情報漏洩の有名な事例としてはどんなものがある？事例から学ぶ対処法も解説

デジタル化が進む現代において、企業が取り扱う情報の価値はますます高まっています。

その一方で、情報漏洩のリスクは企業規模を問わず、すべての組織にとって深刻な経営課題となりました。

ひとたび情報漏洩が発生すれば、金銭的な損害はもちろん、顧客や取引先からの信用を失い、事業の継続が困難になることさえあります。

そこでこの記事では、世間を騒がせた有名な情報漏洩の事例を紹介しつつ、中小企業が実践すべき具体的な対処法・予防策などについて詳しく解説していきます。

自社のセキュリティ体制を見直すきっかけとして、ぜひ参考にしてください。

参考記事：情報漏洩とは？企業の信頼を守るために知っておきたい基礎知識と対策

情報漏洩の有名な事例

情報漏洩は、企業の大小を問わず日常的に発生しています。

では、なぜセキュリティに厳しそうな大企業でも情報漏洩が起きてしまうのでしょうか。
その原因や手口を把握することで、自社を守るための重要な教訓となります。

ここでは、5つの有名な情報漏洩の事例について見ていきましょう。

総合エンターテインメント会社の事例

2024年、出版、映像、ゲームなど多岐にわたる事業を手掛ける大手総合エンターテインメント企業が、大規模なサイバー攻撃を受けました。

この攻撃は、悪意のある第三者がサーバーに不正アクセスし、データを暗号化して身代金を要求する「ランサムウェア」によるものと見られています。

結果として、複数の公式ウェブサイトやECサイトが長期間にわたり停止しただけでなく、顧客、取引先、従業員の個人情報を含む、膨大なデータが漏洩した可能性が報告されました。

この事例は、現代のサイバー攻撃が単なる情報窃取にとどまらず、企業の事業活動そのものを麻痺させるほどの深刻な脅威であることを示しています。

市場調査会社の事例

ある大手市場調査会社では、自社が運営するWebサイトの一部がサイバー攻撃を受け、情報漏洩が発生しました。

その原因は「SQLインジェクション」という、非常に古典的でありながら今なお強力な攻撃手法です。

これは、Webサイトのプログラムに存在する脆弱性を悪用し、データベースに対して不正な命令を送り込むことで、内部に保管されている情報を強制的に引き出す攻撃です。

この攻撃により、メールマガジン登録者やセミナー申込者の氏名、会社名、連絡先といった個人情報が多数流出したと報告されています。

この事例は、サーバーのインフラ設定だけでなく、Webサイトを構成するアプリケーション自体のセキュリティ対策がいかに重要であるかを示しています。

アパレル会社の事例

世界的に有名なアパレルブランドのオンラインストアで、多数の顧客アカウントへの不正ログインが発生しました。

攻撃の手口は「リスト型攻撃」と呼ばれるもので、他のサービスから流出したIDとパスワードのリストを使い、同じ組み合わせを機械的に試してログインを試みるというものです。

多くの利用者が複数のサービスで同じパスワードを使い回しているという弱点を突いた攻撃でした。

この事例から、企業側が強固なセキュリティを構築するだけでなく、利用者に対してパスワードの使い回しを避けるよう啓発し、二要素認証などの追加のセキュリティ機能を提供することの重要性がわかります。

リゾート会社の事例

スキー場などを運営するリゾート会社のWebサイトで、第三者による不正アクセスが発覚しました。

調査の結果、原因はWebサーバー上に不正なファイルが設置され、実行されたことでした。

このファイルが悪意ある処理を行い、サイト内のフォームに入力された顧客の氏名や連絡先などが保存されたデータベースに侵入し、情報を盗み出した可能性が指摘されています。

この事例は、Webサイトのプログラム自体の脆弱性が、サーバー内部への侵入経路となりうることを示しています。

ファイアウォールなどのインフラ防御だけでなく、Webアプリケーションの定期的な脆弱性診断と、不正なファイルのアップロードを防ぐ仕組みがいかに重要であるかが伝わるはずです。

設備工事会社の事例

空調などの設備工事を手掛ける会社が、外部のクラウド上に設置していた基幹システムを含むサーバーで、ランサムウェア被害に遭った事例です。

近年のランサムウェア攻撃は、データを暗号化して使用不能にするだけでなく、事前に情報を盗み出し、「身代金を支払わなければ公開する」と脅迫する二重の手口が主流です。

この事例でも、データの暗号化に加え、情報が外部に流出した可能性が指摘されました。

流出の恐れがある情報には、取引先の連絡先や振込先口座、社員の個人情報、工事の契約金額といったものが含まれていました。

被害拡大防止のため、同社は一時的に電子取引を停止し、紙媒体など物理的な手段での業務継続を強いられています。

この事例は、クラウドサービスを利用していてもセキュリティ対策は自社の責任であり、攻撃を受ければ事業継続そのものが脅かされるという現実を示しています。

最近発生した情報漏洩事件一覧

情報漏洩事件は、たまに発生するというものではなく、日常的に起こっています。

実際、直近数か月以内でも以下のような情報漏洩の事例があります。（2025年8月時点）

格安宅配便サービス会社	システム不備により、約15万件の個人情報が第三者から閲覧可能な状態になっていた。
中堅出版会社	同社が運営するWebサイトに対する外部からのサイバー攻撃により、個人情報約33万件が漏洩した可能性がある。
総合アパレル企業	運営するオンライン通販サイトに対するリスト型ハッキングと見られるアクセスにより、顧客アカウント20万件弱が不正ログインが発生した。
老舗の卸売会社	運営するオンラインショップに対する外部からのサイバー攻撃に伴い、クレジットカード情報約3万件や個人情報約9万件が漏洩した可能性がある。
ブライダル企業	イベントサービスサイトに関連するプログラムに対して不正アクセスがあり、個人情報漏洩の懸念を発表。

