データ保護・BCP

情報漏えいの原因と対策｜中小企業向け人的ミス防止の5ステップ

: #アクセス権限管理 , #サイバーセキュリティ , #ヒューマンエラー , #内部不正 , #情報セキュリティ

Jun 30 2026

「情報漏えい」と聞くと、ハッカーによる派手なサイバー攻撃を想像する方が多いかもしれません。しかし実際の現場で頻発しているのは、メールの誤送信、USBメモリや書類の紛失、クラウドの共有設定ミスといった「うっかり」、つまり人的ミスです。

東京商工リサーチの調査によれば、2025年に公表された上場企業の個人情報漏えい・紛失事故は158社180件にのぼり、漏えいした個人情報は3,063万人分と前年を大きく上回りました。大企業ですらこの状況であり、中小企業にとっても情報漏えいは決して他人事ではありません。

本記事では、漏えいの原因を「人的ミス」「内部不正」「共有・権限設定の見落とし」に整理し、中小企業でもコストをかけずに始められる防止策を解説します。

この記事の要点

▶︎ 情報漏えいの多くは外部攻撃だけでなく、誤送信・紛失などの人的ミスや内部不正が起点になっている

▶︎ 上場企業では外部攻撃が約6割を占めるが、誤表示・誤送信などの人的ミスも約3割を占め、中小・中堅企業では内部要因の比率がさらに高いとされる

▶︎ 対策の核は、高額なツールよりも「ルール整備・社員教育・アクセス権限管理」の3点セットを継続すること

データで見る情報漏えいの原因｜人的ミスと内部不正の実態
 人的ミスによる情報漏えいの典型例｜誤送信・紛失・誤設定
 見過ごせない内部不正｜「不正のトライアングル」で原因を理解する
 原因別に整理する情報漏えい防止策の全体像
 中小企業が今日から始める情報漏えい対策5つ
 まとめ｜「人は必ずミスする」前提で仕組みをつくる
 FAQ

データで見る情報漏えいの原因｜人的ミスと内部不正の実態

情報漏えいというと、ランサムウェアや不正アクセスなどのサイバー攻撃を思い浮かべる方も多いでしょう。しかし実際には、従業員の操作ミスや管理上の不備によって発生する情報漏えいが少なくありません。情報漏えい対策を考えるうえでは、外部からの攻撃だけでなく、社内に潜むリスクにも目を向ける必要があります。

原因別の内訳―人的ミスは無視できない割合

東京商工リサーチの2025年調査によると、上場企業とその子会社で発生した個人情報の漏えい・紛失事故は180件でした。原因別に見ると、「ウイルス感染・不正アクセス」が116件（64.4％）で最も多く、全体の約3分の2を占めています。

一方で、「誤表示・誤送信」は37件（20.5％）、「紛失・誤廃棄」は18件（10.0％）発生していました。両者を合わせると55件となり、全体の30.5％に達します。

つまり、情報漏えいの約3件に1件は、サイバー攻撃ではなく人為的なミスによって発生している計算になるのです。メールの宛先間違い、ファイル共有設定のミス、書類や記録媒体の紛失など、日常業務の中で起こり得るヒューマンエラーが情報漏えいの大きな要因になっていることがわかります。

中小企業は人的ミスが起きやすい環境にある

この数字は上場企業を対象とした調査結果です。しかし中小企業においては、専任の情報システム担当者がいない、情報セキュリティ教育に十分な時間を割けない、アクセス権限管理が属人的になっているといった課題を抱えるケースも少なくありません。

また、少人数で業務を回す企業では、一人の従業員が複数の役割を兼任していることも多く、チェック体制が十分に機能しない場合があります。その結果、誤送信や設定ミス、内部不正などのリスクが相対的に高まりやすくなります。

実際、多くの調査で人的ミスや内部不正が情報漏えいの主要因として挙げられており、「情報漏えいは外部からの攻撃だけで起こるものではない」という認識を持つことが重要です。

