個人情報漏洩時の対応手順|企業が取るべき法的義務と初動を解説
catfish_admin
経営リスクナビ
国内企業のサイバー攻撃事例|事業停止・情報漏洩から見る対策の要点
catfish_admin
サイバー攻撃による事業への影響は認識しつつも、具体的な被害の実態が分からず、対策の優先順位付けに悩む企業は少なくありません。ひとたび攻撃を受ければ、事業停止や情報漏洩だけでなく、サプライチェーン全体を巻き込む深刻な事態に発展する可能性があります。最新の被害事例を知ることは、自社が直面するリスクを正しく評価し、効果的な対策を講じるための第一歩となります。この記事では、国内企業のサイバー攻撃被害事例を業種別・手口別に詳しく解説し、そこから導き出される経営リスクと取るべき基本的な対策を明らかにします。
目次
【業種別】国内企業の被害事例
製造業:工場停止と供給網の寸断
製造業に対するサイバー攻撃は、工場の稼働停止やサプライチェーン全体の機能不全を引き起こす、経営に直結する深刻なリスクです。製造現場の生産管理システムとオフィスの情報システムが連携している場合が多く、一方への侵入が他方へ波及しやすい構造的特徴があります。また、長期間稼働している旧式のシステムや機器の更新が後回しにされ、攻撃者に狙われやすい脆弱性が放置されているケースも少なくありません。
大手自動車メーカーの部品供給業者がランサムウェア(身代金要求型ウイルス)の被害に遭った事例では、子会社が使用していたリモート接続機器の弱点を突かれて侵入されました。被害拡大を防ぐためサーバーを全面停止した結果、部品供給が滞り、自動車メーカーの国内全工場が一時操業停止に追い込まれました。この影響で約1万3千台の生産遅延が生じるなど、一社の被害が業界全体を巻き込む事態へと発展しました。
製造業におけるサイバー攻撃は、自社のみならず、サプライチェーン全体を寸断する脅威となります。自社工場の停止が取引先への納品遅延を招き、莫大な損害賠償や信用の失墜につながるため、他業種以上に重大な経営リスクとして対策を講じる必要があります。
IT・サービス業:大規模なサービス停止と情報漏洩
IT・サービス業におけるサイバー攻撃は、提供サービスの長期停止や膨大な顧客データの流出に直結し、企業の社会的信用を根底から揺るがします。これらの事業者は、クラウド環境やデータセンターで大量の個人情報・顧客データを扱うため、攻撃者にとって価値の高い情報が集中しています。システムの脆弱性や設定ミスを突かれると、一度に広範囲のデータへアクセスされる危険性が高いという特徴があります。
過去には、大規模な宿泊予約サイトが悪意のあるプログラムを仕掛けられ、利用者の個人情報が不正に閲覧される事件が発生しました。また、情報配信サービスを提供する企業では、リモートワーク移行に伴うセキュリティ設定の不備や共有IDの使い回しを悪用され、90万件以上の個人情報が漏洩した可能性が報告されています。
IT・サービス業ではデジタル基盤が事業の根幹であるため、そこへの攻撃は即座に事業継続を脅かします。顧客情報の漏洩は損害賠償請求に、サービスの停止は顧客離れに直結するため、常に最新の攻撃手法を想定した厳重な防御体制が不可欠です。
物流・インフラ業:配送遅延と社会機能への影響
物流やインフラを担う企業へのサイバー攻撃は、一企業の被害にとどまらず、社会全体の機能停止や重大な混乱を引き起こすリスクをはらんでいます。現代の物流は、受注から在庫管理、配送まで情報システムで高度に連携・自動化されており、一部が停止するだけでネットワーク全体の流れが止まってしまう構造になっています。
大手流通企業がランサムウェア攻撃を受けた事例では、受発注システムが停止し、通信販売事業が長期間利用できなくなりました。また、港湾のコンテナターミナル管理システムが感染した事例では、コンテナの搬出入が完全に停止し、復旧に数日を要しました。この事件では、バックアップデータが保存されたサーバーまで被害に遭ったことが、復旧を遅らせる一因となりました。
