情報漏えいは、もはや「外部の攻撃者がファイアウォールを突破して盗み出す」という単純な構図だけでは語れません。2026年2月18日、東海大学は業務委託先のサーバーが不正アクセスを受け、学生・保護者・教職員ら最大延べ19万3,118人分の個人情報が漏えいした恐れがあると公表しました。原因は外部からのランサムウェア攻撃でしたが、被害を拡大させた本質的な要因は「委託先が、本来データを持ち出してはならない運用ルールに反して自社へデータを持ち帰っていた」という管理上の問題でした。
私自身、つい2年ほど前に勤めていた企業(プライム上場企業のグループ会社)では、メール送信時に添付ファイルをサーバー側で自動的に暗号化し、パスワードを自動で送信先へ送付するサービスを使っていました。便利だとは思いつつ、「まさにPPAPを自動化しただけのサービスを、いつまで使い続けるのか」と愕然としたのを覚えています。メール添付をめぐる古い慣行は、自動化の衣をまといながら、今なお現役で動いているのです。
この記事では、情報漏えいの3つの経路を整理した上で、出口対策の要であるDLP(Data Loss Prevention)、メール添付の悪習を断つ脱PPAP、そして東海大学事件が突きつけた委託先管理までを、SC試験(情報処理安全確保支援士試験)の出題観点とあわせて体系的に解説します。
この記事で学べること
- 情報漏えいの3経路(外部攻撃・内部不正/誤操作・委託先)と最新事件の構造
- DLPの仕組みと、コンテンツ検査方式・設置場所による分類
- PPAPがなぜ危険か、安全な代替手段と脱PPAPの現実
- 個人情報保護法が求める安全管理措置と委託先の監督義務
- SC試験で問われる情報漏えい対策の要点と定番の引っかけ
情報漏えいはなぜ起こるのか:3つの経路と最新事件
情報漏えい対策を考えるとき、まず「どこからデータが漏れるのか」という経路を整理することが出発点になります。経路を取り違えると、せっかく投資した対策が的外れになるからです。漏えいの経路は大きく「外部攻撃」「内部不正・誤操作」「委託先」の3つに分類できます。
漏えいの3経路を区別する
外部攻撃は、攻撃者がランサムウェアや不正アクセスによってシステムに侵入し、データを暗号化・窃取する経路です。ファイアウォール・IPS・EDRといった境界防御や侵入検知が主な対策になります。報道で目立つのはこの経路ですが、実は漏えい全体の一部にすぎません。
内部不正・誤操作は、組織内部の人間がデータを外部へ持ち出す経路です。悪意のある内部不正(退職予定者による情報の持ち出しなど)と、悪意のない誤操作(メールの宛先間違い、USBメモリの紛失)の両方を含みます。攻撃者を防ぐ「入口」の対策では止められず、データが出ていく「出口」を監視する発想が必要になります。これが後述するDLPの役割です。
委託先は、自組織のデータを預けた外部の委託業者が侵害されたり、ルール違反を犯したりすることで漏えいする経路です。自組織のシステムがどれだけ堅牢でも、データの一部が委託先に渡っていれば、そこが弱点になります。
東海大学19万件漏えい事件の構造
2026年2月に公表された東海大学の事例は、この「委託先」経路の典型です。ネットワークシステムの保守・管理を請け負っていた委託先企業が、2025年11月に管理サーバーへの不正アクセス(ランサムウェア被害)を受け、最大延べ19万3,118人分の個人情報が漏えいした恐れがあると報告されました。漏えい対象には学生・保護者・教職員の氏名や住所・生年月日のほか、付属高校卒業生のテスト結果や付属病院での健診情報も含まれていました。
この事件で注目すべきは根本原因です。委託先には「大学構内での現地作業」または「専用環境へ接続しての作業」というルールが定められていたにもかかわらず、委託先が本来のルールに反して自社内へデータを持ち帰っていたことが、被害拡大の要因と報じられました。つまり外部攻撃そのものよりも、「データの所在を管理できていなかった」ことが本質的な問題だったわけです。
誤送信・USB紛失という古典的経路も消えていない