だから中小企業は「社内」から手をつける

この事実が示しているのは、情報漏えい対策の優先順位です。もちろん、ランサムウェア対策や不正アクセス対策は欠かせません。しかし、限られた予算と人員で対策を進める中小企業にとっては、まず社内のミスや不正を防ぐ仕組みを整えることが高い費用対効果を発揮します。

例えば、メール送信時のダブルチェック、アクセス権限の適切な管理、退職者アカウントの迅速な削除、定期的な情報セキュリティ教育などは、比較的低コストで始められる対策です。

情報漏えい対策は単なるIT部門の課題ではありません。企業のコンプライアンスやガバナンス、内部統制に関わる経営課題であり、重大な事故が発生した場合には個人情報保護法への対応や損害賠償、企業信用の低下につながる可能性があることを覚えておくべきです。

参考：株式会社東京商工リサーチ　TSRデータインサイト

人的ミスによる情報漏えいの典型例｜誤送信・紛失・誤設定

人的ミスによる事故は、特別な技術を持った攻撃者がいなくても発生します。ここでは、中小企業で特に注意したい代表的な事例を紹介します。

メールの誤送信

人的ミスによる情報漏えいで最も多いのがメールの誤送信です。日常業務で頻繁に利用するメールは便利な反面、一度送信すると取り消しが難しく、ミスがそのまま情報漏えいにつながります。

代表的な例として、宛先の選択ミスやTo・Cc・Bccの取り違えがあります。一斉送信の際にBccに設定すべきメールアドレスをToやCcに入力してしまったり、本来送るべきでないファイルを誤って添付したりするケースも少なくありません。

こうしたミスは誰にでも起こり得ます。しかし、一通のメールが数百人規模の個人情報漏えいや顧客情報の流出に発展することもあり、企業の信用を大きく損なう原因となります。

誤送信を完全になくすことはできませんが、添付ファイルの送り方そのものを見直すことでリスクを大幅に下げられます。従来のPPAP方式に代わる安全なファイル送付手段については、こちらの記事もあわせてご覧ください。
＞＞ PPAPはもう古い？安全なファイル送信の代替手段を徹底比較

USB・書類の紛失や置き忘れ

USBメモリやノートPC、スマートフォン、紙の書類などの紛失・置き忘れも、昔から繰り返し発生している情報漏えいの原因です。

特に営業活動や出張、テレワークなどで情報を社外へ持ち出す機会が多い企業では注意が必要です。電車やタクシーへの置き忘れ、カフェでの紛失、自宅での管理不備など、日常のちょっとした油断が事故につながります。

暗号化されていないUSBメモリやパスワードで保護されていないノートPCを紛失した場合、第三者が容易に情報へアクセスしてしまう可能性があります。情報漏えいだけでなく、個人情報保護法への対応や顧客への謝罪など、大きな負担が発生することもあるでしょう。

クラウドの共有設定ミス

近年増えているのが、クラウドサービスの設定ミスによる情報漏えいです。クラウドストレージやオンライン共有フォルダは業務効率化に役立ちますが、設定を誤ると意図しない相手に情報が公開されてしまう恐れがあります。

例えば、「社内限定」のつもりで保存したファイルが、実際には「リンクを知っている人なら誰でも閲覧可能」になっていたケースや、退職者のアクセス権限が削除されずに残っていたケースなどが挙げられます。

こうした事故はサイバー攻撃を受けたわけではありません。単なる設定ミスや確認不足によって発生します。しかし、不正アクセスによる情報漏えい事故と変わらず、企業の信頼低下や取引先への影響を招く可能性があります。クラウド利用が当たり前になった今だからこそ、定期的な権限確認と設定の見直しが重要です。

