漏えいした個人情報の累計　日本の人口に匹敵する1億2,500万人分

　2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、事故件数は165件、漏えいした個人情報は592万7,057人分（前年比3.0％増）だった。
　調査を開始した2012年以降の11年間で、社数と事故件数は2年連続で最多を更新した。

　2012年から2022年までの11年間の事故件数は累計1,090件に達した。漏えい・紛失した可能性のある個人情報は累計1億2,572万人分で、日本の人口に匹敵するスケールに広がった。
　とりわけ、深刻化する不正アクセスやウイルス感染などのサイバー攻撃による事故が増え、2022年はこれまで最多の87社、事故件数は91件にのぼり、全体の件数を押し上げた。
　社内システムなどへの不正アクセスで情報が流出したケースが大半だが、2022年初旬はマルウェア「Ｅｍｏｔｅｔ」が流行し、社内のパソコンが感染して情報を窃取された事例も相次いだ。

• ※本調査は、2022年に明らかになった上場企業と子会社の情報漏えい・紛失事故のプレスリリース、お知らせ、お詫びなど、自主的な開示を独自集計した。調査開始は2012年から。
  個人情報の範囲を、氏名、住所、電話番号、年齢、性別、メールアドレス、ログインＩＤ等と定義し、「漏えいの可能性がある」や、個人情報の不適切な取扱いの結果、生じた事例なども対象とした。また、「対象人数不明・調査中」も事故件数に1件としてカウントした。
  

事故件数は前年比1.2倍増の165件、社数・事故件数とも最多

　2022年の事故件数は165件（前年比20.4％増）で、年別では2012年に調査を開始以降、最多となった。また、社数も150社（同25.0％増）で、これまで最多の2021年（120社）を30社上回った。
　社数と事故件数は2021年に続き、2年連続で最多を更新した。
　2022年の事故165件のうち、情報漏えい・紛失人数は「不明・その他」が最多の67件（構成比40.6％）だった。実態がつかめない、あるいは「調査中」などとして具体的件数の公表を控えるケースが多い。次いで、「1,000人以上1万人未満」が39件（同23.6％）、「100人未満」が20件（同12.1％）、「100人以上1,000人未満」が16件（同9.6％）と続く。
　100万人以上に及ぶ大型事故は2件（同1.2％）発生した。グループ内で顧客情報を誤送信したＪ.フロントリテイリング（191万3,854人分）、不正アクセス被害を受けた森永製菓（164万8,922人分）だった。2022年の累計人数は592万7,057人分（前年比3.0％増）で、前年（574万9,773人）から微増した。なお、調査を開始した2012年以降の11年間で、累計は1億2,572万3,522人分に及ぶ。

原因別　「ウイルス感染・不正アクセス」が5割超え

　2022年の情報漏えい・紛失事故の165件のうち、原因別では、「ウイルス感染・不正アクセス」の91件（構成比55.1％）が最多で、半数以上を占めた。
次いで、「誤表示・誤送信」が43件（同26.0％）で、メールの送信間違いやシステムの設定ミスなど人為的な原因も上位に入った。
このほか、保管しておくべき書類や取引記録の廃棄・紛失などの「紛失・誤廃棄」が25件（同15.1％）、従業員が社内規定に反して個人情報を持ち出したりした「盗難」が5件（同3.0％）だった。
　1事故あたりの情報漏えい・紛失人数の平均は、「ウイルス感染・不正アクセス」が8万9,978人分と最も多い。サイバー犯罪は、紙媒体が中心の「紛失・誤廃棄」（平均1万1,922人分）などに比べ規模が大きく、被害が広範囲にわたることを示している。

「ウイルス感染・不正アクセス」の増勢続く　2022年はマルウェア「Ｅｍｏｔｅｔ」が猛威

　被害の大きさや影響度合いが大きい「ウイルス感染・不正アクセス」は増加の一途をたどる。 「ウイルス感染・不正アクセス」による事故件数は調査を開始以来、最多の91件（87社）発生し、事故件数、社数ともに2019年以降、4年連続で最多を更新した。
　特に、2022年は2月以降、マルウェア「Ｅｍｏｔｅｔ」による感染が急拡大した。社内のパソコンが感染し、メールアドレスをはじめパソコン内部の情報窃取や、なりすましによる不審メール被害の公表が36件にのぼり、件数を押し上げた。
　「ウイルス感染・不正アクセス」による事故のうち、これまでの漏えい・紛失人数の最多は2013年5月に不正アクセスで最大2,200万のＩＤが外部流失した可能性を公表したヤフー（現：Ｚホールディングス）。2022年の最多は森永製菓（164万8,922人分）で、歴代7番目の大規模な事故となった。