派手なサイバー攻撃の陰で見落とされがちですが、メールの誤送信やUSBメモリの紛失といった「古典的」な漏えいは、現在も後を絶ちません。委託業者がメールの宛先を誤り、本来BCCにすべきメールアドレスをTO/CCに入れてしまって関係者のアドレスが流出する事故や、業務データを保存したUSBメモリの紛失は、2026年に入っても各地で報告され続けています。
媒体そのものを物理的に移送する場面でも、同じリスクが付きまといます。CIO時代(2005〜2008年)には、個人情報を大量に格納したCD-Rを郵送でやり取りすることがありました。当時は受取人本人だけが受け取れる本人限定受取郵便を使っていましたが、それでも輸送中に紛失すれば大問題になる、という緊張感は常にありました。媒体に焼いて持ち運ぶ・送るという行為自体が漏えいの経路になりうることを、当時から痛感していました。
新卒エンジニア向けの教育現場で繰り返し伝えてきたのは、「高度な攻撃を語る前に、まず宛先とBCCを確認する習慣をつけよ」ということでした。技術的に高度な対策を導入しても、こうしたヒューマンエラーは制度と仕組みの両面で抑え込む必要があります。
DLP(Data Loss Prevention)の仕組みと種類
内部不正・誤操作による漏えいに対して中核となる技術がDLP(Data Loss Prevention:情報漏えい防止)です。DLPは「誰がアクセスしてよいか」を制御するアクセス制御とは発想が異なり、「データそのもの」に着目して、機密データが組織の外へ出ていこうとする動きを検知・ブロックします。
DLPとは何か:データに着目した出口対策
従来のアクセス制御は「人」や「アカウント」に権限を割り当てる仕組みです。これに対してDLPは、ファイルやメール本文といった「データの中身」を検査し、それが機密情報に該当する場合に、メール送信・USBへのコピー・クラウドへのアップロード・印刷といった操作を制限します。
たとえば、マイナンバーやクレジットカード番号を含むファイルを社外メールに添付しようとした瞬間に送信をブロックする、あるいは管理者に警告を上げる、といった制御がDLPの典型的な動作です。正当な権限を持つ従業員による持ち出し(内部不正・誤操作)にも対応できる点が、アクセス制御にはない強みです。
コンテンツ検査の方式
DLPがデータを「機密かどうか」判定する方法には、いくつかの方式があります。
- キーワード・辞書照合:「社外秘」「マイナンバー」など、あらかじめ登録した語句が含まれるかを検査する最も基本的な方式です。
- 正規表現によるパターンマッチ:クレジットカード番号やマイナンバーのように、桁数や形式が決まっている情報を、数値パターンとして検出します。
- フィンガープリント(データ指紋):保護対象の機密文書からあらかじめ特徴量(ハッシュ等)を抽出して登録しておき、その文書や部分的な引用が外部へ出ようとした際に照合して検知します。文書を少し編集しても追跡できる点が強みです。
- 機械学習による分類:契約書・設計書などの文書を学習させ、未知のファイルでも機密性の高いカテゴリに該当するかを推定します。
学び始めの人が陥りやすいのは「キーワード照合さえ設定すれば漏えいは防げる」という思い込みです。キーワードは登録漏れや表記ゆれに弱く、単独では取りこぼしが起きます。実務では複数方式を組み合わせ、検知精度と誤検知(フォールスポジティブ)のバランスを取るチューニングが欠かせません。
設置場所による分類
DLPは、どこでデータの流れを監視するかによって3種類に分けて理解すると整理しやすくなります。
エンドポイントDLPは、PCなどの端末にエージェントを常駐させ、USBメモリへのコピー・印刷・クリップボード経由の持ち出しといった端末上の操作を監視します。ネットワークを経由しないオフラインの持ち出しにも対応できるのが特徴です。
ネットワークDLPは、ゲートウェイやプロキシに設置し、メール送信やWebアップロードなど通信経路を流れるデータを検査します。多数の端末を一括で監視できますが、暗号化された通信(HTTPS)の中身を検査するにはSSL可視化(復号)の仕組みが必要になります。
クラウドDLPは、SaaSやクラウドストレージ上のデータを対象に、ファイルの公開共有設定の誤りやアップロードを検査します。クラウド利用の可視化・制御を担うCASB(Cloud Access Security Broker)と連携して機能することが多く、シャドーITによる無断のクラウド利用への対策にもつながります。
