2024年、上場企業とその子会社が公表した個人情報の漏洩・紛失事故は189件（前年比8.0%増）、4年連続で過去最多を更新しました（東京商工リサーチ調査）。漏洩した個人情報は1,586万人分超に達しており、業種・規模を問わず対策が求められています。この記事では、情報漏洩の主な原因を整理したうえで、情シス担当者が優先すべき対策をステップ形式で解説します。

企業の情報漏洩の実態——被害規模と最新統計

情報漏洩は突発的な事故として認識されがちですが、件数・規模ともに増加が続く構造的な問題です。被害の実態を数値で把握することが、社内での対策優先度づけの第一歩になります。

2024年の漏洩件数と漏洩人数

東京商工リサーチの調査によると、2024年の上場企業の個人情報漏洩・紛失事故は189件、漏洩人数は1,586万5,611人分でした。サイバーセキュリティクラウドの調査では、国内企業・自治体でのセキュリティインシデントは年間約2,164万件、約3日に1回の割合で発生していた計算です。件数・人数ともに増加が続いており、「いつか自社でも起きる」という前提で対策を講じることが現実的です。

2025年に入るとさらに状況は深刻化し、サイバーセキュリティクラウドの調査では2025年に公表されたセキュリティインシデントは前年比約1.4倍に増加、年間インシデント件数は約2日に1回のペースで発生しているとされています。インシデントの発生頻度が「3日に1回」から「2日に1回」に加速しているという事実は、企業のセキュリティ対策が攻撃者の活動に追いついていない現状を示しています。

インシデントが増加している背景として、攻撃者の組織化・プロ化が挙げられます。ランサムウェアをサービスとして提供する「RaaS（Ransomware as a Service）」が普及し、技術力の低い攻撃者でも高度な攻撃を実行できる環境が整っています。攻撃のコストが下がり、標的の範囲が中小企業まで広がったことが、件数増加の一因となっています。

漏洩が経営に与えるダメージの全体像

情報漏洩が発生すると、調査費用・システム復旧費用・被害者への賠償といった直接コストに加え、ブランド毀損・顧客離れ・株価下落という間接コストが同時に発生します。個人情報保護法では、漏洩発覚から72時間以内に個人情報保護委員会への速報が義務づけられており、対応を誤ると行政処分の対象になります。セキュリティ投資の承認を経営層から得るためにも、事業継続リスクとして位置づけることが重要です。

情報漏洩後の企業への影響は長期にわたることが多く、インシデント発生から2〜3年後も顧客離れや新規顧客獲得コストの増加として影響が続くケースが報告されています。大規模な個人情報漏洩では、クラスアクション訴訟（集団訴訟）のリスクも存在します。情報漏洩は「その時だけの問題」ではなく、企業の持続的な競争力に影響する経営課題として捉える必要があります。

法的観点では、個人情報保護法に基づく行政指導・勧告・命令に加え、特定の条件下では罰則規定（最高1億円の罰金）も適用されます。情報漏洩対応において法的義務を適切に履行するためには、法務部門と連携した対応体制を事前に整えておくことが重要です。

業種別・企業規模別のリスク傾向

サイバーセキュリティクラウドの調査では、2024年にセキュリティインシデントが最も多かった業種は製造業で、次いでサービス業・情報通信業が続いています。ただし、サイバー攻撃による漏洩は業種横断的に発生しており、特定の業種だけの問題ではありません。中堅・中小企業はセキュリティ投資が少ないため攻撃が成功しやすく、標的になりやすい傾向があります。

サプライチェーン攻撃と呼ばれる、取引先経由での侵入も増加しています。大企業のセキュリティが強化されると、攻撃者はより防御の薄いサプライヤー・委託先を狙って侵入し、そこから大企業に侵入する手口を使います。規模の小さい組織がセキュリティを整備することは、自社を守るだけでなく、取引先を守ることにもつながります。