物流・インフラ業界への攻撃は、生活必需品や産業資材の供給を止め、社会経済活動全体を麻痺させる力を持っています。システム停止時にも業務を継続するための代替手段の確保や、迅速な復旧手順の整備が急務となっています。
【攻撃手口別】注目すべき被害事例
ランサムウェア:事業停止と二重恐喝の実態
ランサムウェア攻撃は、データを暗号化して事業を停止させるだけでなく、窃取した情報を公開すると脅して金銭を要求する「二重恐喝(二重脅迫)」へと手口が悪質化しています。従来はデータの暗号化解除を目的とした身代金要求が主でしたが、企業がバックアップからの復旧策を講じるようになったため、攻撃者はより確実に金銭を得る新たな手法を用いるようになりました。
二重恐喝の手口は、以下の段階を踏んで行われます。
二重恐喝の攻撃ステップ
- 標的のネットワークに侵入し、重要なデータを外部に窃取する。
- システム内のデータを暗号化し、業務を強制的に停止させる。
- データの暗号化解除と引き換えに身代金を要求する。
- 要求に応じなければ、窃取したデータをダークウェブなどで公開すると脅迫する。
警察の調査では、ランサムウェア攻撃のおおむね8割以上がこの二重恐喝の手口を用いています。ある総合病院では電子カルテシステムが被害に遭い、新規患者の受け入れを停止せざるを得なくなりました。この事例では、事業停止という直接的な被害に加え、機微な医療情報が漏洩する二次被害のリスクにも直面しました。単なるデータ復旧対策だけでなく、情報の不正な持ち出しを防ぐ仕組みの導入が不可欠です。
サプライチェーン攻撃:取引先経由の侵入経路
サプライチェーン攻撃とは、セキュリティ対策が強固な大企業を直接狙うのではなく、対策が手薄になりがちな関連会社や取引先を踏み台にして、標的のネットワークへ侵入する巧妙な手口です。攻撃者は、標的企業とネットワークで接続されている中小の委託先や海外子会社などを侵入口とします。一度侵入に成功すれば、正規の通信を装って本丸である大企業のシステムへ容易にアクセスできてしまいます。
代表的な事例として、大手総合電機メーカーが中国の関連会社を経由して不正アクセスを受け、防衛や社会インフラ関連の機密情報が流出した可能性が指摘された事件があります。また、システム開発の委託先企業が攻撃の起点となり、共通の認証基盤を突破されて顧客情報が漏洩したケースも報告されています。
サプライチェーン攻撃を防ぐには、自社単独の対策では不十分です。グループ企業や外部委託先を含めた供給網全体のセキュリティ水準を評価し、全体を俯瞰した厳格なリスク管理が求められます。
内部不正・設定ミス:意図せぬ情報漏洩リスク
外部からのサイバー攻撃だけでなく、従業員による内部不正やクラウドサービスの設定ミスといった組織内部の要因も、重大な情報漏洩を引き起こします。正規の権限を持つ従業員による不正行為は検知が困難です。また、クラウドサービスの普及に伴い、専門知識のない担当者が設定を誤り、意図せず機密情報をインターネット上に公開してしまう事故も多発しています。
内部不正の事例では、通信サービス会社の委託先元派遣社員が、約900万件の顧客情報を不正に持ち出し、名簿業者に売却した事件がありました。設定ミスの事例では、ある人材サービス企業がクラウド環境のアクセス権限設定を誤り、1万人以上の個人情報が誰でも閲覧できる状態になっていた事案が報告されています。
内部要因による情報漏洩を防ぐためには、技術的な対策と同時に、人為的なミスを排除する運用ルールの確立が不可欠です。
内部リスクへの対策
- 業務に必要な最小限の権限のみを従業員に付与する。
- データの持ち出しや異常なアクセスを監視する仕組みを導入する。
- システムの設定変更時は複数人で確認するプロセスを徹底する。
事例から学ぶ3つの経営リスク
事業停止による売上機会損失と復旧コスト