脱PPAPと安全なファイル共有
メール添付による情報のやり取りは、漏えいリスクの温床です。その象徴が「PPAP」と呼ばれる慣行で、近年は政府や大手企業が相次いで廃止に動いています。SC試験でも、メールセキュリティの文脈で代替手段の理解が問われます。
PPAPとは何か
PPAPとは、「Password付きZIPファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol」の頭文字を取った造語です。日本情報経済社会推進協会(JIPDEC)に所属していた大泰司章氏が2016年にこの慣行を問題提起する形で命名しました。ピコ太郎の楽曲名の響きが「プロトコルっぽい」という声からヒントを得た皮肉を込めたネーミングで、「セキュリティ対策をしているつもりの儀式」を風刺したものです。
具体的には、機密ファイルをパスワード付きZIPで暗号化してメールに添付し、その直後に同じ経路(メール)でパスワードを別送する、というやり取りを指します。
なぜPPAPは危険なのか
PPAPの最大の問題は、「同じ通信経路でファイルとパスワードの両方を送る」ことにあります。攻撃者がメールを盗聴・傍受できる状況であれば、ZIPファイルとパスワードの両方が同時に手に入るため、暗号化はまったく意味をなしません。鍵を玄関マットの下に隠すのと同じ構図です。
さらに深刻なのが、マルウェア検査の回避です。パスワード付きZIPは、メールゲートウェイのウイルススキャンやサンドボックスがパスワードを知らないために中身を検査できません。この性質を悪用したのが、2020年以降に猛威を振るったマルウェア「Emotet」です。Emotetはパスワード付きZIPに不正なファイルを仕込んで検査をすり抜ける手口を多用したため、結果として「パスワード付きZIPはむしろ危険」という認識が一気に広まり、脱PPAPの動きを後押ししました。
学び始めの人が混同しやすいのは、「パスワードをかける=安全」という思い込みです。ZIPのパスワード暗号化は、経路上の盗聴に対しても、マルウェア混入に対しても、本質的な防御にはなっていません。
そもそも、添付ファイルの圧縮はセキュリティ目的で根付いたものではありませんでした。CIO時代(2005〜2008年)に添付ファイルを圧縮していたのは、あくまで容量を小さくするためでした。当時、7-Zipなどでパスワードをかけようとすると「めんどくさい」と言われたものです。利便性を損なう「パスワード付与」が広まったのは後年のことで、しかもそれが本質的な防御になっていないのですから、いま惰性で続ける理由はありません。
安全な代替手段と脱PPAPの現実
PPAPに代わる安全なファイル共有手段は、「ファイルとパスワード(鍵)を別の経路に分離する」「経路自体を暗号化する」という考え方に基づきます。
- オンラインストレージでの共有:ファイルをクラウドストレージにアップロードし、メールではダウンロード用URLのみを送る方式。ファイル本体がメール経路を流れないため、メール盗聴のリスクから切り離せます。アクセス権・有効期限・ダウンロード履歴を管理できる点も利点です。
- S/MIME:電子証明書を用いてメール本文と添付ファイルそのものを暗号化・署名する方式。送受信者の正当性も担保できます。
- TLSによる経路暗号化:メールサーバー間の通信をTLSで暗号化し、経路上の盗聴を防ぎます。ただし経路の保護であり、ファイル単位のアクセス制御まではカバーしません。
もっとも、移行は道半ばです。政府は2020年11月に内閣府・内閣官房でのPPAP廃止を表明し、ソフトバンクや日清食品ホールディングスなど大手企業も相次いで脱PPAPを宣言しました。しかし企業全体での「脱PPAP」は7割程度が過渡期にあるとされ、最も安全とされる「添付ファイルをメールから分離してオンラインストレージで共有する」方式の導入率は、まだ10%台にとどまるという調査もあります。「パスワード付きZIPをやめた」だけで、安全な代替に移行しきれていない組織が多いのが実態です。
組織として漏えいを防ぐ:委託先管理と安全管理措置