参考: 2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件

参考: 2024年は約3日に1回、企業や自治体でセキュリティインシデントが発生

企業の情報漏洩の原因TOP3

対策を効果的に進めるには、何が原因で漏洩が起きているかを正確に把握することが必要です。2024年のデータをもとに原因の上位3つを詳しく解説します。

原因1位：不正アクセス・ランサムウェア（全体の約60%）

東京商工リサーチの調査では、2024年の漏洩事故の約60%が「ウイルス感染・不正アクセス」を原因としています。IPAの「情報セキュリティ10大脅威2025」でもランサムウェアが4年連続1位で、VPN機器の脆弱性やフィッシングで認証情報を窃取する手口が主流です。不正アクセス対策がセキュリティ施策の中核をなすのはこのためです。

不正アクセスの手口の多様化も進んでいます。従来のパスワードリスト攻撃に加え、フィッシング（特に生成AIを使った精巧な日本語フィッシング）、VPN機器の脆弱性悪用、ビジネスメール詐欺（BEC）など、攻撃ベクターが広がっています。また、正規の認証情報を使って侵入するLOTL（Living Off The Land）攻撃は、セキュリティ製品による検知が困難なため、対処が難しい手口として増加しています。

ランサムウェアは企業に二重の被害をもたらします。まずシステムの暗号化による業務停止、次に「身代金を支払わなければデータを公開する」という二重恐喝（ダブルエクストーション）です。身代金を支払っても100%データが復元される保証はなく、支払い自体が攻撃者の資金源になることから、NISTや警察庁は身代金の支払いを推奨していません。

原因2位：誤表示・誤送信などのヒューマンエラー

不正アクセスに次いで多いのがヒューマンエラーです。メール送信先やCCの設定ミス、Webシステムの公開設定の誤り、ファイル共有設定のミスが主な原因で、2024年は41件がこのカテゴリに該当します。技術的対策と並行して、業務プロセスの見直しと従業員教育が必要です。

ヒューマンエラーによる漏洩が多い場面の一つが、メールの誤送信です。特定の顧客向けの添付ファイルを誤って別の顧客に送信する、CCに社外の人物が含まれていたまま返信するといったミスは、メールのトラフィックが多い組織ほど発生確率が高くなります。メール送信前の確認ダイアログ・送信保留機能・宛先の自動警告機能を備えたメールセキュリティ製品の導入が有効な対策です。

ファイル共有設定のミスも頻発しています。Google DriveやSharePointで「リンクを知っている全員がアクセス可能」に設定したファイルのURLが外部に漏れた場合、誰でも閲覧できる状態になります。定期的なファイル共有設定の監査と、デフォルトの共有設定を社内限定にする設定変更が対策として有効です。

原因3位：内部不正による持ち出し

内部不正による情報漏洩は増加傾向にあり、IPA「情報セキュリティ10大脅威2025」で前年から1位上昇して3位にランクインしました。退職者が転職先に情報を持ち出す、金銭目的で外部に売却するといったケースが代表的です。内部不正は発覚しにくく被害が深刻化しやすいため、アクセスログの監視と権限の最小化が抑止力として機能します。

内部不正が起きやすい状況として、退職前後の時期が挙げられます。転職先への「手土産」として顧客データや営業情報を持ち出すケースは、特に退職の意思決定から実際の退職日までの間に発生することが多いです。退職を申し出た社員のアクセス権限を速やかに見直し、業務上不要なデータへのアクセスを制限することが予防策として有効です。

内部不正の検知には、アクセスログの定期的な分析と、異常なアクセスパターン（業務時間外の大量ダウンロード・普段アクセスしないシステムへのアクセス等）への自動アラートが有効です。「ログが監視されている」という意識が従業員にあるだけで、内部不正の抑止力として機能します。

参考: 情報漏洩の原因と対策とは？2024年の調査結果をもとに解説

参考: 【2025年最新】情報漏洩の主要な事例を主な原因と対策まで徹底解説

SaaS利用拡大が生む新たな漏洩リスク

SaaS利用の拡大にともない、従来の対策では把握しきれない情報漏洩リスクが増加しています。SaaS特有のリスクを理解し、追加的な対策を講じることが必要です。

シャドーITが作る管理外のデータ流出経路

情シスが把握していないSaaSに業務データが保存されていると、そのサービスが情報漏洩した際に企業データも流出します。シャドーITは管理対象外であるため、セキュリティ設定の確認もアクセスログの取得もできません。社内でどのSaaSが使われているかを可視化することが、リスク管理の出発点です。

