ノートPCや業務用スマホの紛失・置き忘れは、攻撃を受けなくても起きる情報漏えいの典型です。対策の要点は、「持ち出す・紛失し得る」を前提に、ディスク暗号化・MDM・遠隔ワイプを組み合わせ、『紛失=漏えい』にならない設計へ変えることです。2026年6月には、ある大学で出張中の列車内にノートPCを置き忘れ、個人情報418件が流出する事案が公表されました。この端末はOSのログインパスワードすら設定されておらず、第三者が起動すれば操作できる状態だったと報じられています。
本記事では、この事例を起点に、紛失・盗難に備える技術的対策と初動対応、そして見落とされがちな「暗号化と法的義務の関係」を、情シス目線で整理します。
この記事でわかること
- 大学のノートPC置き忘れ事案で何が起きたのか
- 紛失・盗難に備える技術的対策の効果と限界
- 紛失発生時の初動対応と、個人情報保護法上の報告義務
- 「高度な暗号化措置」で漏えい報告が不要になり得るという考え方
何が起きたのか:大学のノートPC紛失事案
大学の公式リリース(2026年6月9日付)によると、教員が県外への出張で利用した列車内にノートPCを置き忘れ、降車後に気づいたものの、公表時点で未発見でした。メールサーバの通信ログ精査の結果、当該教員と過去にメールをやり取りしたメールアドレス・氏名等418件(学生47名分を含む)と、関連するメール本文・添付ファイルが流出した可能性があるとされています。
注目すべきは、この端末がOSログインにパスワードを設定しておらず、第三者が起動・操作できる状態だった点です(ディスク暗号化の有無は公表されていません)。一方、業務の主要データは外付けSSDに保存しており本件PCにはなかったこと、紛失判明と同日に当該教員のアカウント(メール・クラウド・業務システム)のパスワードを変更したことが、被害の緩和要因として説明されています。大学は規程で画面ロックや使用後のログアウトを義務づけていましたが、現場で運用が逸脱していたとされ、「ルールはあったが守られていなかった」という、多くの組織に共通する教訓を含んでいます。
紛失はどれくらい漏えい原因になっているか
東京商工リサーチの「2025年 上場企業の個人情報漏えい・紛失事故」調査(2026年1月公表)では、原因別で「紛失・誤廃棄」が18件(10.0%)と第3位でした。近年は端末の暗号化普及やクラウド化で比率は下がっていますが、1件あたりの本人特定や初動のコストが大きく、依然として無視できない原因です。やや古いJNSAの2018年調査では「紛失・置忘れ」が原因の上位を占めており、かつては漏えいの主要因でした。攻撃による漏えいが主役になった今も、紛失リスクは消えていないという位置づけです。
紛失・盗難に備える技術的対策
対策は単独では穴があり、組み合わせが前提です。代表的な対策と効果・限界を整理します。
| 対策 | 効果と限界 |
|---|---|
| ディスク暗号化(BitLocker / FileVault) | 紛失・盗難時に最も効果的。適切に運用されていれば中身を読めない。ただしログイン中・スリープ中の盗難、弱いPIN、鍵管理の不備で効果が損なわれる。 |
| 強固な認証(パスワード/PIN・多要素) | 起動・ログインを保護。単独では、暗号化していなければディスク取り外しで回避され得る。 |
| MDM(モバイルデバイス管理) | ポリシー強制、遠隔ロック・リモートワイプ・位置追跡の起点。業務用スマホ対策の中核。オフライン・電源オフ・SIM抜きではコマンドが届かない。 |
| 遠隔ロック・リモートワイプ | 紛失確定後の被害遮断。ネット接続が前提で、初動が遅れると効果が下がる。 |
| 端末にデータを置かない(VDI/クラウド) | 最も根本的。端末紛失が漏えいに直結しない。認証情報が端末に残ればクラウド側を狙われる点に注意。 |
紛失発生時の初動対応と法的義務
紛失が判明したら、発見者から情シス・責任者へ即時にエスカレーションし、アカウントの無効化・パスワード変更、MDMでの遠隔ロック/ワイプ、携帯ならキャリアへの回線停止連絡、警察への遺失届を速やかに行います。前述の大学が同日にパスワードを変更したのは、二次被害(アカウント不正利用)を断つ初動として理にかなっています。
法的には、個人情報保護法(令和4年4月施行の改正法)で、一定の漏えい等は個人情報保護委員会(PPC)への報告と本人通知が義務づけられています。報告対象は、(1)要配慮個人情報を含む、(2)財産的被害のおそれ、(3)不正の目的による漏えい等、(4)本人の数が1,000人超のいずれかに該当する場合です。紛失・盗難でもこれらに当たれば報告義務が生じ、速報は発覚からおおむね3〜5日以内、確報は30日以内(不正目的のおそれがある場合は60日以内)が期限とされています。
「高度な暗号化」で報告が不要になり得る
ここで実務上重要なのが、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられた個人データは、漏えい等の報告・本人通知が不要となり得るという考え方です。委員会の整理では、暗号化情報と復号鍵の分離・鍵漏えい防止、遠隔での暗号化情報や鍵の削除機能、第三者が鍵を行使できない設計などが目安とされます。つまり、ディスク暗号化+MDMによる遠隔ワイプ+適切な鍵管理がそろって初めて、「報告不要」の盾になり得るわけです。逆に、前述の大学のようにパスワードすら未設定では、当然この保護は受けられません。暗号化は事故対応コストそのものを左右する、と捉えるべきでしょう。
現場目線の所感
出張やテレワークが当たり前になった今、「持ち出さない」は非現実的です。前提を「持ち出す・いつか紛失する」に置き換え、技術で『紛失≠漏えい』を作るしかありません。難しいのは運用の徹底で、規程があっても現場が逸脱すれば意味がない、という点は今回の事例が示すとおりです。だからこそ、人の注意に依存せず、MDMで暗号化やパスワードを強制し、ポリシー違反端末をブロックするといった「技術的な強制」が現実解になります。具体策は、まず総務省「テレワークセキュリティガイドライン」やIPAの中小企業向けガイドラインを出発点にすると整理しやすいでしょう。あわせてセキュリティ対策・運用や法令・ガイドラインのカテゴリもご覧ください。
まとめ
- 大学のノートPC置き忘れで418件が流出。OSパスワード未設定で第三者が操作可能な状態という、運用破綻の典型例だった。
- 紛失は今も無視できない漏えい原因。ディスク暗号化・MDM・遠隔ワイプ・データを端末に置かない設計を組み合わせて備える。
- 「高度な暗号化措置」がそろえば、個人情報保護法上の漏えい報告が不要になり得る。暗号化は事故対応コストを左右する。
出典
- 個人情報保護委員会「漏えい等報告・本人通知の義務化」:https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
- 総務省「テレワークセキュリティガイドライン(第5版)」:https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
- IPA「中小企業の情報セキュリティ対策ガイドライン」:https://www.ipa.go.jp/security/guide/sme/about.html
- 東京商工リサーチ「2025年 上場企業の個人情報漏えい・紛失事故」調査:https://www.tsr-net.co.jp/data/detail/1202348_1527.html
