「ウイルス対策とファイアウォールは入れている。だから自社は大丈夫」——もしそう考えているなら、2025年から2026年にかけて起きた変化を見落としているかもしれません。情報漏洩の原因は、もはや「外から攻め込まれる」ことだけではなくなりました。正規の社員が、悪意なく、業務のために機密を外へ出してしまう。生成AIの普及は、その新しい経路を一気に広げています。本記事ではIPAの公的資料と、東京商工リサーチ・帝国データバンクの最新調査をもとに、2026年に守るべき本当の急所を整理します。
数字が示す現実|件数より「規模」が爆発した1年
過去2番目の件数、人数は前年の約2倍
情報漏洩の現状を語るとき、まず押さえるべきは信頼できる調査データです。2025年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は180件にのぼり、歴代2番目の多さでした[1]。事故を公表した社数は158社と、過去最多を更新しています[1]。
注目すべきは件数よりも被害の「規模」です。漏えい・紛失した個人情報は3,063万人分を超え、前年比でおよそ2倍に膨れ上がりました[1]。100万人を超える大型事故が6件発生したことが、この急増を押し上げています[1]。つまり、件数が高止まりでも一件あたりのインパクトが桁違いに大きくなっているのです。
原因の6割は「ウイルス感染・不正アクセス」、しかし内訳を読み違えてはいけない
では、何が漏洩を引き起こしているのか。原因別では「ウイルス感染・不正アクセス」が116件と全体の6割を占め、依然として最大の脅威です[1]。次いで「誤表示・誤送信」が37件、「紛失・誤廃棄」が18件と続きます[1]。
ここで多くの企業が陥りがちなのが、この構成比をそのまま対策の優先順位だと考えてしまうことです。確かに件数ではこの区分が圧倒的ですが、被害人数を爆発させるのは少数の大型事故です。そこには外部からの侵入だけでなく、委託先や内部の管理の甘さが絡む場合もあります。件数ランキングの上から順に手を打つのではなく、「一度起きたら被害が桁違いになる経路はどこか」という視点が欠かせません。
脅威の地図が書き換わった|2026年の新顔とは
「AIのサイバーリスク」が初登場で3位に
公的機関による脅威評価も、この1年で様変わりしました。IPA(独立行政法人 情報処理推進機構)が毎年公表する「情報セキュリティ10大脅威」の2026年版では、1位がランサム攻撃、2位がサプライチェーンや委託先を狙った攻撃となっています[2]。この上位2つは4年連続で顔ぶれが変わりません[2]。
変化が現れたのは3位です。「AIの利用をめぐるサイバーリスク」が初めて選出され、いきなり3位に食い込みました[2]。生成AIが急速に業務へ浸透した結果、AI特有の弱点を突く攻撃や、AIを悪用した攻撃の高度化が現実の脅威として認識され始めたことを示しています。
内部不正は7位、しかし「正規の権限」が盲点になる
同じランキングで、内部不正による情報漏えいは7位に位置づけられています[2]。順位だけ見れば中位ですが、軽視はできません。退職者や現職者が機密を持ち出す典型は、正当な権限の悪用や離職者アカウントの悪用、USBメモリ・メール・クラウドストレージ経由の持ち出しです[2]。いずれも「正規に与えられたアクセス権」が起点になります。
実態調査はこの危うさを裏づけます。過去5年以内に営業秘密の漏えい、またはその可能性を認識している企業の割合は35.5%に達しました[3]。これは2020年度調査の5.2%から大幅に増えた数字です[3]。外部の攻撃者を締め出す対策だけでは、内側から正規の鍵を使って持ち出される事態を防げません。
生成AIが開いた「意図しない漏えい」の経路
悪意なく機密を差し出してしまう構造
2026年の情報漏洩を語るうえで避けて通れないのが、生成AIの利用そのものが新たなリスク源になっている点です。帝国データバンクの調査では、生成AIを業務で活用している企業は34.5%にのぼり、活用企業の86.7%が効果を実感しています[4]。普及が進むほど、リスクの裾野も広がります。