見過ごせない内部不正｜「不正のトライアングル」で原因を理解する

情報漏えいの原因として注目されやすいのはサイバー攻撃や人的ミスですが、もう一つ忘れてはならないのが「内部不正」です。内部不正とは、従業員や元従業員、委託先担当者など、正規の権限を持つ人物が意図的に情報を持ち出したり、不正に利用したりする行為を指します。発生件数は外部攻撃ほど多くありませんが、一度発生すると企業に与えるダメージは極めて大きくなります。

内部不正の実態―件数は少なくても被害は甚大

内部不正による情報漏えいは、外部からの不正アクセスとは異なり、業務に必要な権限を持つ人物が関与するため発見が難しいという特徴があります。また、持ち出される情報も顧客リストや営業機密、設計図面、技術情報など企業の中核を支える重要情報であるケースが少なくありません。

特に多いのが、退職予定者や退職者による情報の持ち出しです。転職先での活用や独立開業を目的として、顧客データや営業資料を私用のクラウドストレージへ保存したり、USBメモリにコピーしたりする事例は後を絶ちません。

こうした行為は、直接的な損害だけでなく、顧客からの信頼低下や取引停止、競争力の低下にもつながります。件数だけを見れば少数に見えても、企業経営に与える影響は非常に大きいリスクといえるでしょう。

「不正のトライアングル」3つの要素

では、なぜ内部不正は発生するのでしょうか。その原因を理解するうえで広く知られているのが「不正のトライアングル」という考え方です。これはIPAの「組織における内部不正防止ガイドライン」でも紹介されており、不正は次の3つの要素がそろったときに起こりやすくなるとされています。

1つ目は「動機（プレッシャー）」です。金銭的な問題や過度なノルマ、人事評価への不満、ミスの隠蔽などが不正の引き金になります。

2つ目は「機会」です。アクセス権限が広すぎる、重要データの持ち出しを監視していない、操作ログを確認していないなど、不正を実行できる環境が存在する状態を指します。

3つ目は「正当化」です。「自分は正当に評価されていない」「会社に損をさせるつもりはない」「これくらい問題ない」といった自己正当化によって、不正への心理的な抵抗が弱まります。

この3つが重なったとき、内部不正のリスクは高まると考えられています。

監視より「機会をなくす仕組み」を

内部不正は、正規の権限を持つ人物による行為であるため、ファイアウォールやウイルス対策ソフトなどのセキュリティ製品だけでは十分に防げません。

そこで重要なのは、社員を過度に監視することではなく、不正を実行しにくい環境を整えることです。企業が比較的コントロールしやすいのは、不正のトライアングルの中でも「機会」の部分です。

例えば、業務に必要な範囲だけ権限を付与する「最小権限の原則」を徹底する、重要データへのアクセスログを記録・定期確認する、データ管理と承認業務を分離する職務分掌を行うといった対策が有効でしょう。

内部不正対策の目的は社員を疑うことではありません。誰もが不正を起こしにくい環境を整備し、企業と従業員の双方を守ることにあります。中小企業においても、技術的な対策とあわせて運用ルールや内部統制の整備を進めることが重要です。

自社のセキュリティ対策水準を客観的に把握・証明する仕組みとして、

経産省主導のSCS評価制度も注目されています。
詳しくは以下の関連記事をご覧ください。
＞＞ SCS評価制度とは？中小企業が今すぐ「星3」を目指すべき理由

原因別に整理する情報漏えい防止策の全体像

情報漏えい対策というと、高価なセキュリティ製品の導入をイメージするかもしれません。しかし、ここまで見てきたように、情報漏えいの原因はサイバー攻撃だけではありません。メールの誤送信や書類の紛失といった人的ミス、さらには内部不正など、原因は多岐にわたります。

そのため、効果的な情報漏えい対策を実現するには、一つの製品や施策に頼るのではなく、原因に応じて複数の対策を組み合わせることが重要です。ここでは対策を「ヒト」「シクミ」「モノ」の3つのレイヤーに分けて整理してみましょう。

