図しない情報開示、データ窃盗、データ流出などとしても知られています。

データ侵害は、ハッキング、マルウェア、フィッシング、内部の不正行為など、さまざまな手段によって引き起こされる可能性があります。これにより、氏名、ユーザー名、メールアドレス、パスワード、財務情報、医療情報、個人識別情報などが漏洩し、経済的損失や信頼性の低下、プライバシーの侵害など多くの被害が発生します。近年の急速なデジタル化によって、このようなオンラインでの個人情報の盗難は非常に多いです。

また、個人情報漏洩を防ぐためにも各国で独自の法律を定めています。たとえば日本の場合は個人情報保護法であり、EUの場合は2018年に個人データの処理に関する新たな規則であるGDPRと呼ばれるルールを導入することで、個人情報の漏洩を防いでいます。

こちらでは、データ侵害が起こる原因をいくつか紹介します。

• 脆弱なパスワード：各オンラインサービスにおいて、「12345678」や「11111111」などの単純なパスワードを設定している人は少なくありません。サイバー犯罪者は、個人情報を盗むためにこのような推測しやすいパスワードを狙っています。たとえば、わずか1秒間に何百万通りものユーザー名とパスワードの組み合わせを作り出すことができる総当たり攻撃（ブルートフォース攻撃）や辞書攻撃を受けた場合、あっという間に割り出されてしまいます。
• マルウェア：マルウェアはパソコンが感染するコンピュータウイルスの種類とは違い、悪意のあるソフトの総称のことで、ウェブサイトやネットワークに感染し、機密情報や個人情報を流出させるための常套手段です。マルウェアは電子メールの添付ファイルや破損したソフトウェアから誤ってダウンロードされることがあり、侵入されるとウイルスのように瞬く間に広がり、デバイス内のあらゆる個人情報がサイバー犯罪者のサーバーへ勝手に送信されてしまう可能性があります。
• フィッシング：フィッシング攻撃は実行するのは驚くほど簡単といえますが、人為的ミスに頼るところが大きい手口です。よくあるフィッシング詐欺の手口としては、AmazonやMicrosoftのような正規の大企業の名を装ったメールが送信され、メールを開封したり、添付ファイルをクリックしてしまうと、悪意のあるマルウェアがお使いのデバイスやネットワークに侵入し、あらゆる情報を盗み出します
• ソーシャルエンジニアリング攻撃：サイバー犯罪者がネットワークに侵入してIDやパスワードなどの重要な情報を盗み出す際に複数の手口を組み合わせて用いる方法をソーシャルエンジニアリング攻撃と呼びます。この手法によって多くのデータ侵害が発生しています。
• インジェクション攻撃：一般的にインターネットの仕組みは、ユーザーがウェブサイトで検索する際にキーワードを入力すると、裏でキーワードとSQL文（データベースへの命令文）が生成され、データベースに送信されます。しかし、ウェブサイトやアプリに脆弱性がある場合は、脆弱性を悪用して不正な内容のSQL文を注入（インジェクション）するインジェクション攻撃を仕掛けることで内部の機密情報や個人情報を盗むことができます。これはオンラインストアなどの場合、顧客の個人情報が盗まれてしまう可能性があります。
• ヒューマンエラー：ヒューマンエラーもデータ侵害の大きな原因となっています。近年の職場環境では、複雑なツールを導入している企業も少なくなく、従業員や消費者は意図せずともセキュリティ上のミスを犯しやすい傾向があります。なかでも詐欺メールを見分けられない人は一定数おり、大企業のネットワークだとしても推測されやすいパスワードを使用する者も存在しています。また、業務用デバイスを個人的な理由で使用してしまうなど、オンラインセキュリティ上のリスクを認識できていない人がいるのも問題といえます。
• 内部の犯行：アメックスでは、詐欺を企てた従業員によって顧客数百万人分の口座情報へ不正にアクセスされた可能性があると通知しました。また、イギリスの大手スーパーマーケット・モリソンズでは不満を抱いた従業員が実に10万人もの従業員の給与情報を流出させた事件が起こるなど、内部の犯行もデータ侵害の原因のひとつといえます。また、悪気はないものの、従業員が自分のデバイスに機密データをダウンロードしたり、スタッフが医療記録を誤って設定したり、システムをよく理解していない従業員がシステムの警告を無視したなどの場合も、損害を与える可能性があります。
• 技術的な欠陥：オンライン上でデータ侵害の被害を受けないために強固なセキュリティを維持し続けるためには、セキュリティのメンテナンスは重要です。しかし、脆弱性などの問題が見つかった場合、その都度修正するだけで普段から大した予防策を導入していない企業は非常に多く、それが大規模なデータ侵害を引き起こす原因にもなっています。

