2022年から2024年の国内組織における情報漏えい等にかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計しました【図1】。

（※1）本集計では、インシデントの連鎖的影響を個別に計上しています。
例えば、業務委託先企業がランサムウェア被害を受け、情報漏えい報告があった場合、それを1件として計上します。さらに、その被害により影響を受けた委託元企業からの情報漏えい報告も、それぞれ独立したインシデントとして計上しています。
具体例：業務委託先A社のランサムウェア被害（1件）により、委託元のB社、C社、D社から情報漏えいの報告があった場合、合計4件の「マルウェア感染」インシデントとして集計しています。

（※2）2023年に発生した社会保険や人事労務業務支援システムを提供する企業のランサムウェア被害が起因となった情報漏えいインシデントに関しては、個人情報保護委員会への漏えい等報告が3000件を超えていますが、本集計では対象組織による公開報告書およびマスメディアによる報道資料が確認できたもののみ「マルウェア感染」インシデントとして集計しています。

※公開済みの記事（※3、※4）と比較すると分類項目によっては数値の増減があります。
これは記事作成にあたって、新たに見つかったインシデントの追加や既存インシデントの更新情報の反映/分類の見直し等を行ったことによります。あらかじめご承知おきくださいますようよろしくお願いいたします。
（※3）[2024年4月公開]過去3年分の国内セキュリティインシデント集計
（※4）2024年上半期国内セキュリティインシデント集計

紛失・盗難	パソコンやUSBメモリといった記録媒体や紙文書の紛失や盗難など
不正アクセス	脆弱性を突かれるなどして侵入され、情報窃取やWebサイトの改ざん、スパムメールの踏み台にされてしまったなど
誤操作、設定不備	FAXや書類の誤送付、システムの不具合や人為的な設定不備により意図せず公開されてしまったなど（電子メールでの誤送信は含まない）
業務外利用・不正持出	機密情報の無断閲覧や、不正に持ち出した情報を外部の者に譲渡など
メール誤送信	電子メールで宛先を誤って送信してしまったなど
マルウェア感染	Emotetのようなマルウェア感染やその他ランサムウェアへの感染など

2024年はインシデント総数は1319件で、前年同様「紛失・盗難」「不正アクセス」「誤操作、設定不備」「メール誤送信」「マルウェア感染」の割合が多く、「業務外利用・不正持出」「誤操作、設定不備」は件数減少、特に「業務外利用・不正持出」は半数以上減少していました。
2024年の「マルウェア感染」インシデントの中でもランサムウェアが9割以上を占めており、特に下半期に多く見られました。また、サプライチェーンに起因するインシデントが半数以上を占めていました。



次に、国内セキュリティインシデントの中でも、特徴的な変化のあった「不正アクセス」「誤操作、設定不備」「メール誤送信」「業務外利用・不正持出」の4つの項目別に集計しました【図2～5】。
「マルウェア感染」に関しては、「サプライチェーンに起因するインシデント」に別途フォーカスして集計しています【図11】。

不正アクセス

「不正アクセス」の総数は前年より増加していました。依然としてWebサイトへの不正アクセスの割合が多く、サーバー、メール、サポート詐欺による遠隔操作、SNSアカウント乗っ取りも増加していました。SNSアカウント乗っ取りは2倍以上に増加しており、企業やファッションブランド、WebメディアやイベントのX（旧Twitter）やInstagramの公式アカウントなどを乗っ取り、外部サイトに誘導するURLが付いた不審なダイレクトメッセージ（DM）の送信やアカウント運営者の意図しない投稿をするといった事象が確認されています。
また、サーバーへの不正アクセスは特に増加しており、52件は首都圏のエネルギー大手企業の関連会社への不正アクセス（VPN経由で社内サーバに侵入）によるインシデントで、影響範囲の広いものとなっていました。

誤操作、設定不備

「誤操作、設定不備」の総数は前年より減少したものの、前年同様、設定不備と人為ミスによるインシデントが多くを占めていました。また、設定不備が年々増加しており、依然としてGoogleフォームを利用したものが多く、設定不備の約3割を占めていました。