媒体別　「社内システム・サーバー」が最多

　情報漏えい・紛失事故165件のうち、原因となった媒体別では「社内システム・サーバー」が76件（構成比46.0％）で最多。次いで、「パソコン」が60件（同36.3％）、「書類」が22件（同13.3％）、「記録メディア」が6件（同3.6％）の順。
　1件あたりの情報漏えい・紛失人数の平均では、「社内システム・サーバー」を媒体とした事故が11万2,363人分と突出した。社内サーバーが不正アクセスを受け、顧客情報が流出したケースなどが多い。また、「パソコン」は事故件数が60件と、全体の3割以上を占めたが、このうち漏えい・紛失人数を開示したのは22件（漏えい・紛失人数平均1,976人分）だった。パソコンがウイルス感染の被害を受けたものの、実際の被害範囲が特定できずに詳細や漏えい・紛失人数を開示していないケースが多かったため。

産業別　最多は製造業の43社

　情報漏えい・紛失事故を公表した150社の産業別では、最多は製造業の43社（構成比28.6％）。
　次いで、サービス業の23社（同15.3％）、情報・通信業の22社（同14.6％）、金融・保険業と小売業が同数の14社（同9.3％）、運輸業が13社（同8.6％）、卸売業が11社（同7.3％）と続き、幅広い業種で事故が発生していることが分かった。

市場別　東証プライムが7割超え

　上場市場別では、最多は東証プライムの111社（構成比74.0％）が全体の7割以上を占めた。大手企業が中心で、事業範囲や従業員数、顧客数も多く、サイバー犯罪に巻き込まれる可能性が高い。
　一方で、大手になればなるほどガバナンス体制が充実し、情報開示のフローなどが徹底していることも公表数が多い要因とみられる。

2022年　主な個人情報漏えい・紛失事故

　2022年の主な事故で、最多は顧客情報の不適切な取り扱いを公表したJ.フロントリテイリングの191万3,854人分。情報漏えい・紛失人数が多かった上位10件のうち、不正アクセスを原因としたものは6件だった。このうち、クレジットカード決済システムを運営するメタップスペイメント（親会社：メタップス）は、システムへの不正アクセスで多数のクレジットカード情報が流出。こうした事態を受け、代表取締役の引責辞任に発展した。
　また、ＥＣサイトなどの入力支援ツールを提供していたショーケースの不正アクセス事件は、被害がサービスを利用していた多くの企業に広がり、上場企業だけでも5社のＥＣサイトでクレジットカード情報の漏えいを引き起こした。
　165件のうち、クレジットカード情報が漏えいした可能性を公表した事故は13件（構成比7.8％）あった。クレジットカードの不正利用で初めて情報漏えいが明らかになったケースもあり、個人情報の漏えいが組織的な犯罪の端緒になっている。

　上場企業による公表分だけで2012年以降、日本の人口に匹敵する人数分の個人情報の漏えいや紛失事故が発生している。このほか、集計対象外だが非上場企業や海外企業、官公庁、学校など様々な組織でも事故は起きており、流出した個人情報は天文学的なボリュームにのぼるとの見方もある。
　特に、不正アクセスなどのサイバー攻撃による事故件数は4年連続で最多を更新し、深刻さを増している。手口は年々巧妙化し、企業間取引による密接な繋がりで1社の被害が広範囲に拡大する点も特徴と言える。
　情報セキュリティ対策は、いまや企業が経営を維持するためには不可欠で、その優先度合いは高まっている。同時に、誤表示・誤送信、紛失などの人為的な過失を防ぐには、社内ルールの徹底を柱に据え、人的・金銭的な投資にも取り組むことが避けられない時代になっている。