3つのレイヤーで対策を俯瞰する

ヒトの対策

ヒトの対策とは、社員教育や研修、社内ルールの整備など、人の行動に働きかける取り組みです。

例えば、メール送信前のダブルチェックを徹底する、個人情報を持ち出す際のルールを明文化する、定期的に情報セキュリティ研修を実施するといった施策が該当します。誤送信や紛失といった人的ミスは、従業員一人ひとりの意識と行動によって大きく減らすことができます。

比較的低コストで始められるのが大きなメリットですが、一度研修を実施して終わりではありません。人は時間が経つとルールを忘れたり、慣れによって注意力が低下したりします。そのため、定期的な教育や注意喚起を継続することが重要です。

シクミの対策

シクミの対策とは、内部統制や権限管理など、不正やミスが起こりにくい業務環境を整える取り組みです。情報セキュリティガバナンスの観点からも重要な分野といえるでしょう。

代表的なのがアクセス権限の管理です。すべての従業員がすべての情報にアクセスできる状態ではなく、「業務に必要な範囲だけ利用できる」最小権限の原則を徹底することで、情報漏えいや内部不正のリスクを低減できます。

操作ログの取得や定期的な監査も重要です。誰がいつ、どの情報にアクセスしたのかを記録することで、不正の抑止効果が期待できます。退職者アカウントの迅速な停止や、異動時の権限見直しもこのレイヤーに含まれます。

モノの対策

モノの対策とは、セキュリティ製品やシステムによる技術的な対策です。

例えば、USBメモリやノートPCの暗号化は、紛失時の情報流出リスクを大幅に低減します。また、メールの送信前確認機能や誤送信防止ツールは、人的ミスを技術的に補完する役割を果たします。

さらに、DLP（Data Loss Prevention：情報漏えい対策ソリューション）や安全なファイル共有サービスを活用すれば、機密情報の持ち出しや不適切な共有を検知・制御できます。サイバー攻撃対策だけでなく、内部からの情報流出を防ぐうえでも有効です。

優先順位の付け方

情報漏えい対策にはさまざまな選択肢がありますが、すべてを一度に導入する必要はありません。限られた予算や人員の中で進める中小企業にとって重要なのは、自社のリスクに応じて優先順位を付けることです。

まずは、自社でどのような情報を扱っているのか、過去にどのようなヒヤリハットやトラブルがあったのかを洗い出してみましょう。そのうえで、情報漏えい対策チェックリストなどを活用し、「できていること」と「できていないこと」を可視化します。

例えば、誤送信が多い企業ならメール運用ルールの見直しを優先するべきですし、退職者管理に不安がある企業ならアクセス権限管理を強化するべきでしょう。原因と対策を関連づけて考えることで、限られた投資でも高い効果が期待できます。

中小企業にとって大切なのは、最初から完璧を目指すことではありません。自社の弱点を把握し、リスクの大きい部分から一つずつ改善していくことが、結果として最も現実的で効果的な情報漏えい対策につながります。

中小企業が今日から始める情報漏えい対策5つ

中小企業が最初に取り組むべきなのは、高額なツールの導入ではなく、社内のルールや運用体制を整えることです。ここでは、今日からでも着手できる5つの対策を紹介します。

1社内ルール・規程の整備

まず取り組みたいのが、情報管理に関するルールの明文化です。情報漏えいの多くは、「何が許可され、何が禁止されているのか」が曖昧な環境で発生します。

例えば、顧客情報の持ち出し可否、私物スマートフォンやUSBメモリの業務利用、クラウドストレージの利用範囲などについて、明確なルールを定めておくことが重要です。

ルールを文書化し、全社員に周知するだけでも、人的ミスや内部不正の抑止効果が期待できます。ただし、規程は作成して終わりではありません。入社時や異動時、定期研修のタイミングで繰り返し確認し、現場に定着させることが大切です。