情報漏洩が発生してしまう原因

情報漏洩と聞くと、高度な技術を持つハッカーによるサイバー攻撃を想像しがちですが、実際にはもっと身近な原因によって引き起こされるケースも少なくありません。

ここでは、情報漏洩の主な原因を3つのカテゴリに分けて解説します。

ウイルス感染や不正アクセス

ウイルス感染や不正アクセスは、悪意のある第三者による外部からの攻撃が原因となるケースです。

代表的な手口には以下のようなものがあります。

ランサムウェア攻撃	データを人質に取り、復旧と引き換えに金銭を要求します。
標的型攻撃メール	従業員にウイルス付きのメールを送りつけ、PCを感染させて内部ネットワークに侵入します。
Webサイトの脆弱性攻撃	Webサイトのプログラムの欠陥を突き、データベースに不正にアクセスして情報を盗み出します。

これらの攻撃は年々巧妙化しており、企業は常に最新の防御策を講じる必要があります。

誤表示や誤送信

誤表示や誤送信は、悪意のない人的なミス、いわゆるヒューマンエラーが原因となるケースです。

外部からの攻撃がなくとも、以下のように、社内の不注意から情報が漏洩してしまうことは頻繁に起こります。

• 「BCC」で送るべきメールを「TO」や「CC」で送信してしまう
• 宛先番号を間違えて関係のない第三者にFAXで機密情報を送ってしまう
• 本来は一部の人しか閲覧できないWebサイト上の情報を、誤って誰でも閲覧できる状態で公開してしまう

これらのミスは、ダブルチェックの徹底やツールの導入など、業務フローの見直しによって防げる可能性があります。

不正持ち出しや盗難

「内部不正」や「物理的な盗難・紛失」によって、情報漏洩が発生してしまうケースもあります。

内部不正とは、従業員や退職者が、顧客リストや技術情報などを不正にコピーして持ち出し、他社に売却したり、私的に利用したりすることです。

物理的な盗難・紛失は、顧客情報が入ったノートパソコンやスマートフォン、USBメモリなどを社外で紛失したり、車上荒らしなどで盗まれたりすることです。

中小企業で情報漏洩が発生したらどう対応すべき？

もちろん、中小企業においても情報漏洩は一大事です。

もし情報漏洩が発覚した場合は、焦らずに、以下のフローで落ち着いて対応するようにしましょう。

【①社内報告と被害拡大防止】

発見者は速やかに社内責任者へ報告し、責任者はサーバーの切断など被害拡大を防ぐ初動対応を直ちに指示します。

【②事実調査と原因究明】

「どの情報が、何件、なぜ漏洩したか」といった事実関係を客観的に調査し、原因を特定してください。

この調査が、後の対応の基礎となります。

【③委員会への報告と本人への通知】

法律で定められた条件（1,000件超の漏洩など）に該当する場合、個人情報保護委員会への報告が義務付けられています。

発覚後、速やかな「速報」と、その後の「確報」が必要です。

原則、情報が漏洩した本人への通知も行わなければなりません。

【④再発防止策の策定・実行】

調査で判明した原因に基づき、具体的な再発防止策を策定し、全社で実行に移します。

誠実な対応と再発防止への取り組みが、信頼回復に繋がるでしょう。

参考）個人情報保護委員会「漏えい等の対応とお役立ち資料」

中小企業が情報漏洩を防ぐためにやるべきこと

情報漏洩を未然に防ぐには、単一の対策に頼るのではなく、「技術」「人」「ルール」の三つの側面から多層的な防御策を講じることが極めて重要です。

まず技術的な対策として、OSやソフトウェアを常に最新の状態に保ち、セキュリティソフトを導入することは基本中の基本です。

加えて、推測されにくい強力なパスワードの使用を徹底し、可能であれば多要素認証を導入することで、不正アクセスのリスクを大幅に低減できます。

次に人的な対策として、従業員一人ひとりへのセキュリティ教育が欠かせません。

巧妙化するフィッシング詐欺の手口などを共有し、意識を高めることが重要です。

まずは、「不審なメールは開かない」「パスワードの使いまわしは避ける」といったシンプルなルールを従業員に徹底させることから始めましょう。

また、業務用PCやUSBメモリの持ち出しに関する明確なルールを定めることも、内部からの漏洩や物理的な紛失を防ぎます。

最後に、組織的な対策として、誰がどの情報にアクセスできるのかという権限を必要最小限に設定し、退職者のアカウントは速やかに削除する運用を徹底します。

これらの対策を盛り込んだ、自社に合ったシンプルなセキュリティポリシーを策定し、全社で遵守することが、継続的な安全に繋がるのです。

まとめ

以上、有名な情報漏洩の事例から、その原因、そして中小企業が取るべき事後対応と予防策について解説しました。

事例を見てわかるように、情報漏洩は外部からの高度なサイバー攻撃だけでなく、内部の単純なミスや管理体制の不備によっても容易に発生します。

そして、ひとたび発生すれば、企業の規模にかかわらず、その事業に深刻なダメージを与えかねませんので、情報漏洩については万全の対策を講じるようにしてください。