2024年、日本の個人情報漏えいが前年比58%増加!国民識別システム「マイナンバー」漏えいは6倍に急増
2025年6月10日、日本の個人情報保護委員会(PPC)が発表した報告によると、2024年度(2025年3月末まで)に報告された個人情報漏えい件数は21,007件に達し、過去最高を記録した。これは前の年と比べて58%増えており、官民どちらも情報管理の甘さが目立っています。
特に民間部門からの漏えい件数は19,056件で57%増、公的機関も1,951件と68%増加しており、誤送信や誤配布といった多くは人による操作ミスが原因です。
注目すべきは、国民識別番号である「マイナンバー」関連の情報漏えい件数が334件から2,052件へと6.1倍に急増したことだ。これは政府の基幹個人情報システムの安全性が大きな課題に直面していることを示している。
報告書によれば、このうち1,726件は、日本企業「MKSystem」が提供する労務・社会保険システムの不正アクセスによるもの。MKSystemはクラウドサービスやASPを通じて社会保険関連のソフトウェアやシステム構築サービスを提供しており、今回のマイナンバー情報漏えいの主な原因となった。
【関連報道】Japan personal data leaks double in FY 2024 to record 21,000 cases
個人情報漏えいがもたらす深刻なリス
1. 個人情報の悪用
身分証明書情報、住所、生年月日、健康保険や年金情報などが盗まれると、詐欺、不正請求、偽の口座開設、信用情報の盗用など犯罪に悪用される恐れがあります。
2. 標的型フィッシング攻撃
流出したメールアドレスやアカウント情報を元に、巧妙に偽装したメールやSMSを送りつけ、ユーザーを騙して悪質なリンクをクリックさせようとします。ログイン情報の再入力、パスワードのリセット、さらにはさらなる個人情報の提供などを要求し、騙されたユーザーから情報を盗み出すのが狙いです。
3. なりすまし詐欺
もしハッカーが政府機関のメールアドレスやソーシャルメディアのアカウントを手に入れた場合、本人になりすましてメールを送ったり、投稿したりすることがあります。これにより、詐欺情報や悪質なファイルを拡散し、被害がさらに広がる可能性があります。
4. 金融口座の不正利用
データベースに金融口座関連のデータが含まれている可能性があるため、ハッカーは金融口座を盗み出し、不正送金やクレジットカードの悪用など、金融犯罪につながるおそれがあります。
5. ソーシャルメディアアカウントの乗っ取り
もしハッカーがあなたのユーザー名とパスワードを知っていて、あなたが追加のログイン認証を設定していない場合、彼らはあなたのFacebook、Instagram、Discordなどのソーシャルメディアアカウントに簡単に侵入する可能性があります。そして、詐欺リンクや偽の投資広告を拡散したり、あなたのふりをして友人や家族から金銭を騙し取ったりするために悪用されることがあります。
6. クレデンシャルスタッフィング攻撃
クレデンシャルスタッフィング攻撃とは、ハッカーが流出したあなたのユーザー名とパスワードを使って、様々な企業やプラットフォームへのログインを試みるものです。もしあなたが異なるプラットフォームで同じユーザー名とパスワードを使い回していて、かつ二段階認証(2FA)や多要素認証(MFA)を有効にしていない場合、ハッカーは一度に大量のあなたのアカウントを乗っ取る可能性があります。
7. ソーシャルエンジニアリング攻撃
ハッカーは、被害者の個人情報や履歴を把握することで、銀行のカスタマーサポートやITテクニカルサポートなどを装い、電話やビデオ通話で情報確認を装って詐欺を行おうとします。
8. サプライチェーンリスク
サービスを提供している企業やシステムのうち、一つでもハッキングされると、それがきっかけで他の利用者にも被害が及んだり、通報が相次いだりすることがあります。結果として、この一連の出来事が「連鎖的なサイバーセキュリティの嵐」へと発展してしまうのです。
9. 信頼の危機と経済的損失
企業や政府の信用が損なわれるだけでなく、個人情報漏洩の原因となった企業や政府に対する人々の信頼が低下することにもつながります。
セキュリティ対策と予防策
日本での情報漏洩事件急増を受けて、個人と企業の両方に役立つセキュリティ対策をいくつかご紹介します。誰もが次の被害者にならないために、今後の対策にお役立てください。
個人でできる対策は?