技術的な対策(DLPや脱PPAP)だけでは、東海大学事件のような委託先経由の漏えいは防げません。情報漏えい対策は、技術・組織・人・物理の各面を組み合わせた総合戦であり、その骨格を定めているのが個人情報保護法です。
個人情報保護法が求める4つの安全管理措置
個人情報保護法は、個人データを取り扱う事業者に対し「安全管理措置」を義務づけています。ガイドラインでは、この措置を4つの側面に整理しています。
- 組織的安全管理措置:責任者の設置、規程の整備、漏えい時の報告・対応体制の構築。
- 人的安全管理措置:従業員への教育・訓練、秘密保持に関する取り決め。
- 物理的安全管理措置:入退室管理、機器・書類の盗難防止、持ち出し制限。
- 技術的安全管理措置:アクセス制御、アクセス記録(ログ)の取得、不正アクセス対策、そしてDLPのような漏えい防止技術。
DLPや脱PPAPは、このうち「技術的安全管理措置」の一部にあたります。技術だけを導入しても、教育(人的)や持ち出しルール(組織的・物理的)が伴わなければ穴が残る、という全体像を押さえておくことが重要です。
CIO時代に肝を冷やした出来事があります。ある社員が車上荒らしに遭い、車内に置いていたノートPCを持ち去られたのです。さらに問題だったのは、それが会社支給のPCではなく、本人が私物のPCで業務をしていたという事実でした。これは物理的安全管理措置(社外への持ち出し・盗難)と、会社が把握・管理していない私物端末で業務データを扱うシャドーITの問題が同時に表面化した典型例です。今であれば、私物PCでの業務は規程違反として即座に厳しく処分される案件でしょう。物理的な盗難対策と、誰がどの端末で業務データを扱うかの管理は、技術的対策と同じ重みを持ちます。
委託先の監督義務
個人情報保護法は、個人データの取り扱いを外部に委託する場合、委託元(委託する側)に対して「委託先を必要かつ適切に監督する義務」を課しています。委託契約を結べば責任を丸投げできるわけではなく、委託先が適切な安全管理措置を講じているかを確認し、監督し続ける責任が委託元に残ります。
東海大学事件で問われたのも、まさにこの点です。委託先に「データを持ち帰らない」というルールを定めていたにもかかわらず、それが遵守されているかを実効的に監督できていなかった結果、被害が拡大しました。委託先管理では、契約上のルール策定だけでなく、その遵守状況を監査・確認する仕組みまで含めて整備する必要があります。
私はCIO時代、自社が外部の委託先(受託側)となるケースが多い立場にいました。委託元からは個人情報や機密データの取り扱いについて様々な指示が飛んできます。指示に対応できなければ仕事を失いかねないという力関係もあり、委託元のルールを自社の現場一人ひとりにまで徹底させるのには、相当な苦労がありました。この経験から言えるのは、委託元が「ルールを示す」だけでは不十分で、委託先の現場で実際に守られる仕組み(手順への落とし込み・教育・監査)まで作り込めるかどうかが、漏えいを防げるかの分かれ目になるということです。監督義務は、契約書に一文を入れて終わりにできるものではありません。
退職者・内部不正への備え
内部不正の典型は、退職予定者による情報の持ち出しです。これに対しては、最小権限の原則(業務に必要な範囲のみアクセスを許可する)、退職時の速やかなアカウント無効化、そしてアクセスログの監査が基本となります。特権アカウントについては、PAM(Privileged Access Management:特権アクセス管理)で操作を記録・制限することが有効です。
ここで重要なのは、内部不正は正規の権限を持つ人間による持ち出しであるため、外部からの攻撃を防ぐ入口対策では止められないという点です。アクセス権を必要最小限に絞り、退職プロセスと権限剥奪を確実に連動させ、操作ログを継続的に監査する――こうした運用面の徹底があって初めて、DLPのような技術的対策が効果を発揮します。仕組みと運用は、どちらか一方だけでは漏えいを防ぎきれません。
SC試験での出題パターンと対策
情報漏えい対策は、SC試験の午前II・午後の双方で問われる頻出テーマです。技術用語の正確な理解と、事例問題での対策選択の両方が求められます。
