上場企業の「個人情報漏えい・紛失」事故 2番目の180件発生、漏えい人数は約2倍増の3,063万人分
~ 2025年「上場企業の個人情報漏えい・紛失事故」調査 ~
2025年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、180件(前年比4.7%減)で、漏えいした個人情報は3,063万6,910人分(同93.1%増)だった。
事故件数は、2024年まで4年連続で最多を更新したが、前年を9件下回り、歴代2番目の件数となった。ただ、社数ベースは158社で、2024年の151社を抜き、過去最多を更新した。
また、漏えい・紛失人数は、100万人超えの大型事故が6件発生したため、3,063万6,910人分(前年比93.1%増、前年1,586万5,611人分)と前年の約2倍と大幅に増え、歴代3番目の多さだった。
個人情報の漏えい・紛失事故は、2012年から2025年まで合計1,634件を数える。漏えい・紛失した可能性の個人情報は延べ2億1,313万人分で、単純計算すると国民一人あたりの個人情報が2回漏えいした計算になる。2025年はランサムウェアなどの不正アクセスが猛威を振るった。個人情報の漏えいだけでなく、生産やサービスの停止まで引き起こし、企業の信用低下や業績ダウンに直結する深刻な事態に発展するケースが起きた。
※ 本調査は、2025年に明らかになった上場企業と子会社の情報漏えい・紛失事故のプレスリリース、お知らせ、お詫びなど、自主的な開示を独自集計した。調査開始は2012年から。
※ 個人情報の範囲を、氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等と定義し、「漏えいの可能性がある」や、個人情報の不適切な取扱いで生じた事例も対象とした。また、「対象人数不明・調査中、非公開」も事故件数としてカウントした。
事故件数は歴代2番目、社数は最多を更新
2025年の事故件数は180件(前年比4.7%減)で、前年より9件少なかった。件数は2021年以降、4年連続で最多を更新したが、7年ぶりに前年を下回った。ただ、高止まりに変わりはなく、社数は158社(同4.6%増)と前年から7社増え、これまで最多だった2024年(151社)を上回り最多を更新した。
情報漏えい・紛失の公表人数は、100万人以上に及ぶ大型事故が前年の2件から6件へ3倍に増加した。一方、10万人以上100万人未満のレンジは、23件から13件に10件減少した。
1万人以上は38件で、前年の51件から13件減少した。ただ、大規模な情報漏えい事故が押し上げ、2025年の漏えい人数の総数は3,063万6,910人分と、2024年(1,586万5,611人分)の2倍に膨らんだ。
180件のうち、人数開示がない「調査中・不明等」が70件あり、これらを踏まえると実態はさらに深刻で、徹底した技術的対策と法令順守などの人的セキュリティ対策が改めて問われている。
原因別 「ウイルス感染・不正アクセス」が6割、漏えい・紛失人数は圧倒的
2025年の情報漏えい・紛失事故の180件のうち、原因別は、「ウイルス感染・不正アクセス」の116件(構成比64.4%)が最多で、6割以上を占めた。
次いで、「誤表示・誤送信」が37件(同20.5%)、「紛失・誤廃棄」が18件(同10.0%)で、メール送信時のCC、BCCの取り違え、システムの誤設定、書類紛失や誤って廃棄するなどの人為的なミスに起因したケースが続く。また、悪意を持った従業員による「不正持ち出し・盗難」も7件(同3.8%)発生した。
漏えい・紛失人数の平均は、「ウイルス感染・不正アクセス」が最多の56万3,637人分にのぼり、ダントツだった。不正アクセスは社内サーバーなどからの大規模な情報漏えいを瞬時に招くため、突出している。
「ウイルス感染・不正アクセス」件数は最多を更新
「ウイルス感染・不正アクセス」による情報漏えい・紛失事故件数は116件で、前年を2件上回り、2年連続の100件台で最多を更新した。2025年もランサムウェアによる不正アクセス被害が多発した。
このほか、他社から業務を請け負っていた企業が不正アクセスを受け、業務を委託した側の顧客情報が流出して被害が拡大したケースや、一般顧客向けシステムへの不正ログインなども発生した。
