不正アクセス被害と運営組織の規模関係
不正アクセス被害と運営組織の関連性をみるため、 2019年から2020年に公表された不正アクセス被害から、対象を絞り抽出しました。
過去の個人情報漏洩事件まとめ/サイバーセキュリティ.com
https://cybersecurity-jp.com/leakage-of-personal-information
上記ページに掲載されている、2019年1月から2020年12月までの被害事案のうち、 不正アクセス等、外部から悪意のある攻撃により個人情報が漏えいしたと思われる事案から、資本金:1億円未満、職員数:300名未満の組織に絞ると下記となります。
【 2019年公表 】
| 組織名 | 資本金 | 職員数 |
| リカー・イノベーション株式会社 | 200万円 | 120名 |
| 激ロックエンタテインメント株式会社 | 300万円 | 4名 |
| 株式会社英宝 | 300万円 | 18名 |
| 有限会社フィセル | 300万円 | 80名 |
| 有限会社ジャングル | 300万円 | 131名 |
| 株式会社サーカス | 1000万円 | 8名 |
| ホビボックス株式会社 | 1000万円 | 40名 |
| 株式会社小嶋屋総本店 | 1000万円 | 300名 |
| 株式会社DigiBook | 1000万円 | 記載なし |
| クインテッセンス出版株式会社 | 1200万円 | 48名 |
| 株式会社宮本製作所 | 1200万円 | 50名 |
| 株式会社スープレックス | 2000万円 | 6名 |
| 株式会社おもちゃ箱 | 2000万円 | 50名 |
| ジェイ・ワークス株式会社 | 2000万円 | 182名 |
| 株式会社京都一の傳 | 3300万円 | 273名 |
| 株式会社小田垣商店 | 3800万円 | 61名 |
| 株式会社金剛堂 | 4500万円 | 98名 |
| 白光株式会社 | 4500万円 | 170名 |
| 株式会社ハセ・プロ | 4910万円 | 33名 |
| 熊本ワイン株式会社 | 5000万円 | 13名 |
| 株式会社叶匠寿庵 | 7980万円 | 620名 |
| 日本貸金業協会 | なし | 139名 |
| 株式会社スタジオライン | 記載なし | 記載なし |
| 株式会社友利 | 記載なし | 記載なし |
【 2020年公表 】
| 組織名 | 資本金 | 職員数 |
| 株式会社Kitamura Japan | 100万円 | 8名 |
| 宮崎ひでじビール株式会社 | 300万円 | 13名 |
| 株式会社ダートフリーク | 1000万円 | 61名 |
| 株式会社レプロエンタテイメント | 1000万円 | 73名 |
| 株式会社ホビーズファクトリー | 1000万円 | 82名 |
| 鎌田醤油株式会社 | 1000万円 | 130名 |
| 株式会社仮説社 | 1700万円 | 7名 |
| 東映ビデオ株式会社 | 2700万円 | 63名 |
| 株式会社駅レンタカーシステム | 3,000万円 | 263名 |
| 株式会社アスカ | 3,900万円 | 50名 |
| 一般社団法人全国土木施工管理技士会連合会 | なし | 15名 |
| 一般社団法人ライフサイエンス・ イノベーション・ネットワーク・ジャパン | なし | 21名 |
| Peatix Japan株式会社 | 記載なし | 記載なし |
| 株式会社ペットハグ | 記載なし | 記載なし |
| 株式会社現代ギター社 | 記載なし | 記載なし |
※順不同、資本金・従業員は弊社による調査(2021年1月15日時点)
上記の結果から、2019年と同様に2020年においても、 運営組織の規模の大小には関係なく攻撃は行われている状況といえます。
被害組織の不正アクセス公表後の対応
| 運営組織 | 不正アクセス後の対応 |
| 株式会社レプロエンタテイメント | 通販サイトの停止(再発防止策の実施) |
| 鎌田醤油株式会社 | 業務用通販サイトの閉鎖 |
| 株式会社Kitamura Japan | レンタルカートシステム(ショッピファイ)へ移行 |
| 宮崎ひでじビール株式会社 | Yahoo!ショッピングへ移行 |
| 株式会社ダートフリーク | クレジットカード払いを除外 |
| 株式会社仮説社 | 通販管理システムのアップグレード |
| 東映ビデオ株式会社 | レンタルカートシステム(メイクショップ)へ移行 |
| Peatix Japan株式会社 | 不正アクセス経路の遮断、全アカウントのパスワードリセット、通知、注意喚起 |
事業継続のため対策を実施する組織が大半ながら、中には対象Webサイトの閉鎖という選択をとった組織もあります。
また不正アクセスが発覚した場合、上記の再発防止対策以外にも、
- 不正アクセス経路のアクセス遮断
- パスワード等のリセット
- 原因の調査
- 対象顧客の洗い出し・連絡・お詫び
- 捜査当局への被害届け
- 個人情報保護委員会への報告
上記の事項を同時並行、かつ、通常業務も行いながら、別途に最優先で実施する必要が出てきます。
より厳格な対応が求められる、改正個人情報保護法
不正アクセスで漏洩なら1件でも本人に通知、法改正で増す個人情報保護の「重し」
https://xtech.nikkei.com/atcl/nxt/column/18/00989/080500032/
2022年春以降に施行が予定されている改正個人情報保護法では、情報漏えい時における本人への通知が、努力義務から「義務」へと変更される方向で協議されています。
事前の対策に要する費用や手間は決して少なくありませんが、事象が発生してしまった場合、さらに多くの費用と手間、加えて信用の失墜は回避できないものになります。
弊社では攻撃による情報漏洩やサイト停止のリスクを抑えつつ、現実的な予算内での実施が可能な、WAF(ワフ)を利用したセキュリティ対策を支援しています。お気軽にご相談ください。