2社員教育と意識づけ

どれほど優れたルールやシステムを導入しても、それを利用するのは人です。だからこそ、継続的な教育と意識づけが欠かせません。

メール送信前に宛先や添付ファイルを確認する、機密情報を不用意に持ち出さない、公共の場所で業務データを扱わないといった基本的な行動を習慣化することが重要です。

また、退職時の情報持ち出し禁止や、クラウドサービスの適切な利用方法なども定期的に周知しましょう。実際に発生した情報漏えい事例やニュースを共有すると、「自社でも起こり得る問題」として認識されやすくなり、セキュリティ意識の向上につながります。

怪しいメールを見抜く力を社員一人ひとりに求めるのには限界があります。受信前にスパム・フィッシングメールを自動でブロックする仕組みについては、こちらで具体的な方法を紹介しています。
＞＞迷惑メール・スパムをブロックする方法｜使えるメールバスター活用ガイド

3アクセス権限の最小化

情報漏えい対策の基本原則の一つが、「必要な人に、必要な範囲だけアクセスを許可する」という最小権限の考え方です。

業務に関係のない従業員まで顧客情報や機密資料へアクセスできる状態では、誤操作や内部不正のリスクが高まります。そのため、フォルダやファイルのアクセス権限を定期的に見直し、不要な権限を削除することが重要です。

特に注意したいのが、テレワーク導入時に急いで作成した共有フォルダや、過去のプロジェクト用に設定したアクセス権限です。利用実態と権限設定が一致しているかを定期的に棚卸しし、不要な共有を解消しましょう。

アクセス権限の設定だけでなく、クラウド上でのデータ保護全体を見直すことも有効です。クラウドセキュリティの基本的な考え方は、こちらの記事で整理しています。
＞＞クラウドデータセキュリティとは？企業が押さえるべき基本対策

4退職時フローの整備

内部不正による情報漏えいで特に多いのが、退職者による顧客情報や営業機密の持ち出しです。そのため、退職時の手続きを標準化しておくことが重要です。

具体的には、アカウントの停止、貸与PCやスマートフォンの回収、クラウドサービスへのアクセス権の削除、業務データの返却確認などをチェックリスト化します。

私物端末や個人クラウドストレージへ業務データが保存されていないかを確認する手順も必要です。誰が、いつ、何を行うのかを明確にし、対応漏れを防ぐことで、退職時の情報漏えいリスクを大幅に低減できます。

5技術的な備え

最後に、人とルールを補完する技術的な対策を導入します。

例えば、USBメモリやノートPCの暗号化は、紛失時の情報流出を防ぐ有効な手段です。また、メールの誤送信防止機能や送信保留機能を活用すれば、ヒューマンエラーによる漏えいリスクを減らせます。

さらに、操作ログの取得やアクセス履歴の管理は、内部不正の抑止と早期発見に役立ちます。安全なファイル共有サービスを利用し、フォルダやファイル単位で細かくアクセス権限を設定することも重要です。

データやUSBの暗号化、操作ログの取得に加え、より積極的な技術対策として「システム側で物理的にできない状態を作る」仕組みも有効でしょう。

具体的には、USBメモリなど外部デバイスへのデータコピーをブロックするデバイス制御、特定のクラウドストレージや不審なサイトへのアップロードを遮断するブラウザ・クラウド制御、フィッシングやビジネスメール詐欺を受信前にシャットアウトするメールセキュリティなどが代表例です。

加えて、退職者などによる大量データの持ち出しや深夜の不審なデータ移動を検知して自動停止する振る舞い検知（AIによる挙動監視）、管理者であっても一定期間はバックアップを削除・改ざんできないイミュータブルストレージも、内部不正への強力な抑止力となります。

