委託先リスク管理Blog

委託先から個人情報が漏えいした事例を紹介

委託先を経由して個人情報が漏えいした事例にはどのようなものがあるのか、気になる方も多いのではないでしょうか?

本記事では、委託先から情報漏えいが発生する要因から委託先・再々委託先から個人情報が漏えいした事例、委託先を経由した情報漏えいを防ぐ方法について解説します。

 

1. 委託先から情報漏えいが発生する要因

委託先から情報漏えいが発生する要因は以下の3つです。

  • 外部からの不正アクセス
  • 委託先の不正行為
  • 委託先の人的ミス

 

株式会社東京商工リサーチの調査によると、2023年に発生した「個人情報漏えい・紛失事故」は過去最多の175件で、4,090万人分の個人情報が流出・紛失したそうです。

情報漏えいが発生する要因としては「ウイルス感染・不正アクセス」が93件と50%以上を占めており、「誤表示・誤送信」が43件(24.5%)、「不正持ち出し・盗難」が24件(13.7%)と続いています。

参考資料:2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分

 

 

2. 委託先から個人情報が漏えいした事例

委託先から個人情報が漏えいした事例について、発生した要因別にご紹介します。

 


■株式会社NTTドコモ:委託先の不正行為

2023年3月、株式会社NTTドコモの業務委託先である株式会社NTTネクシアの元派遣社員がお客さま情報を含む業務情報を不正に外部に持ち出したことで、約596万件の個人情報が漏えいしました。


また、2023年10月にも委託先の元派遣社員の不正行為により、約7.2万件の情報漏えいが発生しています。


参考資料:

【お詫び】「ぷらら」および「ひかりTV」をご利用のお客さま情報流出のお知らせとお詫び

お客さま情報の不正流出に関するお詫びとお知らせ<2023年10月17日>

 


■株式会社ベネッセコーポレーション:委託先の不正行為

2014年6月、株式会社ベネッセコーポレーションでは、業務委託先元社員がデータベースから個人情報を不正に取得し、名簿業者3社へ売却する形で、約3,504万件の個人情報が漏えいしました。


参考資料:事故の概要

 

 

■森永製菓株式会社:外部からの不正アクセス

2022年03月、森永製菓株式会社では、第三者による不正アクセスにより一部の社内システムにおいて障害が発生しました。


お客様の個人情報が外部に持ち出された痕跡は確認できませんでしたが、森永ダイレクトストアの利用者約164万人分の個人情報(氏名、住所、電話番号、生年月日、性別、メールアドレス、購入履歴)が漏えいした可能性は否定できないと同社は説明しています。


参考資料:不正アクセス発生による個人情報流出の可能性のお知らせとお詫び

 

 

■トヨタ自動車株式会社:人的ミス

2022年10月、トヨタ自動車株式会社は、コネクティッドサービス「T-Connect」を契約した顧客の一部、29万6,019件のメールアドレス・お客様管理番号が漏洩した可能性があると発表しました。


同社は2022年9月15日に「T-Connect」のユーザーサイトのソースコードの一部がGitHub上に公開されていることを確認。

2017年12月から2022年9月15日の間、第三者がGitHub上にあるソースコードの一部にアクセス可能な状態になっていたことが判明しました。


「T-Connect」の開発委託先企業がソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしたことが、情報漏えいの可能性が発生した原因です。


参考資料:お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて

 

 

3. 再々委託先から個人情報が漏えいした事例

再々委託先から個人情報が漏えいした事例について、発生した要因別にご紹介します。

 


■ダイキン工業株式会社:再々委託先の不正行為

2024年2月、ダイキン工業株式会社は仕入先様情報の漏洩の可能性が生じたことを公表しました。


仕入先様情報の漏洩の可能性があるのは、仕入先様情報に含まれる仕入先担当者の氏名・住所・電話番号・振込先情報、約2.2万件です。


情報漏えいの可能性が発生した原因は、委託先であるダイキン情報システム株式会社が発注している日本電気株式会社の委託先会社、つまり同社の再々委託先の作業者が、本来の利用目的以外の目的のために不正ダウンロードしたことです。


