藤田智也【2026年版】情報漏洩の原因ランキング|IPA10大脅威・1.9万件報告・損保ジャパン1,748万件から学ぶ7対策
情報漏洩の原因ランキングを、IPA「情報セキュリティ10大脅威2026」(2026年1月発表)、過去最多1万9,056件となった個人情報保護委員会2024年度年次報告(委託先からの漏えい原因は不正アクセスが62.8%)、上場企業189件のうち60.3%がウイルス感染・不正アクセスとした東京商工リサーチ調査の3つの一次データに、損保ジャパン1,748万件・ソフトバンク委託先13.7万件など2025年の最新事例を加えて徹底解説。企業が今すぐ取り組むべき7つの対策を網羅します。
企業の情報漏洩は、IPA「情報セキュリティ10大脅威 2026」で1位がランサム攻撃(11年連続)、2位がサプライチェーンや委託先を狙った攻撃(8年連続)、3位がAIの利用をめぐるサイバーリスク(初選出)となりました(IPA、2026年1月29日発表)。一方で、個人情報保護委員会の2024年度年次報告では漏えい等報告の処理件数が過去最多の1万9,056件(前年度比57%増)に達し、東京商工リサーチの上場企業調査では**189件中60.3%が「ウイルス感染・不正アクセス」**でした。さらに2025年は損保ジャパン約1,748万件、ソフトバンク委託先約13.7万件など、サプライチェーン経由の大規模漏洩が相次いでいます。本記事では、これら3つの一次データと2025年最新事例から情報漏洩の原因ランキングと割合を整理し、企業が今すぐ講じるべき7つの対策を具体的に解説します。
この記事の要点(直接回答)
- 脅威ランキング1〜3位(IPA 2026・組織編):①ランサム攻撃(11年連続)②サプライチェーン・委託先攻撃(8年連続)③AIの利用をめぐるサイバーリスク(初選出)
- 発生件数:個人情報保護委員会への漏えい等報告は2024年度に1万9,056件(委員会への直接報告14,198件+委任先省庁経由4,858件)。前年度1万2,120件から57%増で過去最多更新
- 上場企業の原因別構成比:①ウイルス感染・不正アクセス60.3%(114件)②誤表示・誤送信21.6%(41件)③紛失・誤廃棄10.5%(20件)(東京商工リサーチ・2024年)
- 2025年の大型事例:損保ジャパン約1,748万件・ソフトバンク委託先約13.7万件・駿河屋カード情報30,431件など、サプライチェーン経由の漏洩が顕在化
- 対策の優先順位:ランサム・サプライチェーン対策(多層防御)→ クラウド設定とアクセス権限 → 誤送信防止 → 内部不正監視 → AI利用ガイドライン → 継続教育
情報漏洩の原因ランキング2026|3つの一次データで見る実態
「情報漏洩の原因ランキング」と一口に言っても、調査主体によって**「脅威の重大さ(IPA)」「漏えい件数(個情委)」「公表事故の原因内訳(TSR)」**で見ているものが異なります。自社のリスク評価には3つを並べて読むのが実務的です。
① IPA「情報セキュリティ10大脅威 2026」組織編(脅威の社会的影響)
IPA(独立行政法人情報処理推進機構)は2026年1月29日に「情報セキュリティ10大脅威 2026」を発表し、組織編では以下の通りランサム攻撃とサプライチェーン攻撃が上位2位を継続しました(出典:IPA プレス発表「情報セキュリティ10大脅威 2026」を決定(2026年1月29日))。
| 順位 | 脅威 | 連続選出 |
|---|---|---|
| 1位 | ランサム攻撃による被害 | 11年連続11回目 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 8年連続8回目 |
| 3位 | AIの利用をめぐるサイバーリスク | 初選出 |
| 4位 | システムの脆弱性を悪用した攻撃 | 6年連続9回目 |
| 5位 | 機密情報を狙った標的型攻撃 | 11年連続11回目 |
| 6位 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2年連続2回目 |
| 7位 | 内部不正による情報漏えい等 | 11年連続11回目 |
| 8位 | リモートワーク等の環境や仕組みを狙った攻撃 | 6年連続6回目 |
| 9位 | DDoS攻撃(分散型サービス妨害攻撃) | 2年連続7回目 |
