日本情報漏えい年鑑2009

2008年に発生した主な個人情報漏えい事件・事故 ［120件］ を、企業のセキュリティ担当者や法務・総務、セキュリティ業界関係者向けに取りまとめた資料！

当資料 『日本情報漏えい年鑑2009』 は、2008年の1箇年間に発生した、企業や公官庁による代表的な個人情報漏えい事故 ［120件］ を調査・情報収集し、総覧として収録されています。

同年鑑では、どのような事件が何故起きたのか、2008年に発生した代表的な情報漏えい事故 ［120件］ を編年的に総覧できる他、索引に掲載された企業名から漏えい事故を検索することも可能。事故毎に 「事故発生のリリース発表日」 「企業・団体名」 「漏えい件数」 「漏えい原因」 「ファイル共有ソフト関与の有無」 「関連URL」 を収録し、企業のセキュリティ担当者、法務・総務担当者、セキュリティ業界関係者向けて、自社の事業あるいは自社の属する業界にどのようなリスクがあるか、また、それが事故としてどのように具体化するかを把握することができます。

日本国内の情報漏えい動向とその対策に詳しい、ネットエージェント株式会社 代表取締役社長 杉浦 隆幸 氏は、同年鑑に寄せた序文の中で 「（情報漏えい事故の） 過去を知り、それぞれの要因を冷静に分析し今後に生かしていくことは、今以上に多様化が進むであろう将来に向けて極めて重要かつ有益である」 と述べています。

本書は、国内最大級の情報セキュリティ専門メディア 「Scan NetSecurity」 が調査を行い、セキュリティホール情報・ウイルス情報及びセキュリティインシデント情報を日刊で配信するメールマガジン Scan Daily Express （SDEX） に記載された情報漏えいに関するニュース記事から、2008年に発生した企業や官公庁による個人情報の漏えいに特化したインシデントを収集・掲載した調査レポートで、2008年に発行された 『日本情報漏えい年鑑2008』 の続編となります。

※ 本書は、インシデントを収集・整理した年鑑であり、技術的な分析や考察は含まれておりません。また、本年鑑が収録する120件の漏えい事件は、漏えい組織や規模、想定される影響等を考慮し、編集方針に基づいて、Scan NetSecurity がピックアップしたもので、日本国内で2008年に発生した全てのインシデントを包括するものではありません。

【ID 番号】
SDEX掲載日の昇順によるIDで、2008年1月～12月の12箇月間連番、A001 から順にA002・・・と続く。

【年次番号】
SDEX 掲載日の昇順による、1 箇年間毎の連番。 2008年 : 8001～

【SDEX 掲載日】
SDEX 掲載年月日

【発表日】
企業等がリリースによってインシデントの発生を公表した年月日あるいはメディア等で公知となった年月日
※ インシデントの発生日が公表されている場合 「内容」 の項目に記載される

【名称】
漏えいした個人情報を保有していた企業名、官公庁名、もしくはその他組織・団体名

【属性】
漏えいした個人情報を保有していた組織・団体は下記3カテゴリである
- 民間企業
- 官公庁
- その他団体 （財団法人、NPO、公立ではない大学・病院等）

【漏えい人数】
公開資料記載の、漏えいした個人情報の人数

【原因】

- 不正持ち出し
組織内の規定に反し個人情報を事業所等から持ち出したことが原因の場合 （自宅に持ち帰り個人用のPC にデータを保存し当該PCがWinny ウイルス等に感染し漏えいした場合、その他本来の利用目的外に個人情報を利用した場合も含む）

- 紛失
個人情報の状態 （記憶媒体、紙媒体等） を問わず企業等の個人情報が、内外を問わず紛失した場合

- 盗難
車上荒らしや事務所荒らし等によって、個人情報を記録、保存したPC や鞄等を盗難された場合

- 誤送信ほか操作ミス
個人情報を含むファイルを誤った宛先にメールやFAX で送信したり、本来BCC にする複数の宛先をCC で誰にでも閲覧できる状態でメール送信する等の誤送信や操作ミス