サイバー攻撃で基幹システムが停止すると、売上機会の損失に加え、システムの調査・復旧に莫大な費用がかかるという二重の経済的損失が発生します。業務停止中も人件費などの固定費は発生し続け、納期遅延による違約金が課される場合もあります。さらに、攻撃経路の特定や被害範囲を調べるフォレンジック調査費用や、システムの再構築費用など、復旧コストは数千万円から数億円規模に上ることも珍しくありません。
ある流通企業は、ランサムウェア被害による売上機会の喪失と復旧費用として約10億円の特別損失を計上しました。専門機関のある調査では、ランサムウェア被害組織の平均被害総額は2億円を超えるとされ、事前の対策費用をはるかに上回る代償を支払うことになります。経営層は、サイバーセキュリティ対策を単なるコストではなく、事業継続に不可欠な投資として位置づける必要があります。
情報漏洩に伴う損害賠償と信用の失墜
顧客の個人情報や取引先の機密情報が漏洩すると、被害者への多額の損害賠償責任が生じるだけでなく、社会的な信用の失墜という回復困難な無形の損害を被ります。情報漏洩発生後は、お詫び状の送付やコールセンターの設置など、多岐にわたる対応が必要です。特にクレジットカード情報のような機微な情報が漏洩した場合、賠償額は高額になります。
さらに深刻なのは、「セキュリティ管理が甘い企業」という評判が広がり、顧客離れや新規取引の停止を招くことです。ある教育関連企業で発生した大規模な個人情報流出事件では、対応費用に数百億円を投じ、会員数の大幅な減少により長期的な業績低迷を招きました。
一度失った信頼の回復には、膨大な時間と努力が必要です。情報漏洩は企業ブランドを根底から揺るがすリスクであり、平時からの情報管理体制と、有事の際の迅速かつ誠実な対応が被害を最小化する鍵となります。
決算発表の延期などガバナンスへの影響
サイバー攻撃によるシステム障害は、経理・財務データの集計を不可能にし、上場企業に義務付けられている決算発表の延期や有価証券報告書の提出遅延を引き起こすなど、コーポレートガバナンスの根幹を揺るがします。会計データが保存されたサーバーがランサムウェアに暗号化されると、決算処理に必要な正確な数値を把握できなくなります。
法令で定められた期限内に財務状況を報告できない事態は、投資家や市場からの信頼を大きく損ない、企業の統治体制に対する重大な疑念を生じさせます。近年、サイバー攻撃を理由に決算発表を延期する企業が複数発生しており、ある大手飲料グループはシステム障害により経理データにアクセスできなくなり、決算発表の延期を余儀なくされました。
決算スケジュールの遅延は、資本市場における企業評価を著しく下げ、株価下落の要因ともなります。経営陣は、サイバー攻撃を財務報告の信頼性を脅かすガバナンス上の危機として捉え、対策を講じる必要があります。
被害事例から導く基本的な対策
自社資産の把握とリスクの可視化
効果的なセキュリティ対策の第一歩は、自社が守るべき情報資産と、ネットワークに接続された全ての機器を網羅的に把握し、リスクを可視化することです。近年では、IT部門が管理していないクラウドサービスや工場の制御機器などが攻撃の起点となるケースが増えています。
まずは、以下の手順で自社のIT資産の全体像を正確に把握することが重要です。
IT資産の把握とリスク評価の手順
- 社内のサーバー、PC、ネットワーク機器、さらには業務利用する私有端末まで台帳で一元管理する。
- 各機器のOSやソフトウェアに未修正の脆弱性がないか定期的に点検する。
- 重要なデータ(個人情報、機密情報など)の保管場所とアクセス権限が適切かを確認する。
これにより、攻撃者に狙われやすい弱点を早期に発見し、限られた予算を優先度の高い領域に集中させることが可能になります。
サプライチェーンを含めたリスク管理体制
自社だけでなく、関連会社や業務委託先など、サプライチェーン全体のリスクを管理する体制の構築が不可欠です。自社が強固な防御体制を築いていても、取引先のセキュリティが脆弱であれば、そこが侵入口となってしまいます。
具体的な取り組みとして、以下のような対策が挙げられます。
サプライチェーン全体のリスク管理策
- 取引先との契約時に、遵守すべきセキュリティ基準を明記する。