| 10位 | ビジネスメール詐欺 | 9年連続9回目 |
3位の「AIの利用をめぐるサイバーリスク」は2026年版で初めて選出され、AIへの不十分な理解に起因する意図しない情報漏えい、AIが生成した結果を検証せずに用いる問題、AIの悪用によるサイバー攻撃の容易化などが含まれます(出典:IPA「情報セキュリティ10大脅威 2026」解説書 組織編)。
重要:IPAは「順位は危険度ではなく、選考会参加者が社会的影響が大きいと判断したもの」と注記しています。自社の業態に合わせて優先順位を再構築することが必須です。
② 個人情報保護委員会「令和6年度年次報告」(実発生件数の最多更新)
個人情報保護委員会の2024年度(令和6年度)年次報告では、個人データの漏えい等事案について個人情報保護法第26条第1項に基づく処理件数が1万9,056件となり、前年度の1万2,120件から57%増加して過去最多を更新しました(出典:個人情報保護委員会 令和6年度年次報告)。
内訳は以下の通り、委託先経由の不正アクセスが特に顕著です。
| 区分 | 件数 | 内訳のポイント |
|---|---|---|
| 委員会への直接報告 | 14,198件 | 全体の約75% |
| 委任先省庁経由 | 4,858件 | 全体の約25% |
| 1事案あたりの漏えい人数 | 1,000人以下が88.3% | 5万人超は0.8% |
| 報告者(自社)からの漏えい原因(9,494件中) | 誤交付・誤送付・誤廃棄が7,923件(83.5%) | ヒューマンエラーが圧倒的多数 |
| 委託先からの漏えい原因(2,248件中) | 不正アクセスが1,429件(62.8%) | サイバー攻撃が委託先で集中 |
報告書では、ランサムウェアを含むサイバー攻撃の高度化・巧妙化に加え、グループ会社や海外拠点の弱点を起点としたシステム侵入、機密情報領域への高度な水平移動による漏えいが新しい傾向として指摘されています。**「自社直接の漏えいはヒューマンエラー、委託先経由の漏えいは不正アクセスが主因」**という構造が、令和6年度年次報告で初めて明確に数字化された点が重要です。
③ 東京商工リサーチ「2024年 上場企業の個人情報漏えい・紛失事故」(公表事故の原因内訳)
東京商工リサーチが2025年1月に発表した調査によると、2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は189件(前年比8.0%増)で過去最多、漏えい人数は1,586万5,611人分、社数は**151社(前年比2.7%増)**で過去最多を更新しました(出典:TSRデータインサイト 2024年上場企業の「個人情報漏えい・紛失」事故)。
公表事故の原因別の割合は以下の通りです。
| 順位 | 原因 | 件数 | 構成比 |
|---|---|---|---|
| 1 | ウイルス感染・不正アクセス | 114件 | 60.3% |
| 2 | 誤表示・誤送信 | 41件 | 21.6% |
| 3 | 紛失・誤廃棄 | 20件 | 10.5% |
| 4 | その他(不正持ち出し・盗難等) | 14件 | 7.4% |
つまり**「公表に至る重大事故」の6割超は外部からのサイバー攻撃である一方、「届出全体(個情委)」の自社直接事案は誤交付・誤送付・誤廃棄が83.5%**という構造です。脅威の被害規模はサイバー攻撃が圧倒的に大きく、件数の多さでは人的ミスが上回ります。
2025年に顕在化したサプライチェーン経由の大規模漏洩事例
IPA組織編2位(サプライチェーン攻撃)と個情委の「委託先経由の不正アクセス62.8%」が現実に起きたのが、2025年の主要漏洩インシデントです。社名・件数・経路をそのまま社内資料に転用できる形で整理します。
損害保険ジャパン|約1,748万件(2025年4月不正アクセス・6月公表)
損害保険ジャパンは、同社のWebサブシステムへの不正アクセスにより、最大約1,748万件の顧客情報が外部に漏えいした可能性があると2025年6月11日に公表しました。フォレンジック調査では、2025年4月17日〜21日の5日間、外部からの侵入者が顧客情報にアクセス可能な状態にあったことが判明しています(出典:損害保険ジャパン「当社システムに対する不正アクセスの発生及び情報漏えいの可能性について」(一覧))。さらに同月、委託先のランサムウェア被害に伴う追加漏えい(約7.5万件)も別途公表されています(出典:損保ジャパン「当社委託先におけるランサムウェア被害に伴う情報漏えいのおそれについて」(2025年5月))。