- 不正アクセス
不正侵入のほか、他人のログイン情報悪用等、「不正アクセス行為の禁止等に関する法律」 により定義される不正アクセス行為全般

- システム管理上のミス
Web サイトやサーバの設定不備によって第三者が個人情報にアクセスできる状態となっていた場合や、消去すべきデータを消去し忘れた場合、アクセス制限の設定ミス等、第三者が一般的な操作で個人情報を閲覧できる状態にあった場合

- その他
内部犯罪や、社内規定不在により社内PC にWinny 等をインストールしたことが原因で漏えいが発生した場合、データを消去せずにハードディスクを廃棄した場合等々、上記の項目に該当しない場合

- 不明
漏えいの原因や経路等が不明あるいは公表されていない場合や、紛失か盗難かが明確ではない場合等

【漏えいの方向】
- 内部から : 内部からの攻撃あるいは原因による情報漏えい
- 外部から : 外部からの攻撃あるいは原因による情報漏えい
- 不明 : 原因不明なもの

【ファイル共有ソフト関与の有無】
- あり : Winny 等ファイル共有ソフトの関与による情報漏えい
- なし : Winny 等ファイル共有ソフトの関与なし
- 不明 : Winny 等ファイル共有ソフトの関与の有無が不明

【タイトル】
SDEX 掲載時ニュース記事タイトル

【内容】
SDEX 掲載ニュース記事本文

【関連URL】
情報漏えいを公表する組織・団体のリリースが掲載された当時のURL で、意図して消されすでに当該ページが存在しない場合もある。リリースがトップページに掲載された場合等はトップページのURL を記載した。

　・ 愛知県豊川市 （1月15日）
　・ 株式会社日立製作所 （2月19日）
　・ 日本ヒューレット・パッカード株式会社 （2月29日）
　・ 楽天株式会社 （3月19日）
　・ 株式会社サウンドハウス （4月7日）
　・ 東本願寺 （5月26日）
　・ 株式会社ホンダカーズ埼玉 （6月13日）
　・ コスモ石油株式会社 （6月30日）
　・ 株式会社アイリスプラザ （7月24日）
　・ ミネルヴァ・ホールディングス株式会社 （8月6日）
　・ 株式会社絵本ナビ （8月13日）
　・ 新潟県総合生活協同組合 （8月14日）
　・ 安田生命保険相互会社 （10月31日）
　・ 神奈川県教育委員会 （11月14日）
　・ 株式会社JALホテルズ （12月5日）
　・ 西日本電信電話株式会社 （12月12日） 　他、全120件

　・ 企業のセキュリティ部門、個人情報保護関連部門、総務・法務
　・ セキュリティコンサルティング
　・ 保険会社、金融機関、監査法人
　・ 経営者、マネージメント層
　・ 専門セキュリティ機関、その他セキュリティ業界関係者

当資料は、一覧性の高い書籍版 ［印刷タイプ / PDFファイルタイプ］ と、利用目的に合わせた分析が可能なデータ版 ［ローデータ （CSVファイル） タイプ］ をご用意しています。

※ 各値は、2008年に発生した主な個人情報漏えい事故のうち、当資料に収録されたデータに基づく集計値。

▼ 2008年に発生した主な個人情報漏えい事故の83％が内部脅威による漏えい、ファイル共有ソフトによる漏えいは減少

2008年1箇年間に発生した、主な個人情報漏えい事故のうち、組織内部からの攻撃あるいは原因による個人情報漏えい事故は全体の83％を占め、情報漏えい抑止のための内部脅威への対策の必要性を示す結果となった。

また、Winny等のファイル共有ソフトが関与した個人情報漏えいは全体の23％で、2005年から2007年の3箇年間の平均である30％と比較して減少しており、企業内でのファイル共有ソフト対策が一定の効果を上げていることが推測される。

2008年に発生した個人情報漏えい事故の漏えい人数によるランキングでは、1位が2008年8月に発生したミネルヴァ・ホールディングスの653,424名（発表された最大の場合の漏えい人数）、2位が2008年12月に発生したJALホテルズの145,052名、3位が2008年2月に発生した日本ヒューレットパッカードの139,583名だった。

また、Winny関連で個人情報が最も多く漏えいした事件としては、1位が11月に発生した神奈川県教育委員会で約11万人、2位が11月に発生したサン・ライフの最大1万2000人（漏えいした可能性のある人数を含む）、3位が8月に発生した新潟県総合生活協同組合の9558人だった。