データ侵害は、企業や個人に深刻な損害をもたらす可能性があります。それぞれの影響を具体的に見ていきましょう。

まずは、企業に対する損害について挙げていきます。

• 経済的損失：ランサムウェア攻撃をされると多額の損失を被ります。また、データ保護規制に違反した場合、巨額の罰金が科せられることがありますし、顧客や取引先に対する損害賠償も発生するかもしれません。さらに、侵害後のシステム復旧やセキュリティ強化にも多額の費用がかかります。
• 企業イメージや社会的信用の喪失：漏洩したデータに顧客の個人情報などが含まれていた場合は、顧客や取引先からの信頼を失い、企業の信用が損なわれます。その結果、既存の顧客が離れていき、新しい顧客を獲得することが難しくなります。さらに、最悪の場合は倒産にまで追い込まれてしまう可能性があります。
• 業務の中断：データ侵害の調査や復旧作業に時間がかかり、業務が一時的に中断されることがあります。これにより、生産性が低下し、ビジネスに悪影響を及ぼす可能性があります。
• 法的責任：データ保護法に違反した場合、法的措置が取られる可能性があり、訴訟費用や法的制裁を受けるリスクがあります。

次に、個人に対する損害を以下に紹介します。

• 個人情報の悪用：名前、住所、クレジットカード情報などが盗まれると、詐欺や身元盗用に利用されることがあります。これにより、不正な取引や口座の乗っ取りが発生するリスクが高まります。さらに、SNSのアカウントを乗っ取られてしまうと、被害者になりすまして家族や友人などにフィッシング詐欺やサイバー攻撃を仕掛けるなど、二次被害が広がる可能性もあるので大変危険です。
• 経済的損失：不正な取引によって金銭的な被害を受ける可能性があります。クレジットカードの不正利用や銀行口座の不正引き出しなどが考えられます。
• プライバシーの侵害：個人情報が流出することで、プライバシーが侵害され、精神的なストレスや不安が生じるかもしれません。特に、医療情報や機密情報が漏洩した場合、その影響は深刻です。
• 時間と労力がかかる：データ侵害後の対応として、クレジットカードの再発行、銀行口座の確認、不正取引の報告などに多くの時間と労力が必要となります。

データ侵害は企業と個人の双方に多大な損害をもたらします。適切な防止策を講じることで、これらのリスクを軽減することが重要です。

以下では、過去に起きた大規模なデータ侵害の事件を紹介します。

• ベネッセの個人情報漏洩事件：2014年、日本国内の出版業界大手のベネッセで約2895万人分の個人情報が漏洩しました。業務委託先の元従業員が顧客情報データベースにアクセスし、顧客情報を名簿事業者に売却したことが原因です。日本での個人情報の漏洩数としては過去最大であり、この漏洩によって会員数が減少するなどベネッセの損失額は約260億円にものぼりました。
• アドバンテッジEAPの問い合わせフォームのセキュリティ設定ミス：2018年4月10日から2021年1月26日の期間に、アドバンテッジリスクマネジメント、東京海上日動メディカルサービス、ネオスが共同で提供する従業員支援サービス「アドバンテッジEAP」の問い合わせフォームに入力された内容が、特定のURLを入力することで外部から閲覧できる状態だったことが判明しました。閲覧可能だったのは、12,019人から寄せられた14,384件の問い合わせ内容および問い合わせをした人の氏名、生年月日、所属企業名、メールアドレス、電話番号、問い合わせ内容です。この問題は、2018年4月10日に問い合わせフォームを公開した際、担当者が誤って履歴を外部から閲覧可能な設定にしてしまったことが原因でした。
• 森永製菓の不正アクセスによる個人情報漏洩：2022年3月、森永製菓が展開する通信販売事業の顧客情報が漏洩した可能性があると発表しました。複数のサーバーに障害が発生したため、原因を調査したところ、インターネット回線に利用していたネットワーク機器の脆弱性が悪用され、第三者による不正アクセスが判明し、最大1,648,922人もの個人情報が漏洩した可能性があります。
• JTBのヒューマンエラーによる個人情報漏洩：2022年10月、観光庁の地域振興事業で補助金交付を申請したJTBをはじめとする事業者の1万人以上の個人情報が漏洩しました。クラウドデータへの個別アクセス権限を誤って設定したことが原因といわれています。
• NTT西日本の子会社の個人情報漏洩事件：2023年、NTT西日本の子会社で約928万件もの住所や名前、クレジットカード情報などの個人情報が漏洩し、大きな注目を集めました。同社の発表によると、コールセンターシステムの運用保守業務従事者がシステム管理者アカウントを不正利用して顧客情報をダウンロードし、外部に持ち出していたことが主な原因とされており、驚くべきことに2013年から10年間に渡って行なわれていたとのことです。加えて、セキュリティ面における管理が長期にわたって不十分なことなどもこれらの漏洩を簡単に招いた要因でもありました。

