目次
情報漏洩はなぜ止まらないのか?「悪い人が増えた」では片付けられない、複雑な現実
「また情報漏洩か」という疲弊感
ニュースを開けば、どこかの企業が「不正アクセスにより個人情報が流出しました」という謝罪文を出している。医療機関、行政機関、有名ECサイト、テーマパーク、保険会社……。もはや業種も規模も関係なく、あらゆる組織が被害に遭っている。
「最近、悪いことをする人が増えたんじゃないか?」という感覚を持つのは自然なことだ。しかし実際には、話はそれほど単純ではない。
本記事では、情報漏洩事件がなぜこれほど増加しているのかを、データと構造的な背景から多角的に掘り下げていく。「道徳の崩壊」で片付けてしまうと、本質的な問題を見失う。
現実のデータ――想像を超えた増加ペース
まず、数字で現状を把握しておこう。
東京商工リサーチの調査によると、2024年に個人情報の漏洩・紛失事故を起こした上場企業は189社にのぼり、過去最多を更新した。漏洩した個人情報の件数は1,586万人分。2021年から4年連続で最多記録を更新し続けており、これは一時的な現象ではなく、明確なトレンドである。
さらに広く見ると、2024年度の個人情報漏洩件数は1万9,000件(過去最多)、マイナンバーの漏洩件数も上半期だけで3,718件と前年度から大幅増加。サイバー犯罪の検挙件数は1万3,164件と10年連続で増加中だ。
これほどの規模になると、「一部の悪い人間の問題」ではなく、社会システム全体の構造的な問題として捉える必要がある。
原因その1:サイバー攻撃の「産業化」と「民主化」
攻撃者が組織化・ビジネス化している
かつてのサイバー攻撃は、高度なプログラミング知識を持つ個人ハッカーが中心だった。しかし現在は様相が一変している。
**RaaS(Ransomware as a Service)**という概念が登場し、攻撃ツールをサービスとして提供するビジネスモデルが確立された。つまり、技術がなくてもお金を払えばランサムウェア攻撃が「発注」できる時代になっている。2024〜2025年は、このRaaSの成熟による多重恐喝型ランサムウェアの増加が顕著なトレンドとして確認されている。
攻撃者は組織的に動いている。開発担当、侵入担当、交渉担当、マネーロンダリング担当と、まるで会社のように役割分担されたサイバー犯罪グループが世界中に存在する。
AIが攻撃の「参入障壁」を下げた
さらに追い打ちをかけているのが生成AIの普及だ。
以前は、日本語のフィッシングメールは文章の不自然さで見破れることが多かった。しかし現在では、生成AIを使えば流暢で自然な日本語のフィッシングメールを大量生成することが可能になった。技術力のない攻撃者でも、精度の高い詐欺メールを量産できてしまう。
PwC Japanの2024年レポートでは、「生成AIを活用した偽情報の拡散や心理的影響を狙った攻撃が顕著化し、国家主体による情報操作やなりすまし、誤認誘導が戦略的に用いられる事例が複数確認された」と指摘されている。また、2024年に公表された脆弱性の件数は前年比31%増加し、実際の悪用件数も20%増加している。
原因その2:デジタル化の加速が「攻撃面」を広げた
コロナ禍が生み出したセキュリティの穴
2020年代前半、コロナ禍で急速にリモートワークが普及した。多くの企業が「とにかく業務を継続させなければ」という状況の中、VPN接続やクラウドサービスを急ぎ導入した。しかし、セキュリティ対策が追いつかないまま導入されたシステムは、攻撃者にとって格好の標的となった。
現在も、侵入経路として最も多いのは「外部に面しているVPN機器やRDP(リモートデスクトップ)」であることが、各種調査で明らかになっている。かつて多かった「メールの添付ファイルからの侵入」はむしろ減少し、より直接的なシステムへの侵入が主流になっている。
DXが「攻撃面(アタックサーフェス)」を拡大した