ソフトバンク|約13.7万件(業務委託先 UFジャパン経由・2025年6月公表)
ソフトバンクは2025年6月11日、業務委託先である株式会社UFジャパンから最大約13万7,156件の個人情報が流出した可能性があると公表しました。協力会社を退職した元従業員が2024年12月にUFジャパンの事業所に不正に立ち入り、USBメモリを情報端末に接続して個人情報を持ち出した可能性が監視カメラの映像で確認されています(出典:DataClasys「ソフトバンク、業務委託先から顧客情報14万件流出」)。**「契約だけでは委託先の物理セキュリティを担保できない」**という典型ケースです。
駿河屋.JP|カード情報30,431件(2025年7〜8月Webスキミング)
中古品ECの駿河屋.JPでは、監視ツールの脆弱性を突いた不正アクセスにより決済ページ用JavaScriptが改ざんされ、**クレジットカード情報30,431件(カード名義人名・番号・有効期限・セキュリティコード等)**および付随する顧客情報29,932名分が漏洩した可能性があると2025年12月に最終公表しました。漏えい対象期間は2025年7月23日〜8月8日です(出典:駿河屋「第三者不正アクセスに関するフォレンジック調査完了および判明事項についてのお知らせ」)。
フォトクリエイト|ダークウェブ上で情報保有声明(2025年7〜11月)
学校行事・スポーツイベント等の写真販売を行うフォトクリエイトでは、2025年7月のWebサーバへの不正アクセス後、同年11月にダークウェブ上で**「保有する個人情報を持っている」との攻撃者声明**が確認され、個人情報漏えいのおそれが公表されました(出典:ScanNetSecurity「フォトクリエイトに登録のあったメールアドレス宛にフィッシングメール送信」)。
IIJ(インターネットイニシアティブ)|メールサービス不正アクセス(金融業に2次被害)
IIJのメールサービスへの不正アクセスは、特に金融業界に2次被害を引き起こし、トレンドマイクロの2025年上半期レポートでは「金融業の不正アクセス被害22件のうち9件がIIJメールサービス事案の2次被害」と整理されています(出典:トレンドマイクロ「2025年上半期の国内セキュリティインシデントを振り返る」)。1つのSaaS事業者の侵害が業界横断で連鎖する現代のサプライチェーンリスクの象徴です。
原因の構造を整理|ヒューマンエラーと内部不正の違い
外部攻撃以外の原因を、IPA組織編・個情委報告で頻出する分類に沿って整理すると、悪意の有無で2系統に分かれます。ヒューマンエラー(誤送信・紛失・設定ミス)は教育とシステム制御で再発を抑えられますが、内部不正(金銭目的・組織不満による持ち出し)は権限管理とログ監視が不可欠で、対策アプローチが大きく異なります。ソフトバンクの委託先元従業員によるUSB持ち出し事案は、退職者による内部不正がサプライチェーンを介して顕在化した代表例です。
特に2026年は**生成AIの業務利用拡大に伴う「意図しない情報漏えい」**が新しいヒューマンエラー類型として急増しており、IPA組織編3位の根拠にもなっています。詳しい対策は【2026年版】生成AIの情報漏洩リスクとは?サムスン3件流出に学ぶ5つの対策と実例で解説しています。また、社員が無断で個人クラウド・私物USB・無料生成AIを業務利用する「シャドーIT」についてはシャドーITのリスクと情報漏洩事件を防ぐ対策ガイド、社員が無断で個人AIアカウントを業務利用する「シャドーAI」についてはシャドーAIとは?法人で起きる情報漏洩リスクと対策5ステップを参照してください。
ランキングから読み解く情報漏洩を防ぐ7つの対策
データを踏まえると、対策は「外部攻撃の多層防御」「人的ミスの仕組み化対策」「内部不正の検知」の3軸を並走させる必要があります。ここでは7つの具体策を、上記ランキングの上位脅威に紐付けて解説します。
1. ランサム攻撃への多層防御(IPA1位対応)