人の注意とルールに技術の補強を重ねることで、万一ミスや不正が起きても被害の拡大を食い止められます。

メールの誤送信やフィッシングを技術的に防ぐ仕組みについては、こちらもご覧ください。
＞＞メールの誤送信・フィッシング対策｜使えるメールバスター

今回ご紹介した対策は、IPAが提唱する「情報セキュリティ5か条」の考え方とも重なります。より基本的な部分からセキュリティ対策を整理したい方は、こちらもご参照ください。
＞＞情報セキュリティ5か条とは？中小企業が最初に取り組むべき基本対策

まとめ｜「人は必ずミスする」前提で仕組みをつくる

ここまで見てきたように、情報漏えいの原因はサイバー攻撃だけではありません。メールの誤送信や書類・USBメモリの紛失、クラウドの設定ミスといった人的ミス、そして従業員や退職者による内部不正も、企業にとって大きな脅威です。

中小企業に身近なのは「うっかり」と「内部不正」

ニュースで大規模なサイバー攻撃が報じられると、「情報漏えい＝ハッキング被害」というイメージを持ちがちです。しかし実際には、日常業務の中で発生するうっかりミスや内部不正も、多くの情報漏えいを引き起こしています。

前述した東京商工リサーチの調査が示す通り、上場企業などの個人情報漏えい・紛失事故180件のうち、「誤表示・誤送信」と「紛失・誤廃棄」を合わせた人的ミスによる事故は55件にのぼり、全体の約3割を占めています。十分な人員や予算を持つ大企業であっても、ヒューマンエラーを完全になくすことはできないのです。

中小企業では、情報システム担当者が他業務と兼任していたり、情報セキュリティ教育や内部統制に十分な時間を割けなかったりするケースも少なくありません。そのため、メール誤送信やアクセス権限の設定ミス、退職者による情報持ち出しなどは、より身近で現実的なリスクとして捉える必要があります。

継続すべき3点セットと、その土台

人的ミスをゼロにすることはできません。だからこそ重要なのは、「ミスをしない仕組み」ではなく、「ミスをしても情報が漏れにくい仕組み」を整えることです。また、万が一漏えいが発生しても、被害を最小限に抑えられる体制づくりが求められます。

そのための基本となるのが、「社内ルールの整備」「社員教育」「アクセス権限管理」の3点セットです。ルールで行動基準を明確にし、教育で意識を高め、権限管理で不正や誤操作の機会を減らすーこの地道な取り組みこそが、情報漏えいに対する最大の防御策になります。

そして、その土台として重要なのが、安全なファイル共有・データ保管環境の整備です。使えるファイル箱は、長野県の自社データセンターで運用される純国産クラウドストレージサービスです。フォルダやファイルごとの細かなアクセス権限設定、操作ログの管理、有効期限付き共有リンクの発行など、情報漏えい対策に必要な機能を備えています。

また、ユーザー数無制限のため利用者の増減によるコスト変動が少なく、テレワーク環境でも安全なファイル共有を実現できます。「誰がどの情報にアクセスできるのか把握できていない」「共有フォルダの管理が属人化している」と感じている企業は、この機会に情報管理の仕組みを見直してみてはいかがでしょうか。

情報漏えい対策の仕組みづくりを進める際は、以下のサービスもあわせてご検討ください。

＞＞ファイル共有・アクセス権限管理には「使えるファイル箱」

＞＞メール誤送信・フィッシング対策には「使えるメールバスター」

＞＞セキュリティ対策水準の診断・証明には「使えるデータプロテクトでSCS評価制度対策」

FAQ

情報漏えいの原因として最も多いものは何ですか？

情報漏えいの原因は、調査対象によって異なります。東京商工リサーチの2025年調査では、上場企業およびその子会社で発生した個人情報漏えい・紛失事故のうち、「ウイルス感染・不正アクセス」が116件（64.4％）で最も多くなりました。一方で、「誤表示・誤送信」（20.5％）と「紛失・誤廃棄」（10.0％）を合わせると30.5％に達し、人的ミスも依然として大きな原因となっています。