Assuredの2024年調査によると、65.6%の企業でシャドーIT対策が実施されていないとされており、多くの組織で管理外のSaaSが業務に使われている実態があります。また、セキュリティスコア70点未満の低品質なSaaSが全体の約27.4%存在するという調査結果もあり、シャドーITとして利用されるSaaSの中に、適切なセキュリティ対策がなされていないものが含まれている可能性は否定できません。

生成AIサービスへの業務データ入力も、シャドーITによる情報漏洩リスクの新しい形態として注目されています。個人の無料アカウントで生成AIを業務利用し、顧客情報や社内の機密情報を入力するケースは、入力データの学習利用・外部流出という経路で情報漏洩につながるリスクがあります。

退職者アカウントの残存と不正アクセス

退職者のSaaSアカウントを削除しないまま放置すると、そのアカウントが不正アクセスの起点になります。元従業員が意図的にアクセスして情報を持ち出すケースも、外部攻撃者がアカウントを乗っ取るケースも想定されます。利用SaaSの種類が増えるほど、手動の退職処理では抜け漏れが発生しやすくなります。

退職者アカウントが放置されやすい状況として、担当情シスが多忙な時期に退職が重なる場合、引き継ぎが不十分な状態で担当者が変わった場合、シャドーITとして契約されていたSaaSで退職者のアカウントが存在する場合などが挙げられます。特に最後のケースは、情シスが把握していないSaaSへのアクセス権が退職者に残り続けるという深刻なリスクを生みます。

SaaS管理ツールを活用して人事システムと連携させることで、退職者情報が登録された時点で自動的にSaaSアカウントを無効化する仕組みを構築できます。手動対応に依存しない自動化が、このリスクへの最も確実な対策です。

SaaSの設定不備（権限過多・公開設定ミス）

Google DriveやSharePointなどのファイル共有サービスで社外共有の設定を誤ると、意図せず情報が公開されます。また、最小権限の原則に従わず過剰なアクセス権が付与されていると、内部不正のリスクを高めます。SaaSの設定は担当者が変わるたびに引き継がれずに放置されることが多く、定期的な設定監査が必要です。

SaaSの設定不備を組織的に管理するためには、SSPM（SaaS Security Posture Management）ツールの活用が有効です。SSPMはSaaSのセキュリティ設定を継続的に診断し、MFA未設定・過剰な権限付与・不審な共有設定などを自動検知して通知します。人手による定期確認では見落としやすいリスクを、自動化された監視で継続的にカバーできます。

参考: SaaSのインシデントは設定不備が原因？最新事例でわかる身近なリスク

情報漏洩対策の7つの柱

原因の把握をふまえ、情シス担当者が実施すべき対策を7つの柱として整理します。優先順位順位をつけながら着実に実施することで、限られたリソースで最大の効果を引き出せます。

① アクセス管理・認証強化（MFA・最小権限）

不正アクセスによる漏洩を防ぐために、多要素認証（MFA）の全サービス導入が最優先です。加えて、最小権限の原則にもとづき業務上必要なデータにのみアクセスできる権限設計を行い、定期的に棚卸しします。

MFAの導入だけで、パスワードリスト攻撃・フィッシング・ブルートフォース攻撃による不正ログインの大半を防ぐことができます。費用対効果が最も高い施策であり、まだ全サービスに展開できていない組織では最優先で取り組む必要があります。MFAの形式はTOTP（Authenticatorアプリ）が多くの場面で適しており、SMS認証よりも耐フィッシング性が高いです。

権限の最小化は定期的な棚卸しが鍵です。付与されている権限は時間が経つにつれて実態と乖離するため、半年に一度は権限設定を棚卸しし、不要な権限を削除します。特に管理者権限の付与は、業務上真に必要なユーザーのみに限定します。

② エンドポイント保護とDLP

端末からの情報持ち出しを防ぐために、EDRに加えてDLP（データ損失防止）ツールを活用します。機密情報を含むファイルの社外送信を自動ブロックし、USBへの書き出し制限も実装します。