ランサム攻撃は11年連続でIPA組織編1位の脅威です。アンチウイルスソフトだけでなく、**EDR(Endpoint Detection and Response)**で端末の不審な挙動を監視し、多要素認証(MFA)を全社員に必須化します。さらにオフラインバックアップを3-2-1ルール(3つの複製、2種類のメディア、1つは隔離保管)で構築し、感染後にも復旧可能な状態を維持します。損保ジャパンの委託先ランサムウェア被害のように、自社が直接被害を受けなくても委託先経由で漏えいが発生するため、後述のサプライチェーン対策と一体で進めることが必須です。
2. サプライチェーン・委託先のセキュリティ確認(IPA2位対応)
個情委の令和6年度報告では委託先漏えいの62.8%が不正アクセスでした。2025年の損保ジャパン(最大1,748万件)・ソフトバンク(委託先UFジャパン経由13.7万件)はいずれもサプライチェーン経由です。委託先選定時にプライバシーマークやISMS(ISO 27001)の取得状況を必ず確認し、契約書に漏えい時の通知期限・調査協力義務・損害賠償を明記します。グループ会社や海外拠点も含めて、定期的なセキュリティ監査と、退職者の物理アクセス権削除フローを委託先と共同で運用しましょう。
3. AIの業務利用ガイドライン整備(IPA3位対応・初選出)
IPA組織編3位の「AIの利用をめぐるサイバーリスク」は、機密情報を生成AIに入力してしまう意図しない情報漏えいが中心です。法人向けプラン(ChatGPT Enterprise、Claude for Workなど)で「入力データを学習に使わない」契約を結び、シャドーAIの検知と教育を継続します。AI事業者ガイドラインを軸とした倫理・ガバナンスの整備は【2026年版】企業が直面するAI倫理の問題点とは?AI倫理ガイドライン策定の3ステップを、プロンプトインジェクション等の技術的脅威への対応はプロンプトインジェクション対策とは?OWASP LLM01に学ぶ法人向け生成AIセキュリティ6つの要点を参照してください。
4. ヒューマンエラー(誤送信)を防ぐシステム制御
個情委の令和6年度報告で自社直接の漏えい原因の83.5%が誤交付・誤送付・誤廃棄、TSR調査でも2位の「誤表示・誤送信」が21.6%です。教育だけでは防ぎきれないため、外部宛メール送信時の確認ポップアップ、一定時間の送信保留、添付ファイルの自動暗号化(PPAP代替のクラウド共有リンク)を組み込みます。重要データの送信には上長承認ワークフローを必須化し、物理的にミスを防ぎます。
5. クラウドの設定ミスを防ぐアクセス権限管理
クラウドストレージの公開範囲ミスは、近年の漏えい事故の急増要因です。アクセス権限の最小化(Need-to-Knowの原則)を徹底し、業務に必要なフォルダのみアクセス権を付与します。デフォルト共有設定は「非公開」とし、外部共有時に管理者承認を必須とする運用を整備しましょう。委託先には自社の権限管理基準を契約書で明示し、定期棚卸しの結果を提出させることが有効です。
6. 内部不正を見逃さないログ監視(IPA7位対応)
退職予定者や不満を持つ従業員による持ち出しは、IPA組織編7位の脅威です。ソフトバンク委託先UFジャパン事案のように、退職後の物理的なアクセスや、在職中のUSB等記録媒体の利用が典型的な経路です。誰が、いつ、どのデータにアクセスしたかを追跡できる操作ログ監視を導入し、深夜の大量ダウンロードや業務無関係ファイルへのアクセスといった異常挙動をSIEMなどで早期検知します。退職予定者には事前に権限を縮小し、退職日には物理鍵・入退館権限も同日中に剥奪する運用が有効です。
7. 継続的なセキュリティ教育と標的型メール訓練
システムの導入と並行して、運用する人間のリテラシーを高め続ける必要があります。単発の研修ではなく、過去のインシデント事例の共有と、標的型メール訓練を四半期ごとに実施します。生成AI時代は「AIに何を入力していいか」も判断軸として組み込みましょう。IPAは中小企業向けに無料の標的型メール演習教材を公開しており、コスト負担なしで実施できます。
よくある質問(FAQ)
Q. 情報漏洩の原因ランキング1位は何ですか?
A. 調査主体によって異なります。脅威の社会的影響ではIPA「情報セキュリティ10大脅威 2026」組織編1位は「ランサム攻撃による被害」(11年連続)です。上場企業の公表事故の原因別構成比では東京商工リサーチ調査で「ウイルス感染・不正アクセス」が60.3%でトップでした。届出件数全体では個人情報保護委員会の2024年度報告で自社直接事案の83.5%が誤交付・誤送付・誤廃棄、委託先経由事案の62.8%が不正アクセスと内訳が分かれています。