- 委託先に対し、セキュリティ対策の実施状況を定期的に報告させ、必要に応じて監査を行う。
- 万一インシデントが発生した際、速やかに自社へ報告する連絡体制を構築する。
発注元企業が主導し、取引先と連携してサプライチェーン全体のセキュリティ水準を向上させることが、結果的に自社を守ることにつながります。
インシデント発生を前提とした対応計画
サイバー攻撃を100%防ぐことは不可能であるという前提に立ち、被害発生時に迅速に行動し、事業を早期復旧させるためのインシデント対応計画を事前に策定しておく必要があります。初動の遅れは被害の拡大を招きます。
対応計画には、事故発生時の連絡体制、被害システムのネットワークからの切り離し手順、証拠データの保全方法などを具体的に定めます。また、システムが停止しても最低限の業務を継続するための事業継続計画(BCP)も重要です。特にランサムウェア対策として、ネットワークから隔離された安全な場所にバックアップデータを保管し、定期的に復旧訓練を実施することが求められます。
全従業員を対象としたセキュリティ意識向上
技術的な対策と並行して、全従業員を対象とした継続的なセキュリティ教育を実施し、組織全体の意識を向上させることが不可欠です。どれほど優れたシステムを導入しても、従業員が不用意に不審なメールを開けば、防御は簡単に破られてしまいます。
効果的な教育方法として、以下のような取り組みが考えられます。
セキュリティ教育の具体例
- 実際の攻撃を模した「標的型攻撃メール訓練」を定期的に実施する。
- 最新のサイバー犯罪の手口や、同業他社の被害事例を社内で共有する。
- パスワード管理やデータの取り扱いに関する社内ルールを周知徹底する。
従業員一人ひとりが情報セキュリティを自分事として捉える企業文化を醸成することが、最大の防御策となります。
見落とされがちな海外拠点・子会社のセキュリティ統制
国内本社と同等のセキュリティ管理基準を海外拠点や子会社にも適用し、グループ全体で統一されたガバナンスを効かせることが重要です。海外拠点は本社から物理的に離れており、IT管理が現地任せになりがちなため、セキュリティ対策が手薄になる傾向があります。攻撃者はこの管理の隙を狙って侵入し、そこから本社へと被害を拡大させます。
本社主導でグループ共通のセキュリティ規定を導入し、海外拠点の実態を定期的に評価・監査することが求められます。また、現地で発生したセキュリティ上の異常を本社で一元的に監視できる仕組みの構築も有効です。グループ全体を一つの防御網と捉え、セキュリティの死角をなくすことがグローバル企業の必須課題です。
サイバー攻撃に関するよくある質問
被害に遭ったら企業はまず何をすべきですか?
サイバー攻撃の被害に気づいたら、被害の拡大を防ぐため、直ちに以下の初動対応を取る必要があります。
インシデント発生時の初動対応
- 感染が疑われるPCやサーバーをLANケーブルを抜くなどして、ネットワークから物理的に切り離す。
- 原因調査のため、端末の電源は切らずに現状を維持する。
- 社内の情報セキュリティ担当責任者に速やかに報告し、指示を仰ぐ。
- 契約している専門業者や警察など、外部の専門機関へ相談する。
迅速なネットワークの遮断と専門家への報告が、被害を最小限に食い止めるための鍵となります。
中小企業も大企業と同様に標的になりますか?
はい、中小企業も頻繁に攻撃の標的となっており、決して安全ではありません。その理由は主に2つあります。
中小企業が狙われる理由
- 大企業への侵入口として、セキュリティ対策が比較的緩やかな取引先の中小企業がサプライチェーン攻撃の起点にされるため。
- 企業の規模を問わず、無差別に攻撃プログラムをばらまく手口の標的となるため。
警察の統計でも、ランサムウェア被害の過半数は中小企業で発生しています。大企業と取引がある以上、中小企業もサプライチェーンの一員として、厳格なセキュリティ対策を講じる社会的責任があります。
サイバー保険はどのような損害を補償しますか?