メール誤送信

スペルミス	メールアドレスの手入力ミスなどにより、異なる宛先やドッペルゲンガードメインに誤送信してしまったなど
送信内容ミス	件名や本文内にメールアドレスやその他の個人情報を記載して送信してしまったなど
添付ファイルミス	個人情報を含むファイルを誤って添付し送信してしまったなど
送信先設定ミス	誤った送信先を宛先や「CC」に設定し送信したことで、受信者間でアドレスが表示されていたなど

2024年も例年と同じく送信先設定ミスが多くを占める結果となりました。「送信先設定ミス」は誤った送信先を宛先や「CC」に設定し送信したことで、受信者間でアドレスが表示されていたものとなります。増加幅で見ると、「添付ファイルミス」が前年に比べて増加していました。

業務外利用・不正持出

「業務外利用・不正持出」の総数も前年より減少していました。
2023年の「業務外利用・不正持出」の増加は、大手通信系関連企業の元派遣社員による顧客情報の不正持ち出し関連のインシデントによるものとなります。

学校・教育機関に起因するインシデント

2022年から2024年の学校・教育機関・関連組織で発生したインシデントにフォーカスして集計しました【図6】。
その中でも割合の多かった「紛失・盗難」「不正アクセス」「誤操作、設定不備」「メール誤送信」の4つに別途フォーカスして集計しました【図7～10】。

学校・教育機関に起因するインシデントの総数も年々増加しており、2024年も「紛失・盗難」「不正アクセス」「誤操作、設定不備」「メール誤送信」の割合が多く、いずれの年も最も多いのは、「紛失・盗難」でした。また、「メール誤送信」のみ減少しており、他の項目はいずれも増加していました。

学校・教育機関インシデント 不正アクセス

「不正アクセス」の総数は前年より増加しており、メールが最多で、その中でもスパムメールの踏み台となったものが多くを占めていました。また、Webサイトへの不正アクセスが減少し、サポート詐欺によるPC遠隔操作が増加していました。

サポート詐欺については、下記レポートでも取り上げていますので、ご参照ください。
広告からサポート詐欺サイトが表示、その手口を分析

学校・教育機関インシデント 誤操作、設定不備

「誤操作、設定不備」の総数は前年より増加しており、設定不備によるインシデントが最多でした。人為ミスは黒塗り（マスキング）の不備により個人情報が閲覧可能となっていた事例は少なく、個人情報の誤掲載、個人情報を含む書類の誤送付によるものが多くを占めていました。設定不備はGoogleフォーム以外のフォーム上での公開設定の不備によるものや、ファイルの閲覧権限不備によるものが多くを占めていました。

学校・教育機関インシデント メール誤送信

※各項目の詳細は「国内セキュリティインシデント メール誤送信」に記載の内容と同様となります。

「メール誤送信」の総数は前年より減少しましたが、依然として送信先設定ミスによるインシデントの割合が多く、送信先設定ミスは送信先を誤って宛先に設定して送信したことで、受信者間でメールアドレスが閲覧できる状態となっていた事例が多くを占めていました。

学校・教育機関インシデント 紛失・盗難

「紛失・盗難」の総数は年々増加していました。前年同様、書類紛失が最も多く、こちらも年々増加していました。書類紛失は、生徒の個人情報を含む資料、指導要録、卒業証書授与台帳、修学旅行関連資料などになります。東京都が発表した57年分（936人分）の卒業証書授与台帳紛失といった事案もあり、こうした書類紛失は記録されている人数および個人情報が多く、影響が大きい事案と言えるでしょう。

学校・教育機関における書類紛失によるインシデントは年々増加傾向にあり、こうした事案は生徒や保護者の個人情報保護に関する重大な懸念を引き起こすだけでなく、学校・教育機関への信頼を損なう結果となっています。従来の紙ベースの書類管理には、物理的な紛失や盗難のリスク、不適切な廃棄による情報流出、災害時のデータ喪失、アクセス管理の困難さなど、多くの課題が存在します。これらの問題に対する効果的な解決策として、校務のデジタル化（校務DX）が注目されています。

