【2025年12月】注目のインシデントニュース｜人的ミス5選

サイバーセキュリティラボでは、サイバーセキュリティに関する事件や事故のニュースを日々取り上げています。2025年12月も様々な種類のインシデントが発生しました。今月は人的ミスのインシデント事例を5つピックアップしてまとめています。

^{※本記事の内容は各社・各団体の発表当時の情報です。
※本記事はサイバーセキュリティに関する啓発や考察を目的としています。特定の企業・団体を批判する意図は一切ありません。}

神奈川県は、イベント受託事業者がメール送信設定を誤り、参加申込者42名のメールアドレスが流出したと公表しました。原因はBCCに入力すべきアドレスを宛先欄に入力したことで、受信者間での閲覧が可能になったためです。事業者は対象者に謝罪とメール削除を依頼済みで、同県は再発防止策として厳格な管理と複数人での確認作業の徹底を指導しています。

TAC株式会社は、Webサーバーの管理不備により、顧客情報を含むCSVファイルが約11年間インターネット上で閲覧可能な状態であったと公表しました。原因はイレギュラーな業務における作業ミスと、担当者・責任者の確認不足であり、顧客が自身の氏名を検索した際にファイルが表示されたことで事態が判明しました。

漏えいした情報は、2013年度税理士試験の調査に基づく最大1,315人分のデータ（氏名、住所、受験番号等）で、一部の試験結果は暗号化されていました。同社は直ちにファイルを削除し、公開時点において二次被害は確認されていませんが、再発防止策として全従業員への教育と業務フローの厳格な運用を徹底する方針を示しています。

鳥取県は2025年12月9日、企業支援課の派遣職員によるメール誤送信で1,495名分の個人情報が流出したと公表しました。補助金申請の資料を県内企業に依頼する際、以前の業務で使用した個人情報が残る Excel ファイルを流用し、内容を確認せずに添付したことが原因です。

流出先から連絡を受けて事態が発覚し、県は既に送信先を訪問してデータの削除を確認しました,。対象者にはおわびの文書を送付するとしています。今後の対策として、外部送信時の本文・添付ファイルの複数名による確認を徹底し、情報管理に関する研修を実施することで再発防止を図る方針です。

倉敷中央病院は、手術に関する測定データを保存したUSBメモリーを紛失し、患者1,162人分の個人情報が漏えいした可能性があると公表しました。2025年12月3日に部署間でのデータ移管のために保存したところ、翌日に所在不明となりました。

紛失したメモリには、2022年以降に特定の手術を受けた患者の氏名、患者ID、手術時の検査値などが記録されていましたが、住所や電話番号は含まれていません。当該メモリに暗号化措置は講じられておらず、捜索を続けていますが発見には至っていません。病院側は個人情報保護委員会への報告と患者への通知を進めるとともに、管理体制の再構築と教育の徹底により再発防止に努めるとしています。

鹿児島県日置市は、公式サイトで公開していたPDFデータのマスキング処理不備により、個人情報が閲覧可能であったと公表しました。対象は「森林経営管理集積計画及び配分計画」のデータで、計41件の氏名と住所が含まれていました。

2025年12月15日の公表時点で二次被害は確認されていませんが、市は直ちに該当ページを非公開とする措置を講じました。今後の対策として、個人情報を黒塗りした文書を一度印刷してからスキャンし直すことで、デジタルデータが残らない確実なPDF作成手順を徹底し、再発防止を図るとしています。