デジタルトランスフォーメーション(DX)の推進により、企業が管理するシステムやデータの量は爆発的に増加している。クラウドの活用、IoTデバイスの導入、APIによる外部連携……すべてが便利さをもたらすと同時に、攻撃者に狙われる「窓口」を増やすことにもなる。
トレンドマイクロのレポートは「組織のDX推進によるアタックサーフェスの拡大やAIの発展・普及により、より工数のかからない手口が見つかり次第、複数のサイバー攻撃者によって悪用される傾向に拍車がかかるだろう」と予測している。
サプライチェーン攻撃という「迂回路」
大企業は自社のセキュリティを強化できても、取引先・委託先まで完全にコントロールするのは難しい。攻撃者はこの「弱いリンク」を狙う。
大企業のセキュリティが強固でも、中小の委託先のシステムに侵入し、そこを踏み台にして大企業のデータにアクセスする「サプライチェーン攻撃」が急増している。2024年のデータでも、業務委託先が被害を受けたことによる二次被害が目立ったことが特徴として挙げられている。
原因その3:「内部の人間」による漏洩という見えにくい問題
外部からのサイバー攻撃ばかりが注目されがちだが、実は内部不正による情報漏洩も深刻な問題だ。
IPA(情報処理推進機構)が発表する「情報セキュリティ10大脅威」において、「内部不正による情報漏えい等の被害」は2016年の初選出以降、9年連続でランキング入りしている。それほど根深く、解決の難しい問題だ。
なぜ内部の人間が情報を漏洩させるのか
内部不正の動機は、大きく3つに分類される。
①金銭的動機・転職活動での有利化 退職予定者が転職先での地位や評価を高めたいという明確な目的で、顧客リストや技術情報を持ち出すケース。これは漠然とした不満による行為ではなく、計画的・意図的な行為であることが特徴だ。待遇への不満から、競合他社や海外企業に研究データを提供した事例も確認されている。
②不満・怨恨 業績不振による解雇、職場での人間関係のトラブル、評価への不満などが引き金になるケース。解雇後に元従業員が退職前のアカウント情報を使って不正アクセスし続けていた、という事例もある。退職後もアカウントが有効なまま放置されていたという組織側の管理不備が重なることで被害が拡大する。
③「これくらいいいだろう」という正当化 悪意がない場合でも、情報漏洩は発生する。「昔から取引先と情報を共有してきた」「自分が作ったデータだから持ち出してもいいはず」という思い込みがグレーゾーンの行為につながる。個人情報の厳密な取り扱いが求められる現代において、以前は問題にならなかったことが表面化するケースが増えている。
「不正のトライアングル」という犯罪心理学の知見
犯罪学には「不正のトライアングル」という概念がある。不正行為は以下の3要素が揃ったときに発生しやすいとされる。
- 動機:金銭難、不満、プレッシャー
- 機会:不正を行える環境(アクセス権限、監視の不在)
- 正当化:「仕方ない」「これくらいいい」という自己弁護
「悪い人が増えた」という見方は、動機の部分だけを見ている。しかし実際には、機会と正当化の問題が同様に重要だ。デジタル化により「機会」が増え、「自分が作ったデータ」「役に立てたい」という意識が「正当化」につながる。
原因その4:地政学的緊張とサイバー空間の戦場化
近年無視できないのが、国家が関与するサイバー攻撃の増加だ。
日本は米中両国の市場とサプライチェーンが交わる地政学的に重要な位置にあり、以前から知的財産の窃取を目的としたサイバー攻撃が繰り返し発生している。半導体、AI、自動車、防衛産業などが主な標的となっており、攻撃手口は年々高度化・巧妙化が進んでいる。
ロシア・ウクライナ紛争以降、サイバー空間での工作活動も活発化している。攻撃者の目的は金銭だけでなく、政治的・戦略的なものも含まれており、単純な「犯罪者対企業」という構図では捉えきれなくなっている。
原因その5:企業・組織側の「追いつけていない」現実
攻撃者が高度化・組織化している一方、守る側の対応が追いついていないという構造的問題もある。
- セキュリティの専門人材が圧倒的に不足している
- 中小企業はコストの問題から十分な対策を取れない
