行政機関のサイバー攻撃が過去最多 個人情報の流出報告1万9,417件

個人情報保護委員会(PPC)は7日、2025年度(2025年4月~2026年3月)に企業や行政機関から報告された個人情報の流出に関する事案の件数を公表。
政府が同日閣議決定した同委員会の年次報告によると、総数は前年度比8%減の1万9,417件、民間企業からの報告は前年度比約1割減の1万7,139件だったとされている。
前年度(2024年度)は社会保険労務士向けシステムへの不正アクセスに関連する約3,000件の大規模事案があったが、今年度はこうした要因が減少したことが全体の件数低下につながったとみられる。
一方で、国や地方自治体などの行政機関からの報告は、同約2割増の2,278件に上り過去最多を更新。
増加の要因の一つとして、ランサムウェアによるサイバー攻撃の影響が指摘されている。
なお、マイナンバー関連の流出報告は、前年度の大型事案の影響が薄れたことから約8割減の392件となっている。

人的ミスが多発、6割超が「要配慮個人情報」を含む

流出内容の傾向としては、病院や薬局での書類の誤交付、企業によるクレジットカードの誤送付といった人的ミスが目立っている。
特に病歴など配慮が必要な「要配慮個人情報」を含む事案が民間事業者全体の6割超(約1万603件)を占めた。
一方で、不正を目的とした流出のおそれがある事案も全体の2割超(3,822件)に上り、第三者提供の不適切な取り扱いなども報告されている。

悪質事案には厳正な処分、勧告・命令は計3件

同年度に同委員会が行った監督・処分は、指導・助言が455件、勧告が2件、命令が1件だった。
1万9,000件超の報告に対して勧告・命令が少ない背景には、大半が人的ミスや軽微な誤交付であり再発防止策の確認・指導で対応可能だったことや、委員会が予防的な対応を重視している点が考えられている。
命令に至った1件は、名簿業者の「ビジネスプランニング」社に対するもので、特殊詐欺グループへの個人情報提供の可能性を認識しながら提供したとして、昨年5月に初の緊急命令を発出した事案に関連する。
また、勧告2件のうち1件も同種の名簿業者である「中央ビジネスサービス」社に対するもので、個人の権利利益侵害のおそれが高い悪質事例として厳しく対応された。

引き続き安全管理措置の徹底を喚起

同委員会は2023年度から現行方式で集計を行っており、流出の報告義務が企業や行政に定着したことで小規模な事案も含めて報告が上がるようなった。
その結果、全体の報告件数は年間2万件前後という高い水準で推移することになっている。
件数が可視化された一方で、実際の漏えい自体を防ぐための再発防止策の徹底が課題となっており、デジタル行財政改革相は閣議後会見で「病院や薬局での誤交付などが多い現状を踏まえ、再発防止の確認を進める」と強調している。
一方で日常的なミスにとどまらず、企業における大規模な情報流出も依然として深刻な課題となっている。
関連する最近の事例としては、KDDIによる大規模なパスワード漏えい事案(761万人分)や、アスクルへのサイバー攻撃(約74万件)などが報じられており、より高度な安全管理措置の強化が求められている。
個人情報保護委員会は、報告を受けた事案ごとに事実確認と再発防止策の検証を行うとともに、四半期ごとの監視・監督状況の公表や注意喚起を継続。
国民の権利利益保護とデータ利活用のバランスを図る観点から、今後も事業者や行政機関に対し、技術的・組織的な安全管理措置の徹底を促していく方針だという。

【参考】
https://www.ppc.go.jp/

最新情報をチェックしよう!