サプライチェーンに起因するインシデント

昨年の過去3年分の国内セキュリティインシデント集計でも取り上げた、サプライチェーンに起因するインシデントを集計しました。
[2024年4月公開]過去3年分の国内セキュリティインシデント集計

IPAが選出する情報セキュリティ10大脅威 2025（IPA）組織編に「サプライチェーンや委託先を狙った攻撃」が2位にあり、脅威となっていることがうかがえます。
また、攻撃を受けて発生するインシデント以外にも、サプライチェーンでの「業務外利用・不正持出」などによって発生するインシデントも見逃せません。

下図は、自組織が直接的な要因ではなく、委託先や子会社や利用サービス事業者側が起因となった「サプライチェーンに起因するインシデント」を集計したものです。

（※5）本集計においても、2023年に発生した社会保険や人事労務業務支援システムを提供する企業のランサムウェア被害が起因となった情報漏えいインシデントに関しては、個人情報保護委員会への漏えい等報告が3000件を超えていますが、対象組織による公開報告書およびマスメディアによる報道資料が確認できたもののみ「サプライチェーンに起因するインシデント」として集計しています。


2024年の「サプライチェーンに起因するインシデント」の総数は500件を超えており、業務委託先が起因となったインシデントが9割以上を占めていました。
こちらは先述の首都圏のエネルギー大手企業の関連会社への不正アクセスや、物流業務を請け負う委託先企業のランサムウェア被害、2024年上半期国内セキュリティインシデント集計でも取り上げた印刷業務を請け負う委託先企業のランサムウェア被害が起因となった情報漏えいインシデントの様に、1件の業務委託先の被害から多数の委託元企業の情報漏えいに繋がるインシデントが複数確認されていました。
こうした業務委託先が起因となったインシデントは、企業のセキュリティ対策において新たな課題となっています。業務委託先の企業においても、委託元の組織が策定した情報セキュリティポリシーに基づいた対策を実行することが望ましいですが、現実には各組織によってセキュリティポリシーが異なるため、業務委託先企業間でセキュリティ対策にばらつきが生じているのが実情です。このような状況下で、委託元の組織が自社の情報を確実に保護するためにファイル暗号化や利用権限、操作権限の管理ができるIRM製品の導入といった対策が効果的と考えられます。特に、ファイルの暗号化を実施することで、たとえランサムウェア攻撃を受けて情報が流出したとしても、第三者による情報の不正利用や漏えいのリスクを軽減することができます。このような対策を通じて、業務委託における情報セキュリティリスクを最小限に抑え、安全な業務遂行を実現することが可能となります。

まとめ

2024年のセキュリティインシデントは、サプライチェーンに起因するインシデントが500件を超えており、中でも業務委託先が起因となったインシデントが9割以上を占めていました。

学校・教育機関におけるインシデントも増加しており、「紛失・盗難」、特に書類紛失が最も多く、こちらも年々増加しています。これらの事案は、前述のように生徒や保護者の個人情報保護に関する重大な懸念を引き起こし、教育機関への信頼を損なう結果となっており、これらの課題に対する効果的な解決策として、校務のデジタル化（校務DX）が注目されています。校務DXは、単なるデジタル化にとどまらず、教育現場の業務プロセス全体を見直し、効率化と安全性の向上を同時に実現する取り組みです。具体的には、データの暗号化やアクセス権限の厳密な管理、操作ログの記録と監査などによりセキュリティを大幅に向上させます。

2025年もセキュリティインシデントの増加が予想される中、学校・教育機関と業務委託先を含めた企業の双方に共通するセキュリティ対策として、包括的なアプローチが不可欠です。まず、重要な個人情報や機密データといった情報資産の適切な管理と保護が基本となります。これには、紙媒体の文書管理からデジタル化への移行（DX）を進め、物理的な紛失リスクを低減しつつ、アクセス制御やログ管理を強化することが含まれます。特に効果的な対策として、利用状況の追跡や遠隔での削除機能を伴うファイルの暗号化が有効な対策になります。