以下では、データ侵害で漏洩を防ぐための方法を紹介します。

• 強固なパスワードを作る：同じ数字を連続で使用しないで、大文字と小文字、記号を組み合わせることで推測されにくい安全なパスワードを作ることができます。新しい無意味なパスワードを忘れないように、常に優れたパスワードマネージャーを使いましょう。また、同じまたは類似のパスワードを各オンラインサービスで使用すると、サイバー犯罪者がアカウントに侵入する危険があるのでパスワードの使い回しは避けましょう。
• 多要素認証を利用する：多要素認証（MFA）は「Multi-Factor authentication」の略称で、主に「知識情報」「所持情報」「生体情報」の中から2つ以上の要素を組み合わせて認証するセキュリティ手法のことで、最近さまざまなオンラインサービスで導入されています。複数の認証情報を組み合わせることによってよりセキュリティ面が高まり、個人情報の漏洩などのリスクを最小限に抑えることができます。
• OSやアプリは常に最新版に更新する：OS（オペレーティングシステム）やアプリは定期的に新しいバージョンをリリースしていますが、これはオンライン上の脅威からユーザーとデバイスを保護するために脆弱性を修正したことを意味しています。そのため、新しいバージョンがリリースされたらできるだけ早く更新するように心がけましょう。
• 書類をシュレッダーにかける：手紙、請求書、書類など、自分の個人情報が記載されているものは普段から全て破棄する習慣をつけましょう。サイバー犯罪者は、名前や住所、生年月日、マイナンバーカード番号などを悪用する可能性があります。
• 公共のUSB充電スポットは避ける：駅や空港などにある公共のUSB充電スポットには、個人情報を盗むためにサイバー犯罪者がジュースジャッキング攻撃を仕掛けている可能性があるので、もし利用する場合はコンセント形式のプラグを使って充電しましょう。
• 利用明細を頻繁にチェックする：自分の知らないうちにクレジットカードやオンラインバンキングがサイバー犯罪者に悪用されている場合があります。オンライン上で買い物をする方は、不正利用されていないかを確認するためにも、利用明細書や取引情報を頻繁にチェックする習慣をつけることが重要です。
• 信用報告書を定期的にチェックする：個人情報を狙うサイバー犯罪者は、SNSで投稿された写真やゴミ箱から出されたシュレッダーのかかっていない郵便物などからものの数分であなたの身元を割り出すことができます。信用報告書は、ユーザーに関する口座やクレジットカード情報、ローンが開設されているかなどが記載されていますが、定期的に信用情報をチェックすることで自分の個人情報が悪用されていないかを確認するようにしましょう。
• VPNを利用する：公共のフリーWi-Fiはセキュリティが弱いため、使用すると個人情報が漏れる可能性があります。しかし、VPNを使うとネットワークの安全性が向上します。VPNとは何かというと、通信内容を暗号化する仕組みのことで、これにより情報が外部に漏れても外部からは解読不可能な状態になります。NordVPNはVPN機能に加え、安全にファイル共有ができるメッシュネットワークなど、優れたセキュリティ機能を多数提供しており、オンラインでの安全性をさらに強化できます。

最後にデータが流出してしまった場合の対処方法について解説します。

• 情報漏洩を確認する：企業からの情報漏洩が発生したことを告げるメールは、サイバー犯罪者による罠の可能性があるため、なるべくクリックしないことが賢明です。まずはその企業に直接問い合わせをするか、ウェブサイトに掲載されるのを待ちましょう。
• 漏洩の種類を特定する：漏洩したのがどのような情報であったかによって対処方法は異なります。仮にマイナンバーカードに掲載されている番号が流出した場合は、犯人になりすまされる危険があるので、すぐに警察に連絡しましょう。
• すぐに推測されにくいパスワードに変更する：パスワードが流出した可能性がある場合は、NordPassの「情報漏えいスキャナー」呼ばれるツールを使用することによって機密情報が流出していないかを確認できます。もし、パスワードなどの情報が検出された場合、すぐにアラート通知が表示されます。そして、漏洩したユーザー名やパスワードを推測されにくい強力なパスワードを自動生成することもできます。
• しばらく口座を監視する：マイナンバーカード番号や他の個人情報が漏洩した場合、少なくとも1年間は自分の口座を常にチェックしましょう。犯罪者は、気づかれないように複数の口座やクレジットカードから少しずつお金を盗むことがあります。また、信頼できる企業は、被害者に対して無料で口座監視サービスや個人情報盗難防止サービスを提供することがあるので、これらを利用して個人情報が悪用されないようにしましょう。