2024年 上場企業の個人情報漏えい・紛失事故189件過去最多に、被害人数1,586万人超【東京商工リサーチ調査】

東京商工リサーチは、2024年上場企業の「個人情報漏えい・紛失」事故を調査した。

2024年「上場企業の個人情報漏えい・紛失事故」調査

2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、189件（前年比8.0％増）で、漏えいした個人情報は1,586万5,611人分（同61.2％減）だった。事故件数は調査を開始した2012年以降、2021年から4年連続で最多を更新した。また、社数は151社（同2.7％増）で、前年から4社増え、これまで最多だった2022年（150社）を上回り最多となった。

「ウイルス感染・不正アクセス」が6割

2024年の情報漏えい・紛失事故の189件のうち、原因別は、「ウイルス感染・不正アクセス」の114件（構成比60.3％）が最多で、6割を占めた。次いで、「誤表示・誤送信」が41件（同21.6％）で、メール送信時のCC、BCCの取り違え、システムの誤設定などの人為的なミスで情報を流失させたケースが続いた。

「ウイルス感染・不正アクセス」の件数は右肩上がり

「ウイルス感染・不正アクセス」による情報漏えい・紛失事故件数は114件で前年を上回り、初めて100件台を超え、最多を記録した。事故件数は2019年以降、6年連続で最多を更新している。2024年も前年に引き続き、ランサムウェアによる不正アクセスの被害が多発した。

「ウイルス感染・不正アクセス」による事故のうち、これまでの漏えい・紛失人数の最多は2013年5月に不正アクセスでIDが外部流失した可能性を公表したヤフー（現：LINEヤフー）の最大2,200万件。

件数・人数ともに「社内システム・サーバー」が最多

情報漏えい・紛失事故189件のうち、原因となった媒体別の最多は「社内システム・サーバー」で、136件（構成比71.9％）と全体の7割を占めた。次いで、「パソコン・携帯端末」が34件（同17.9％）、「書類・紙媒体」が11件（同5.8％）と続いた。

1件あたりの情報漏えい・紛失人数の平均では、「社内システム・サーバー」を媒体とした事故が16万1,137人分と突出した。社内サーバーが不正アクセスを受け、大量の顧客情報が詐取された可能性を開示するケースが大半だった。

2024年主な個人情報漏えい・紛失事故

2024年の事故で最大は、子会社ネットワークへの不正アクセスが起因となって顧客情報などが漏えいした東京ガスグループの416万人分だった。また、これに連鎖的に被害を受けた京葉ガスも全体で6番目となる81万人分の漏えいを公表した。

2番目は三菱電機の子会社、三菱電機ホーム機器が不正アクセスにより、231万人分の漏えいを公表。3、4番目は顧客情報の不適切な取り扱いが発覚した損害保険会社の2社が続いた。

このほか、ランク外だがKADOKAWAは2024年6月、データセンター内サーバーへの大規模なサイバー攻撃を発端に被害が拡大、25万5,241人分の個人情報の外部漏えいを公表した。運営する動画サイトの一時的なサービス停止や補償費用などで、売上や利益の下方修正を余儀なくされた。

調査概要

• 【調査概要】2024年に明らかになった上場企業と子会社の情報漏えい・紛失事故のプレスリリース、お知らせ、お詫びなど、自主的な開示を独自集計。調査開始は2012年から。
• 【備考】個人情報の範囲を、氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、「漏えいの可能性がある」や、個人情報の不適切な取扱いで生じた事例も対象。また、「対象人数不明・調査中」も事故件数としてカウント。