「ウイルス感染・不正アクセス」による事故のうち、これまでの漏えい・紛失人数の最多は2013年5月に不正アクセスでIDが外部流失した可能性を公表したヤフー(現:LINEヤフー)の最大2,200万件。2025年の最多は、子会社で運営する複合型ネットカフェ「快活CLUB」が外部からの不正アクセスを受けたAOKIホールディングスの729万87人分だった。
媒体別 件数・人数ともに「社内システム・サーバー」が最多
情報漏えい・紛失事故180件のうち、原因となった媒体別の最多は「社内システム・サーバー」で、140件(構成比77.7%)と全体の約8割を占めた。次いで、「パソコン・携帯端末」が23件(同12.7%)、「書類・紙媒体」が12件(同6.6%)の順。
1件あたりの情報漏えい・紛失人数の平均では、「社内システム・サーバー」を媒体とした事故が40万5,099人分と突出した。社内サーバーが不正アクセスを受け、大量の顧客情報が詐取された可能性を開示するケースが大半だった。
「パソコン・携帯端末」はメールの誤送信や本体の紛失などが多い。「書類・紙媒体」は保存しておくべき書類の紛失や、誤廃棄に起因する事故が多数を占めた。
産業別 最多は製造業の50社
情報漏えい・紛失事故を公表した158社の産業別は、最多が製造業の50社(構成比31.6%)で3割を占めた。次いで、サービス業の23社(同14.5%)、情報通信業の21社(同13.2%)、金融・保険業の20社(同12.6%)、小売業の15件(同9.4%)と続き、幅広い産業での事故が発生した。
市場別 東証プライムが7割超え
上場市場別では、最多は東証プライムの112社(構成比70.8%)で、7割を占めた。大手企業ほど事業領域が広く、多くのグループ企業を抱えている。また、従業員数、顧客数も多いためターゲットにもなりやすい。一方で、大手企業ほどコンプライアンス(法令順守)やガバナンス(企業統治)への意識が徹底しており、被害を受けた場合の公表数の多さに繋がっている可能性もある。
2025年 主な個人情報漏えい・紛失事故
2025年の事故で最大は、子会社が運営する複合型ネットカフェ「快活CLUB」で外部からの不正アクセスを受けたAOKIホールディングスの729万87人分で、歴代6番目の規模だった。
次いで、社内のWebシステムが第三者により不正アクセスを受けたSOMPOホールディングス(損害保険ジャパン)が727万1,004人分の漏えいの可能性を公表した。以下、漏えい・紛失人数の上位には、社内サーバなどへの不正アクセス被害を受けた事例が並んだ。
9月にランサムウェアによるサイバー攻撃を受けた飲料大手、アサヒグループホールディングスでは基幹システムが機能不全に陥った。191万4,000人分の個人情報流出の可能性を公表したほか、工場稼働の一時停止、受発注や出荷の停止、物流の混乱など影響が広範囲に及び、店頭販売での欠品を招いた。
また、10月にはオフィス用品配達大手のアスクルがランサムウェア攻撃による被害を受けた。サービス停止により、以降の売上の大部分が消失し、顧客情報などの個人情報約73万9,700件の漏えいの可能性を公表。2026年1月28日に発表した今期の第2四半期決算では、一連の被害に対するシステム障害対策費用として52億1,600万円の特別損失を計上し、従来公表していた通期の連結業績予想も取り下げており、業績への影響がさらに拡大する可能性もある。
2025年の個人情報の漏えい・紛失事故は、件数が歴代2番目を記録し、高止まりの状況が続いた。また、大型事故が相次いだことで、漏えい・紛失人数は前年の約2倍に膨らんだ。
漏えい事故の件数や人数が多い背景には、不正アクセスの増加がある。2025年も漏えい・紛失人数の規模別上位には、ランサムウェアなどに伴う不正アクセス被害が並んだ。
サイバー攻撃は年々高度化しており、新たな手口に対する防御策もいたちごっこの様相を呈している。
また、大手企業や他社から多くの業務を請け負う企業が被害を受けたことで、影響が広範囲に広がった。被害の拡大は信用低下による顧客基盤の喪失や、事故後の補償問題なども引き起こし、業績ダウンが避けられない事態も起きている。
情報セキュリティ対策は、企業の事業継続の上で対応が不可欠な経営課題になっている。システム部門にとどまらず、全社的な事業継続計画(BCP)の一環としてとらえることが必要で、技術的なアップデートに加え、日常的な訓練や社員教育などによる意識付けの重要性も増している。