1. 多要素認証(MFA)を有効にする
個人情報を取り扱うすべてのプラットフォーム、具体的には金融機関、ECサイト、ソーシャルメディアなどでは、多要素認証(MFA/2FA)を必ず有効にしてください。これにより、たとえアカウントのパスワードが盗まれても、スマートフォンの認証コードやアプリの承認がなければ、ハッカーはログインできません。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の調査によると、多要素認証を有効にすることで、ハッキング攻撃の99%を防ぐことができるとされています。
Keypascoの多要素認証ソリューションは、承認されたユーザーだけが、紐付けられたデバイスから、指定された場所と時間にログインできるように設計されています。このシステムは、独自の特許技術であるデュアルチャネル認証アーキテクチャを採用しています。ログインと認証の暗号化されたチャネルが分離されているため、中間者攻撃(MiTM)、ブラウザ内中間者攻撃(MiTB)、フィッシング詐欺、そしてアカウント乗っ取り(ATO)といった脅威を効果的にブロックします。
さらに、ユーザーはNFCデバイスを使って、認証デバイスを迅速かつ安全に移行できます。また、Keypascoのアプリを使えば、「What You See Is What You Sign」(WYSIWYS)署名をアプリ上で完結できるため、よりシンプルで効率的な認証方法を提供します。従来のSMS OTPと比較して、安全性は格段に高く、コスト削減にも繋がります。
2. 個人情報の流出状況を定期的にチェック
Have I Been Pwnedのようなサービスや、セキュリティソフトに内蔵されているアカウント安全チェック機能を使って、あなたのメールアドレスやアカウントが過去に流出したことがあるか、定期的に確
認することをおすすめします。もし流出が確認された場合は、すぐにアカウントのパスワードを変更しましょう
3. 安易な個人情報提供は避ける
オンラインアンケート、懸賞、キャンペーン、またはネットのアカウント登録など、どんな場面でも、その団体が信頼できるかどうかを必ず確認しましょう。出所の不明なウェブサイトに安易に本物の情報を残すのは避けましょう。
4. フィッシング詐欺に注意深く対処
現在、ほとんどの詐欺やハッキング攻撃は、ソーシャルエンジニアリングやフィッシング詐欺のSMS/メールを侵入手段としています。そのため、異常なメッセージやログインリンクを受け取った場合は、公式のカスタマーサービスを通じてまず確認するようにしてください。安易にクリックしたり、情報を入力したりすることは絶対に避けてください。
企業におけるセキュリティ強化の提言
1. ゼロトラストアーキテクチャ(Zero Trust Network Access)の導入
これまで、多くの企業はファイアウォールや内外ネットワークの隔離といった従来の防御モデルに頼ってきました。しかし、現代のハッキング攻撃は、内部の従業員アカウントを突破口とすることが増えています。そのため、企業はゼロトラストの仕組みを導入することが勧められます。これは、誰であろうと、どのデバイスであろうと、事前に一切信頼せず、すべてのアクセス要求に対して検証を行うものです。さらに、最小権限の原則を徹底し、ユーザーのアクセス権限を制限するとともに、ユーザーの行動パターンを継続的に監視し、異常があれば即座にログアウトさせます。
「Keypasco ZTNA」は、ゼロトラストアーキテクチャに基づいたサイバーセキュリティソリューションです。この製品は、米国NIST、CISAの基準、および台湾政府のゼロトラスト技術アーキテクチャを参考に開発されており、国家資通安全研究院の認証を受けています。本人認証、デバイス認証、そして信頼度推論技術を通じて、あらゆる企業や公共部門に包括的かつ強固なセキュリティ防御を提供することを目指しています。
- 身元認証:多要素認証に対応し、FIDO U2F、FIDO2ソリューションを提供。
- デバイス認証:デバイスの特徴やソフトウェア情報をスキャンし、Keypascoサーバーに保存して認証を実施。
- 信頼推定:人工知能による行動分析を用いてリスクを継続的に評価し、新たな認証をトリガー。
2. サプライチェーンのセキュリティ管理強化
今回のMKSystemの件は、サプライチェーンのセキュリティの脆弱性が浮き彫りになる事例でした。企業は、協力しているシステムベンダーやアウトソーシング先に対して、定期的なセキュリティ監査を実施し、そのセキュリティメカニズムが基準を満たしているか確認すべきです。事前にセキュリティレベルを評価し、リスク分散が必要か、あるいは共同で危機管理の方針を策定する必要があるかを見極めましょう。これにより、サプライチェーンの一部から侵入され、全体に被害が及ぶといった事態を防げます。
3. 定期的なセキュリティ演習と教育訓練の実施
従業員に対し、定期的なセキュリティトレーニングを実施し、フィッシングメールやソーシャルエンジニアリング攻撃に対する警戒心を高めることが重要です。これにより、人為的なミスによるセキュリティインシデントの発生を防ぎます。
Keypascoは各国の法規制および実務要件に準拠し、現在国内外の政府機関、金融サービス、医療機関、スマートビルディング、ハイテク産業などに導入されています。今後も企業のセキュリティコンプライアンス能力の強化を支援し、あらゆる分野のニーズに応えていきます。