午前IIで問われる用語の正確な理解
午前IIでは、DLP・CASB・PPAPといった用語の定義や役割を問う問題が出題されます。定番の引っかけは、DLPとアクセス制御の混同です。DLPは「データの中身に着目した出口対策」であり、「人に権限を割り当てるアクセス制御」とは別物である点を区別できるかが問われます。また、CASB(クラウド利用の可視化・制御)とDLP(データ漏えい防止)の役割の取り違えにも注意が必要です。
PPAPについては、「パスワード付きZIPは安全である」という選択肢が誤りの引っかけとして登場しやすく、「同一経路でのパスワード別送は盗聴に対して無力」「マルウェア検査を回避してしまう」という危険性を理解しているかが問われます。
午後で問われる事例への対策選択
午後問題では、企業を舞台にした漏えいシナリオが提示され、「この状況で適切な対策はどれか」を問う形式が中心です。委託先からの漏えいシナリオでは委託先の監督義務、メール誤送信のシナリオでは送信制御やBCC運用・宛先確認、クラウドの設定ミスのシナリオではクラウドDLPやCASBによる可視化、といった具合に、経路に応じた対策を結びつける力が求められます。
ここでの引っかけは、「外部攻撃の対策(ファイアウォール強化など)」を内部不正・誤操作のシナリオに当てはめてしまうミスです。漏えいの経路を見極め、入口対策と出口対策を使い分ける視点を持つことが、得点の分かれ目になります。
【演習】情報漏えい対策(DLP・脱PPAP・委託先管理)理解度チェック(全10問)
情報漏えい対策は、午前Ⅱで用語の役割のすり替え(DLPとアクセス制御の混同、CASBとの取り違え)が、午後で漏えい経路に応じた対策選択が問われます。定番の引っかけは、「パスワード付きZIPは安全」という思い込み、入口対策と出口対策の混同、委託契約を結べば責任を丸投げできるという誤解です。以下の練習問題で本記事の理解度を確認してみましょう。
まとめ:データの所在を握れる組織が漏えいに強い
情報漏えい対策を突き詰めると、行き着くのは「自組織のデータが、今どこにあり、どこへ流れているかを把握できているか」という一点です。冒頭で触れた自動PPAPサービスのように、本質的な防御になっていない慣行がつい2年前まで(おそらく今も)当たり前に使われている現実は、メール経路をめぐるデータの流れがいかに無自覚に放置されがちかを物語っています。外側に高い壁を築くことよりも、内側と委託先のデータの流れを可視化することのほうが、はるかに難しいのです。
東海大学事件が示したのは、外部攻撃の高度さよりも、「委託先にデータを持ち出させない」という基本ルールを実効的に監督できるかどうかが分かれ目になるという事実です。DLPは出口を、脱PPAPはメール経路を、委託先管理は組織の外縁を守る対策であり、これらは技術・組織・人・物理の安全管理措置として一体で機能してはじめて意味を持ちます。
新卒エンジニアの教育でも繰り返し伝えてきましたが、最新の攻撃手法を語る前に、宛先の確認・最小権限・データの持ち出しルールといった地味な基本を徹底できる組織こそが、結局のところ漏えいに強いのです。SC試験でも、用語の暗記にとどまらず「この漏えいはどの経路で、どの層の対策が効くのか」を結びつけて考える力が問われます。経路と対策の対応関係を一枚の地図として持っておくことが、午後問題を読み解く最大の武器になります。
参考資料
- ITmedia NEWS:東海大、ランサム被害で個人情報漏えい 最大19万人分 業務委託先がルール違反、データを持ち帰り
- 学校法人東海大学:業務委託先サーバへの不正アクセスに関する調査状況と対応について(第2報)
- PPAP(セキュリティ)- Wikipedia
- ビジネス+IT:PPAPの「名付け親」が解説、脱PPAPを妨げる「企業カルチャー」とは
- 個人情報保護委員会:個人情報の保護に関する法律についてのガイドライン(通則編)
- IPA:情報セキュリティ10大脅威2026
- IPA:情報処理安全確保支援士試験 問題冊子・解答例
本記事は情報処理安全確保支援士(SC)試験対策を目的として作成しています。このドキュメントで一部のコンテンツが無効になっています