DLPは「ルールを決めれば自動で実施される」という特性から、人的なミスによる漏洩を技術的に防止できます。特に内部不正のリスクが高い環境では、DLPの導入が重要な抑止力・検知手段になります。EDRはマルウェア感染を早期検知・遮断するためのエンドポイントセキュリティ製品で、ランサムウェア対策として必須の投資です。

③ メール誤送信対策

送信前の確認ダイアログ、送信保留機能、添付ファイルの自動暗号化などを備えたメールセキュリティ製品を導入します。社外ドメイン宛の送信時に警告を表示する設定も有効です。

メール誤送信対策の重要なポイントは「送信前に止める」仕組みを作ることです。送信後に誤りに気づいても、すでに情報は送信済みになってしまいます。送信保留機能（一定時間内であればキャンセル可能）や、社外宛の添付ファイルには自動でパスワード保護を施す機能が、実用的な対策として効果的です。

④ 内部不正の抑止と検知（ログ監視・UEBA）

アクセスログの取得と定期的な監視が内部不正抑止の基本です。UEBAツールを活用することで、通常とは異なるアクセスパターンを自動検知できます。「ログが監視されている」という意識が従業員にあるだけで、内部不正の抑止力として機能します。

UEBAはUser and Entity Behavior Analyticsの略で、ユーザーの通常行動パターンをAIで学習し、通常とは異なる行動を自動検知します。大量のアクセスログを人手で確認することは現実的ではないため、UEBAによる自動分析が内部不正検知の実用的な手段として普及しています。退職前の社員の行動変化（急激なダウンロード増加・普段アクセスしないシステムへのアクセス等）を検知する用途でも活用できます。

⑤ SaaSの棚卸しとアカウント管理

利用中のSaaSを全量把握し、退職者・異動者のアカウントを即時削除するプロセスを確立します。SaaSの種類が多いほど手動管理は困難になるため、SaaS管理ツールによる自動化が有効です。

SaaS棚卸しの実施方法として、プロキシログからのアクセス先確認・経費精算からのSaaS契約洗い出し・部門ヒアリングの3つを組み合わせることで、シャドーITを含めた全量把握が可能です。棚卸し後は、各SaaSのセキュリティ設定（MFA・権限・共有設定等）を確認し、不備を修正します。この一連のプロセスを半年に1回程度の頻度で繰り返します。

⑥ 従業員教育とセキュリティポリシー整備

年1〜2回の全社セキュリティ教育とフィッシング訓練を実施します。情報の取り扱いに関するポリシー（機密情報の定義・持ち出しルール・クラウドサービス利用ルール）を文書化し、全社周知します。

フィッシング訓練は、実際に疑似フィッシングメールを従業員に送付し、クリックした従業員に即座にセキュリティ教育コンテンツを提供する形式が効果的です。訓練を繰り返すことで、フィッシングメールを見分ける能力が向上します。訓練の結果（クリック率の変化）を継続的に追跡することで、教育の効果を測定できます。

⑦ インシデント対応計画と情報漏洩時の通報フロー

漏洩発覚時の対応フローをあらかじめ文書化します。個人情報保護法では漏洩等が発覚してから72時間以内の個人情報保護委員会への速報が義務であり、対応手順の事前整備は必須です。

インシデント対応計画（IRP）には、発覚から初動対応・被害範囲特定・関係者報告・公表判断・復旧までの一連の手順と、各段階の担当者・連絡先を明記します。年1回程度、テーブルトップ演習（机上演習）を実施して対応手順を関係者全員で確認することで、実際のインシデント発生時に迅速な対応が可能になります。

参考: 【2025年更新】情報漏洩の事例紹介！組織が実施すべき具体的な対策方法とは

情シス2〜3名でも実装できる漏洩対策の進め方

限られたリソースで情報漏洩対策を進めるには、守るべき情報の特定と優先順位づけが鍵です。すべてを一度に整備するのではなく、リスクの高い領域から順番に対処することで、効率よくセキュリティ水準を高められます。