- 業界慣習に縛られた「古いやり方」から抜け出せない
- 委託先・取引先まで含めたセキュリティ管理が未整備
特に深刻なのがセキュリティ人材の不足だ。どれだけ優れたツールがあっても、それを適切に運用・監視できる人材がいなければ意味をなさない。日本全体でセキュリティ人材の育成が急務となっているが、現場の充足にはまだ時間がかかる。
「悪い人が増えた」は半分正しく、半分間違い
ここまでの議論を整理すると、問いへの答えが見えてくる。
「悪いことをする人が増えたのか?」という問いに対して、正確に答えるならこうなる。
半分正しい:攻撃者の数は確かに増えている。ただし、それは「道徳が崩壊した」からではなく、攻撃のビジネスモデルが確立され、AIや犯罪ツールの普及によって参入障壁が下がったからだ。かつては一部の天才ハッカーにしかできなかった攻撃が、技術のない人間でも「発注」できるようになった。
半分間違い:問題の本質は攻撃者の「悪さ」だけにあるのではない。デジタル化の急拡大によって攻撃面が増えたこと、組織の内部管理が追いついていないこと、地政学的緊張が新たな攻撃者を生み出していること、セキュリティ人材の不足——これらの構造的問題が絡み合っている。
個人の道徳心を嘆くだけでは、何も解決しない。
では、私たちに何ができるのか
情報漏洩という問題は、企業や政府だけが対応すべきものではなく、一人ひとりの意識と行動も影響する。
個人レベルでできること
パスワードの管理を見直す 同じパスワードの使い回しは、どこか1つで漏洩した瞬間にすべてのアカウントが危険にさらされる。パスワードマネージャーの活用と、各サービスへのユニークなパスワード設定が基本だ。
二段階認証を必ず有効にする パスワードが漏洩しても、二段階認証があれば不正ログインを防げる確率が大幅に上がる。面倒でも必ず設定しておきたい。
不審なメール・リンクに注意する 生成AIの普及でフィッシングメールの精度は上がっている。「緊急のお知らせ」「アカウントが停止されました」などの文言には特に注意し、公式サイトへは直接アドレスを入力してアクセスする習慣をつけよう。
自分の情報がどこにあるかを把握する 不要なアカウントは削除し、個人情報をむやみに入力しないことが被害を最小化する。
組織・企業レベルでできること
退職者のアクセス権限を即時無効にする 退職後も有効なままのアカウントは、内部不正・外部悪用の双方のリスクになる。退職が決まった時点でアクセス権限の見直しを行うことが基本だ。
委託先のセキュリティ水準も自社の責任として管理する 「外注先のことは関係ない」という考え方は通用しない。委託先が被害を受ければ、自社の顧客情報も流出する。契約段階からセキュリティ要件を明記し、定期的な監査を行うことが重要だ。
定期的な教育・研修を怠らない セキュリティリスクは技術的な問題だけでなく、人的な問題でもある。「自分は関係ない」という意識を変える継続的な教育が不正防止に効く。
「不正を行えない環境」を技術で作る アクセス制御、ログ管理、外部メディアの利用制限——犯罪心理学の「不正のトライアングル」において、動機や正当化を完全に排除するのは難しいが、機会を技術的に潰すことは可能だ。ここへの投資が最も効果的だ。
おわりに――「悪い世の中になった」で終わらせないために
情報漏洩のニュースを見るたびに、漠然とした不安や「社会が悪くなった」という感覚を覚える人は多いだろう。その感覚は決して的外れではないが、原因を「悪い人の増加」だけに帰結させてしまうと、本質的な対策から目が離れてしまう。
現実は複雑だ。攻撃技術の進化、デジタル化の副作用、地政学的緊張、組織の管理不足、人材不足——これらが複合的に絡み合っている。
だからこそ、問題を正確に理解することが第一歩になる。「なぜ起きているのか」を理解した上で、自分や自分の組織ができることを一つずつ実行していく。それが、情報漏洩という問題に向き合う唯一の現実的な方法だ。
情報という見えない財産を守ることは、現代における最も重要なリテラシーの一つになっている。