Q. 情報漏洩の件数は何件ですか?
A. 個人情報保護委員会の令和6年度(2024年度)年次報告では漏えい等報告の処理件数が1万9,056件(うち委員会への直接報告14,198件、委任先省庁経由4,858件)で、前年度1万2,120件から57%増、過去最多を更新しました。上場企業に絞った東京商工リサーチ調査では189件・1,586万5,611人分(2024年・前年比8.0%増)です。
Q. 2025年に起きた大規模な情報漏洩事例は?
A. 損害保険ジャパンで最大約1,748万件(2025年4月不正アクセス・6月公表)、ソフトバンクで業務委託先UFジャパン経由の約13万7,156件(2025年6月公表)、駿河屋.JPでクレジットカード情報30,431件(2025年7〜8月、Webスキミング)、フォトクリエイトでダークウェブ上に攻撃者声明(2025年11月)など、サプライチェーン経由の大規模漏洩が相次ぎました。詳細は本文「2025年に顕在化したサプライチェーン経由の大規模漏洩事例」を参照してください。
Q. 情報漏洩が起きてしまった場合の最初の対応は?
A. インシデントを認知した直後に、被害の拡大を防ぐ「初動対応」が最優先です。ネットワークからの該当端末の切断、サービスの一時停止を行い、速やかに情報システム部門やCSIRTへ報告してください。改正個人情報保護法により、漏えい等が発生した場合は個人情報保護委員会への報告と本人への通知が義務化されています(出典:個人情報保護委員会 漏えい等の対応とお役立ち資料)。
Q. 中小企業でもできる低コストな対策はありますか?
A. まずは設定変更だけで実施できる対策から始めます。不要なアカウントの削除、パスワードの使い回し禁止、多要素認証(MFA)の導入、OS・ソフトウェアの自動更新、**全社員への標的型メール訓練(IPAが無料の演習教材を公開)**が、極めてコストパフォーマンスの高い対策です。
まとめ|ランキングの読み方を変えれば対策の優先順位が見える
情報漏洩の原因ランキングは、**「脅威の重大さ(IPA)」「件数(個情委)」「公表事故の原因(TSR)」**の3つの視点と、2025年に実際に起きた大規模事例を併読することで、自社の対策優先順位を正しく決められます。本記事で紹介した一次データを踏まえると、2026年に企業が取り組むべき重点は以下の通りです。
- 外部攻撃の多層防御:ランサム・サプライチェーン・AIサイバーリスクへのEDR・MFA・委託先監査
- 人的ミスの仕組み化対策:誤送信防止システム、クラウド設定の権限最小化
- 内部不正の検知:操作ログ監視と退職時の権限縮小・物理アクセス剥奪フロー
- 生成AIの安全な利用:法人プラン契約とシャドーAI・AI倫理ガイドライン整備
- 継続教育:標的型メール訓練と過去事例(損保ジャパン・ソフトバンク・駿河屋等)の共有
情報漏洩対策は一度行えば完了するものではありません。IPAや個人情報保護委員会の最新情報を毎年キャッチアップし、システムと人の両面からガバナンスを強化して、安全な事業運営を目指してください。
主な出典(一次ソース)
- 情報セキュリティ10大脅威 2026 / IPA(2026年1月29日発表)
- プレス発表「情報セキュリティ10大脅威 2026」を決定 / IPA
- 情報セキュリティ10大脅威 2026 解説書 組織編 / IPA
- 令和6年度個人情報保護委員会 年次報告
- 漏えい等の対応とお役立ち資料 / 個人情報保護委員会
- 2024年上場企業の「個人情報漏えい・紛失」事故 / 東京商工リサーチ(2025年1月発表)
- 損害保険ジャパン 不正アクセス発生及び情報漏えい可能性のお知らせ(一覧)
- 損害保険ジャパン 委託先におけるランサムウェア被害に伴う情報漏えいのおそれ
- 駿河屋 第三者不正アクセスに関するフォレンジック調査完了および判明事項
- トレンドマイクロ「2025年上半期の国内セキュリティインシデントを振り返る」
その作業、AIで自動化できます!
ClaudeやAIエージェントを活用し、複雑な会計ソフトの入力・図面や画像を用いた書類の整理・プロジェクト管理まで、あらゆる業務をAIエージェントが遂行。社内で運用できる状態までご支援します。