サイバー保険は、サイバー攻撃によって企業が被る多岐にわたる金銭的損害を補償するものです。ただし、補償範囲は保険商品によって異なるため、契約内容の確認が必要です。
| 補償の種類 | 具体的な内容例 |
|---|---|
| 損害賠償責任 | 情報漏洩による被害者への損害賠償金、訴訟費用など |
| 事故対応費用 | 原因究明のためのフォレンジック調査費用、コールセンター設置費用など |
| 復旧費用 | システムやデータの復旧にかかる費用、再発防止策の導入費用など |
| 利益損失 | 事業停止期間中に失われた営業利益や、営業継続のために要した追加費用など |
なお、攻撃者に支払った身代金は、補償の対象外となる場合が多い点に注意が必要です。
攻撃を受けた事実を公表する法的義務はありますか?
はい、特定のケースでは法律や規則に基づく報告・公表の義務があります。
改正個人情報保護法では、個人情報の漏洩等が発生し、個人の権利利益を害するおそれが大きい場合、個人情報保護委員会への報告と本人への通知が義務付けられています。また、上場企業の場合、工場の稼働停止や決算発表の遅延など、投資家の判断に重要な影響を及ぼす事態が発生した際は、証券取引所の規則に基づき、適時開示を行う必要があります。
法的義務の有無にかかわらず、情報を隠蔽せず、透明性をもって迅速に公表することが、結果として社会的な信用の維持・回復につながります。
従業員へのセキュリティ教育で重要な点は何ですか?
単に知識を教えるだけでなく、従業員一人ひとりが脅威を自分事として捉え、日常業務で安全な行動を実践できるようになることが重要です。ルールの背景にある危険性を理解させ、なぜそのルールを守る必要があるのかを納得してもらう必要があります。
効果的な教育のポイント
- 標的型攻撃メール訓練などを通じて、実際の脅威を体験させる。
- 最新の攻撃手口や他社の被害事例を紹介し、危険を具体的にイメージさせる。
- 「なぜ危険なのか」という理由と共に、守るべきルールを分かりやすく説明する。
継続的な教育を通じて、組織全体のセキュリティ意識を高めることが、人為的ミスによるインシデントを防ぐ上で極めて効果的です。
攻撃者への身代金支払いは検討すべきですか?
いいえ、身代金の支払いには応じるべきではありません。警察庁をはじめとする国内外の公的機関も支払わないよう強く推奨しています。その理由は以下の通りです。
身代金を支払うべきでない理由
- 支払ってもデータが復旧される、あるいは情報が公開されないという保証は一切ない。
- 攻撃者のさらなる犯罪活動に資金を提供することになる。
- 「支払いに応じる企業」と認識され、再び別の攻撃の標的になるリスクが高まる。
- 国によってはテロ組織などへの資金供与と見なされ、法的に罰せられる可能性がある。
身代金の支払いは問題の解決にはならず、むしろリスクを増大させます。日頃から適切なバックアップを取得し、攻撃を受けても自力で復旧できる体制を整えておくことが唯一の有効な対策です。
まとめ:サイバー攻撃の被害事例から学び、事業継続への備えを固める
本記事で見てきたように、ランサムウェアやサプライチェーン攻撃など、サイバー攻撃の手口はますます巧妙化し、製造業やITサービス業をはじめとする多くの企業が事業停止や大規模な情報漏洩といった深刻な被害を受けています。一社の被害がサプライチェーン全体を寸断し、多額の損害賠償や信用の失墜、さらには決算発表の延期といったガバナンス上の問題にまで発展するリスクをはらんでいます。効果的な対策の第一歩は、自社が守るべきIT資産を正確に把握し、リスクを可視化することから始まります。その上で、攻撃を受けることを前提としたインシデント対応計画や事業継続計画(BCP)を策定し、取引先も含めたサプライチェーン全体でのセキュリティ水準向上に取り組むことが不可欠です。ここで解説した内容は一般的な対策であり、個別の状況に応じた最適な防御策を講じるためには、セキュリティ専門家への相談を検討してください。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