懸念事項として企業が最も多く挙げたのは「情報の正確性」で50.4%、これに情報漏洩のリスクなどが続きました[4]。海外の大手メーカーでは、従業員が業務上のプログラムコードを生成AIに入力したことが発覚し、同社が生成AIの利用を一時制限したと報じられました[5]。攻撃を受けたわけではなく、便利だから使った結果として漏れる——これが従来のウイルス対策では捉えきれない、まったく新しい経路です。
防御の重心は「入口」から「権限と入力の統制」へ
ここまでの流れを重ねると、一つの方向性が浮かび上がります。漏洩対策の重心が、外部からの侵入を防ぐ「境界防御」から、誰が何にアクセスでき、何を外部サービスへ入力できるかを管理する「内側のガバナンス」へと移っているのです。
内部不正にせよ生成AIへの誤入力にせよ、共通するのは「正規の利用者が、正規の権限で」情報を外へ出す点にあります。だからこそ、退職・異動に合わせてアクセス権を確実に失効させる権限管理、機密を社外のAIに入力させない利用ルール、そして誰がどのデータを扱えるかを制御する仕組みが、ファイアウォールの追加よりも効く局面が増えています。
2026年にやるべき漏えい防止策の優先順位
まず「正規アクセス」を統制する
具体的な打ち手は、派手な新技術の導入ではありません。第一に、人事異動や退職と連動してアカウントとアクセス権を速やかに無効化する運用を整えることです。離職者IDや不要なアクセス権の放置は不正アクセスや不正操作を招きうるため、異動・退職時の即時失効が重要だからです[2]。
第二に、誰がどの情報資産にアクセスできるかを棚卸しし、「業務に必要な最小限」へ絞り込むことです。全社員が全データへ届く状態は、一件の不正や誤操作が大型事故へ直結する構造そのものを抱え込んでいることを意味します。
生成AIは「禁止」ではなく「統制して使う」
第三に、生成AIへの対応です。職場に使える環境がなければ、社員が個人のAIを業務に使う「シャドーAI」が広がり、かえって管理の効かない経路が増えかねません。効果を実感する企業が9割近い以上[4]、現実解は「安全に使える環境を会社が用意する」ことにあります。
入力データが再学習に使われない法人向けの仕組みを選び、機密を扱える人と扱えるデータを権限で制御し、何を入力してよいかのルールを明示する。こうした統制のもとで社内AIを運用すれば、利便性を保ちながら「意図しない漏えい」の経路を塞げます。情報の正確性への懸念[4]も、社内データの参照やルール整備で一定程度は抑えられます。ただし生成結果の事実確認は依然として欠かせません。
さいごに
2026年の情報漏洩対策で問うべきは、「外からの攻撃をどう防ぐか」だけではありません。むしろ「正規の権限を持った人が、悪意なく、あるいは悪意をもって機密を外へ出す経路をどう塞ぐか」が新たな主戦場です。件数の6割を占めるウイルス感染・不正アクセスへの備えは当然として[1]、被害規模を桁違いにする大型事故と、生成AIが開いた意図しない漏えいに、いま手を打てているか。
ファイアウォールを一段強くするより、誰が何にアクセスでき、何を外部へ入力できるかを設計し直すこと。それが、脅威の地図が書き換わった2026年に効く防御です。自社のアクセス権限と生成AIの使われ方を、一度棚卸しすることから始めてみてはいかがでしょうか。
出典
- [1] 2025年「上場企業の個人情報漏えい・紛失事故」調査 – 東京商工リサーチ
- [2] 情報セキュリティ10大脅威 2026 – IPA(情報処理推進機構)
- [3] 企業における営業秘密管理に関する実態調査2024 – IPA(情報処理推進機構)
- [4] 生成AIに関する企業の動向調査(2026年3月) – 帝国データバンク
- [5] ChatGPT fever spreads to US workplace, sounding alarm for some – Reuters
この記事を書いた人