リスクアセスメントで守るべき情報資産を特定する

「何を守るか」を明確にしないまま対策を進めるると、リソースが分散して効果が薄れます。まず社内の情報資産を棚卸しし（顧客情報・財務情報・技術情報・個人情報など）、重要度と漏洩インパクトを評価します。インパクトの大きい情報から優先的に対策を講じます。

情報資産の棚卸しは、業務フローを確認しながら「この業務でどんな情報を扱っているか」を部門ごとに洗い出す方法が効率的です。洗い出した情報資産を「極秘・社外秘・社内限定・公開」などの分類でラベリングし、分類ごとに取り扱いルールを定めます。このルールが情報漏洩対策の基本方針となり、アクセス権限設計や持ち出しルールの根拠になります。

インシデントシミュレーション（「もし顧客データが漏洩したら？」）を実施することで、対策の優先順位が具体化します。顧客情報が漏洩した場合の影響（賠償リスク・顧客への通知・個人情報保護委員会への報告等）を経営層と共有することで、セキュリティ予算の確保につなげやすくなります。

ゼロから始めるアクセス権限の棚卸し手順

①システム・SaaSごとに現在の権限設定を書き出す、②業務上必要な権限と照らし合わせて過剰な権限を特定する、③部門責任者と確認のうえ不要な権限を削除する、④半年に1回の定期棚卸しプロセスを確立する——この4ステップが現実的な進め方です。

棚卸しの範囲を最初から全社にすると作業量が膨大になるため、まず重要なシステム（基幹システム・CRM・HRシステム等）から着手することを推奨します。重要なシステムの権限整理が完了したら、順次対象を広げていきます。スプレッドシートで管理する場合は、「システム名・ユーザー名・権限レベル・最終ログイン日・確認日」の列を設けることで、定期棚卸しの際に状況を把握しやすくなります。

外部ベンダー・委託先への統制強化

業務委託先からの情報漏洩も増加しています。委託先との契約に情報管理条項を明示し、定期的にセキュリティ対策の実施状況を確認します。委託先に提供するデータは必要最小限とし、アクセスログの提供を契約条件に含めることも有効です。

委託先管理の具体的な方法として、契約時のセキュリティ評価（情報セキュリティチェックシートの提出要求）、年1回の確認、インシデント発生時の報告義務の明記が挙げられます。特に個人情報を委託する場合は、個人情報保護法上の委託先監督義務が発生するため、書類上の整備だけでなく実際の対策実施状況を確認することが必要です。

参考: 2025年上半期国内セキュリティインシデント集計

情報漏洩が発覚したときの対応フロー

発覚時の初動対応が被害の拡大を防ぐ鍵です。事前に手順を把握しておくことが重要です。インシデント発生時は混乱・焦りが生じやすく、事前に手順を文書化・演習しておくことで冷静な対処が可能になります。

初動対応——被害範囲の特定と拡大防止

漏洩を発見したら、まず被害範囲を特定します。どのシステムの、どのデータが、どの範囲で漏洩したかを把握し、漏洩が継続している場合は該当システムをネットワークから切り離します。この段階でのログ保全も重要で、証拠となるアクセスログを削除・上書きしないよう注意します。

初動で特に重要なのは「被害の停止」と「証拠の保全」の2点です。被害が継続している場合（不正アクセスが進行中・マルウェアが活動中）は、まず被害を止めるために当該システムの隔離・アカウントの無効化を優先します。一方で、証拠となるログを失うと後の原因究明が困難になるため、ログのバックアップを最初のステップに含めます。

関係者への通報・公表の判断基準

被害の把握後、経営層への報告と、影響を受けた顧客・取引先への通知を行います。公表のタイミングと内容は、法的義務と事実確認のバランスを考慮して判断します。不確かな情報を先に公表すると後から訂正が必要になり、信頼を損ないます。

通報の範囲と内容は、漏洩した情報の種類・件数・原因によって異なります。顧客の個人情報が含まれる場合は、影響を受ける本人への通知も義務となるケースがあります。通知の方法（メール・ウェブサイト上の告知・書面等）と内容（漏洩した情報の種類・被害防止のための行動指示）を検討します。