同社は、当該作業者から第三者への漏洩の痕跡は確認されず、二次被害があったという事実は確認されていないと説明しています。


参考資料:仕入先様情報の漏洩可能性に関するお詫びとお知らせについて

 


■兵庫県尼崎市の自治体:再々委託先の人的ミス

2022年6月、兵庫県尼崎市の自治体では、全市民46万人分の個人情報が流出する危機に陥りました。


情報漏洩の恐れがあったのは、兵庫県尼崎市の全市民46万人を対象とする以下の情報です。

  • 全市民の住民基本台帳の情報(46 万 517 人分)
  • 住民税に係る税情報(36 万 573 件)
  • 非課税世帯等臨時特別給付金の対象世帯情報
  • 生活保護受給世帯と児童手当受給世帯の口座情報

情報漏えいの可能性が発生した原因は、兵庫県尼崎市から業務委託された情報サービス会社「BIPROGY」の委託先企業の委託先の社員、つまり同市の再々委託先の社員が、同市の許可を得ずにデータをUSBに複製して持ち出し、居酒屋で泥酔した上にUSBが入ったカバンごと紛失したことです。


参考資料:住民税非課税世帯等に対する臨時特別給付金における個人情報を含むUSBメモリーの紛失について

 

 

4. 委託先を経由した情報漏えい対策

委託先を経由した情報漏えい対策は以下の3つです。

  • 委託先へ情報を提供する方法を見直す
  • 情報漏えいが発生した後の対応策を準備しておく
  • 委託先の選定・管理を徹底して行う

 

それぞれの対策について詳しく解説します。

 


■委託先へ情報を提供する方法を見直す

委託先を経由した情報漏えい対策の1つ目は、委託先へ情報を提供する方法を見直すことです。


メールの宛先を間違えないようにするといった従来の対策だけでは、自社からの情報漏えいを防ぐことはできても、委託先を経由した情報漏えいを完全に防ぐことはできません。


データ自体を委託先へ提供するのではなく一時的にアクセス権を与える、データのコピーができない形式で提供する、必要なデータのみ提供するといった、委託先へ情報を提供する方法を工夫しましょう。

 

 

■情報漏えいが発生した後の対応策を準備しておく

委託先を経由した情報漏えい対策の2つ目は、情報漏えいが発生した後の対応策を準備しておくことです。


対策を実施することで情報漏えいが発生する可能性は下げられますが、完全に防ぐことはできません。

一方、情報漏えいが発生した場合でも、早期発見・早期対応ができていれば、被害を最小限に抑えることが可能です。

 

 

■委託先の選定・管理を徹底して行う

委託先を経由した情報漏えい対策の3つ目は、委託先の選定・管理を徹底して行うことです。


自社が万全な情報漏えい対策を取っていたとしても、対策が杜撰な企業に業務を委託してしまえば情報漏えいを防ぐことはできません。


情報漏えい対策ができている委託先を選定する、委託先を選定した後も継続して情報漏えい対策を行っているかを確認するといった、委託先管理が重要です。

 

 

5. まとめ

今回は、委託先から情報漏えいが発生する要因から委託先・再々委託先から個人情報が漏えいした事例、委託先を経由した情報漏えいを防ぐ方法について解説しました。


委託先を経由した情報漏えいが発生する要因には、サイバー攻撃などの外部からの不正行為だけでなく、委託先の不正行為や人的ミスもあります。

従来のセキュリティ対策だけでは十分に対応できないこともあるため、内部不正や人的ミスを考慮した委託先の選定・管理も徹底して行うようにしましょう。

 

弊社では委託先への定期点検を効率化するベンダーリスクマネジメントツール「VendorTrustLink」を提供しています。

委託先管理を実施したいがリソースが足らない、チェックシート等のやり取りに手間がかかっているというお悩みがございましたらお気軽にお問合せください。