不正アクセスで顧客情報が流出
——謝罪・対応・制裁金まで含めたリアルコスト
不正アクセスによる個人情報流出のニュースは毎週のように流れている。しかしその「その後」——謝罪、対応、そして請求される費用の実態はあまり知られていない。「うちは大きな会社じゃないから狙われない」は、もはや通用しない時代です。
流出が発覚した瞬間から始まる「対応の連鎖」
不正アクセスによる情報流出が発覚した瞬間、会社は「原因究明」「法的対応」「顧客対応」の三つを同時に走らせなければなりません。しかも、これは平常業務と並行して行う必要があります。
-
Day 1〜3
原因調査・セキュリティ専門業者の緊急依頼
「どこから侵入されたか」を特定するため、フォレンジック(デジタル鑑識)専門業者を緊急手配します。休日・深夜であっても対応を止められず、費用は50〜300万円が相場。この段階ではまだ被害範囲すら把握できていないことがほとんどです。
-
Day 3〜7
個人情報保護委員会への報告義務(72時間以内)
2022年の個人情報保護法改正により、一定規模以上の漏洩は72時間以内に個人情報保護委員会への速報が義務化されました。原因が判明していなくても、「漏洩の疑いがある」だけで報告義務が生じます。遅延・虚偽報告は行政処分の対象です。
-
Day 7〜
影響を受けた顧客への個別通知(郵便・メール)
流出した可能性のある顧客全員に、個別に通知する義務があります。メールアドレスが不明な場合は郵便で対応。1万件規模の郵送費・封入作業だけでも数十〜百万円規模になります。
-
Day 14〜
プレスリリース・謝罪文の公表
規模によっては、自社サイトおよびメディアへの謝罪文公表が求められます。弁護士・広報コンサルタントの関与が必要となり、文章一つ出すにも法的リスクを精査する時間とコストがかかります。
-
その後〜
問い合わせ対応のコールセンター設置
顧客からの問い合わせが殺到するため、専用窓口の設置が必要になります。外部コールセンターへの委託費は、規模と期間によっては数百万円に達します。自社対応の場合は社員が本来業務を停止して電話番に当たることになります。
費用の内訳——1万件流出した場合の試算
顧客情報1万件が流出した場合、以下のコストが現実的な試算として想定されます。これはあくまで「対応コスト」のみであり、売上減少や信頼失墜による解約は含みません。
・顧客離脱・解約による売上減少
・取引先からの信頼失墜・商談破談
・損害賠償請求(被害顧客からの訴訟)
・社員の残業・生産性低下によるコスト
・再発防止のための中長期セキュリティ投資
500万〜1,500万円という数字は、年商1億円未満の中小企業にとって、事業継続を左右するレベルの損失です。大企業が同様の事故を起こしても「謝罪して終わり」にできるのは、体力があるからです。
個人情報保護法の「報告義務」を知っていますか?
2022年4月に施行された改正個人情報保護法により、一定規模以上の個人情報漏洩は72時間以内に個人情報保護委員会への速報が義務化されました。これは単なる努力目標ではなく、違反した場合は以下の制裁が待っています。
・個人情報保護委員会から勧告・命令を受ける可能性がある
・命令に違反した場合、1年以下の懲役または100万円以下の罰金(法人は1億円以下)
・企業名が公表される「社名公表」処分のリスク
「漏洩に気づいていなかった」「対応に追われていて報告できなかった」は免責事由になりません。「知らなかった」では済まないのが現行の法律です。顧客の個人情報を一件でも保有している会社は、報告義務の要件と手順を事前に把握しておく必要があります。
よくある「侵入経路」——防げたはずの流出
流出事故の多くは、高度なサイバー攻撃によるものではありません。「放置していた既知の脆弱性」を突かれたケースが大半を占めます。
古いCMSやプラグインの脆弱性(WordPress等)
WordPressのプラグインはバージョンアップを怠ると、公知の脆弱性が放置された状態になります。攻撃者はこれを自動スキャンで探して侵入します。
推測されやすいパスワード
管理画面のパスワードが「admin/admin」「社名+年号」のような単純なものの場合、ブルートフォース攻撃(総当たり)で数分以内に突破されることがあります。
不要なポートが外部に公開されたまま
社内サーバの管理ポートが外部からアクセスできる状態になっていないか確認が必要です。「昔つないで、そのままにしている」設定が侵入口になるケースは非常に多いです。
共通するのは、「外から見たときに何が見えているか」を誰も把握していなかったという点です。攻撃者は毎日自動的にスキャンを繰り返しています。「ウチは狙われるほど有名じゃない」ではなく、「たまたままだ見つかっていないだけ」という認識が必要です。
今すぐできること
専門知識がなくても、今日から始められる確認・対策があります。順番に取り組んでいきましょう。
-
1
自社が管理する個人情報の件数を把握する
顧客データベース、問い合わせフォームの受信履歴、名刺データ——何件の個人情報を保有しているか、すぐに答えられますか?把握できていない場合、漏洩した際に「何件流出したか」の報告すら出せません。まず棚卸しを。
-
2
外部から見えているシステムの脆弱性を確認する
自社のWebサイト・管理画面・VPNなどが、外部からどう見えているかを確認します。セキュリティ診断ツールを使えば、専門知識がなくても「どのポートが開いているか」「SSL/TLSに問題がないか」を把握できます。
-
3
インシデント対応フローを事前に決めておく
「もし流出が発覚したら、最初に誰に連絡するか」「どの弁護士に相談するか」「社内の窓口は誰か」——事前に決めておくだけで、実際に発生した際のパニックと対応遅延を大幅に減らせます。72時間ルールがある以上、「起きてから考える」では間に合いません。
まとめ——流出してからでは遅い
- 不正アクセスによる情報流出は、発覚直後から「対応の連鎖」が始まり、総コストは500万〜1,500万円規模になる
- 2022年の法改正により、一定規模の漏洩は72時間以内の報告義務がある——違反は罰則・社名公表の対象
- 侵入経路の多くは「古いCMS・単純なパスワード・放置されたポート」など、事前に防げたものだった
- 「外部から自社がどう見えているか」を把握することが、すべての対策の出発点になる
- インシデント対応フローは、事故が起きる前に準備しておく必要がある
流出してからでは遅い。
まず外部から見た自社のリスクを確認しましょう。
Leapsecの無料診断では、外部から見た自社サイトのリスクを5分・登録不要・無料で確認できます。
どのポートが開いているか、SSLに問題はないか、危険なファイルが公開されていないか——今すぐ把握しましょう。
結果はメールで届きます。営業電話は一切ありません。
出典・参考
個人情報保護委員会 公式資料(2022年改正個人情報保護法)/IPAセキュリティ情報(不正アクセス被害調査)/経済産業省 サイバーセキュリティ経営ガイドライン
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)