個人情報保護委員会への届け出義務

個人情報保護法では、一定規模以上の個人情報漏洩が発生した場合、72時間以内の速報と30日以内の確報が義務です。漏洩した個人情報の数、原因、再発防止策を報告書に記載します。義務を履行しない場合は行政指導・勧告・命令の対象になります。

速報（72時間以内）は事実確認が完全に終わっていない段階での提出も認められており、判明している事実と調査中の事項を分けて記載する形式が一般的です。確報（30日以内）では、詳細な原因分析と再発防止策を含む報告書を提出します。報告義務の対象となる漏洩の定義は個人情報保護法に明記されているため、法務部門と連携して判断します。

参考: 【2026年最新】個人情報漏洩事件・被害事例ニュースまとめ

SaaS管理で情報漏洩リスクを根本から下げる

情報漏洩の主要因である不正アクセスと内部不正の両方を抑制するために、SaaS管理の自動化が有効な手段です。SaaSが業務の中心になった現在、SaaS管理は情報漏洩対策の不可欠な要素となっています。

利用SaaSの可視化が漏洩防止の出発点

社内でどのSaaSが使われているかを把握できなければ対策を講じられません。シャドーITを含めたSaaSの全量可視化が、情報漏洩対策の出発点です。可視化することで、セキュリティ設定の確認対象が明確になります。

SaaS可視化の手順として、プロキシログ分析・クレジットカード明細確認・部門ヒアリングの3つのアプローチを組み合わせることが効果的です。特にプロキシログ分析は、従業員が実際にアクセスしているサービスを網羅的に把握できるため、シャドーIT発見の最も信頼性の高い手段です。SaaS管理ツールを活用することで、この可視化プロセスを継続的に自動化できます。

退職者アカウント自動削除で内部不正リスクを低減

退職者のSaaSアカウントが残存していると、内部不正と不正アクセスの両方のリスクを生みます。退職日に合わせたアカウント自動削除の仕組みを構築することで、手動削除の漏れをなくし、退職後のアクセスを確実に遮断できます。

人事システムとSaaS管理ツールを連携させることで、退職情報が登録されると自動的にすべての承認済みSaaSアカウントが無効化されるプロセスを実現できます。SaaSが30〜50種類に上る環境では、この自動化なしに退職処理の漏れをゼロにすることは現実的ではありません。

JosysによるSaaSセキュリティ管理の自動化

Josysは、社内のSaaSを一元的に可視化し、アカウント棚卸しから退職者の自動無効化、アクセス権限レポートの定期出力までを自動化するSaaS管理プラットフォームです。情シスの手動作業を大幅に削減しながら、情報漏洩リスクを構造的に低減します。350種類以上のSaaSとのインテグレーションに対応しており、主要なビジネスツールを網羅した管理が可能です。

Josysの資料をダウンロードして、SaaS管理による情報漏洩対策の詳細を確認する資料ダウンロードはこちら

参考: SaaS利用時のセキュリティ強化で再点検すべきポイント

参考: 増え続けるSaaSアカウント。効率よく管理する方法は？

まとめ

2024年の国内企業の情報漏洩の約60%は不正アクセス・ランサムウェアを原因としており、次いでヒューマンエラー、内部不正が続きます。2025年以降もインシデント件数の増加が続いており、「うちは大丈夫」という判断が通用しない状況が続いています。MFAの導入とアクセス権限の最小化が最優先施策であり、SaaS利用の拡大にともないSaaS管理の徹底が新たな必須対策となっています。すべてを一度に整備する必要はなく、リスクの高い領域から段階的に進めることが現実的な進め方です。情シスの人員が限られている場合でも、自動化ツールを活用することで対応範囲を広げ、セキュリティ水準を維持することが可能です。

Josysで情報漏洩リスクを構造的に低減する

Josysは、社内SaaSの可視化・アカウント管理・アクセス権限の自動制御を通じて、情報漏洩リスクを根本から下げるSaaS管理プラットフォームです。シャドーITの発見から退職者アカウントの自動削除まで、情シスの手動作業を大幅に削減できます。

Josys資料ダウンロード（無料） | 無料トライアルを申し込む