BPOでの情報漏えいリスクを解決するセキュリティ対策とは?
2025/5/9
労働人口の減少に伴い、BPOを活用する企業が増えています。
人材のリソース不足や、業務効率の改善のため、外部に業務を委託して生産性を上げるにはBPOは便利なサービスです。
しかし、BPOにはメリットと同時にデメリットもあります。特に情報漏えいやサイバー攻撃のリスクなどは事前に確認しておきたいポイントです。
この記事ではBPOのメリットとデメリットとそれらを踏まえた委託先を選ぶ際のポイント、また、セキュリティインシデントの事例とサイバーセキュリティ対策について、詳しく解説します。
BPOとは
BPOとは、Business Process Outsourcingの頭文字を取った略語で、業務プロセスの一部を外部に委託することです。定常化されている業務や、自社内で対応できる専門人材がいない場合など、人材を新たに雇用するのではなくBPOを利用することで効率的に事業を推進できます。
BPOと似た言葉に「アウトソーシング」がありますが、厳密にはBPOとアウトソーシングは業務の範囲が異なります。通常のアウトソーシングでは、企業のコアとなる業務は扱わず、ノンコアの業務を切り分けて委託します。
例えば、経理業務であれば、給与計算や税務処理など一部の業務だけを外部に委託するのがアウトソーシングです。一方BPOでは経理部門そのものを外部に委託し、経理業務全体の課題を洗い出し、改善・実行します。BPO専門の事業会社によっては、業務改善のコンサルティングも委託範囲に含まれます。
BPOの対象となる業務領域
とはいえ、BPOの対象となる業務の領域は、自社事業にとってコアとなるものよりも、アウトソーシングしやすいノンコア業務となることが一般的かもしれません。
具体的には以下のように、人事や経理、営業、情報システム、コールセンターなどの業務が挙げられます。
BPOの対象となる業務領域
| 業務領域 | おもな業務内容 |
|---|---|
| 人事 |
|
| 経理 |
|
| 営業 |
|
| 情報システム |
|
| コールセンター |
|
BPOのメリットとデメリット
BPOには、メリットの一方でデメリットもあります。業務プロセスを外部委託する際は、どのようなメリットとデメリットがあるかを事前に確認しておきましょう。
BPOのメリットとデメリット
| メリット | デメリット |
|---|---|
|
|
BPOのメリット
BPOのメリットは、なにより企業のコアな業務にリソースを集中できることです。ノンコアな業務をアウトソーシングし、収益に直結するコア業務にリソースを集中させることで、製品・サービスの質や生産性の向上に注力でき、売上の増加につなげることができます。
また、部署や部門の業務を一括して外部に委託するBPOであれば、人件費などのコストを削減することができます。
BPOのデメリット
一方、BPOのデメリットとしては、機密情報が漏えいするリスクがあることに注意しなければなりません。もちろん、BPOの委託先や従業員とは秘密保持契約を交わすことが前提となりますが、不測の事態やサイバー攻撃などにより情報が漏えいすることもあります。取引先の顧客情報や社員の個人情報などが社外に漏えいした場合、管理体制を問われることになります。
自社内に業務のノウハウが蓄積されないこともBPOのデメリットといえます。特定の業務を外部に委託するのがBPOですが、その業務を再度インハウス化しようとした場合は、再び部署や部門、担当者などを配置しなければならなくなります。
BPOの委託先を選ぶ際の3つのポイント
それでは、BPOの委託先を選定する場合、どのようなことに注意すれば良いのでしょうか。委託先を選定する際の3つのポイントを、以下に詳しくご紹介していきます。
BPOの委託先を選ぶ際の3つのポイント
| ポイント | 内容 | |
|---|---|---|
| 1 | 委託する業務に対応できるか? |
|
| 2 | 委託コストが適正かどうか? |
|
| 3 | セキュリティ対策がしっかりしているか? |
|
委託したい業務に対応できるか?
BPOを実施する前に、まず委託する業務範囲を明確にします。自社内に人材のリソースが不足している、あるいは知見が乏しいなどの業務があれば、アウトソーシングすることで効率化が図れます。
次に、委託したい業務を専門に行っているBPO企業を探します。専門性が高いBPO事業者であれば、スムーズに業務代行が行えますし、業務改善の提案なども期待できます。
コールセンター業務を専門的に行っているBPO事業者であれば、カスタマーのサポートやクレーム対応などのノウハウを持っています。また、情報システム部門を委託するのであれば、自社で導入しているシステムやアプリケーション、SaaSサービスなどに習熟したエンジニアなどを手配することができます。
ただし、委託したい業務のすべてにBPO事業者が対応できるとは限りません。委託する業務量が多いと対応しきれないケースも起こり得ます。BPOを実施する場合は、事前に委託する業務量と委託先のキャパシティも検討しましょう。
委託コストが適正かどうか?
BPOを委託する際の料金相場が、適正かどうかをチェックしましょう。BPOの相場を検討するには、複数のBPO事業社から相見積もりを取り、比較することをおすすめします。
そして、最適と思われるBPO事業者を選び、どのくらいコスト削減や成果(BPO後の収益アップ)が期待できるかを試算してみましょう。場合によっては、委託するコストよりも自社内で対応したほうが安く済むかもしれません。自社内で対応する場合の人件費なども、事前に確認しておきましょう。
セキュリティ対策がしっかりしているか?
BPOの委託先を選ぶ際にもっとも注意すべきなのは、情報のセキュリティ対策を十分に取っている事業者であるかという点です。BPOでは、自社開発の製品やサービスなどの機密情報、顧客情報や取引履歴、社員の個人情報など、さまざまな情報を委託事業者とシェアすることになります。
企業が保有している情報
| 情報の種類 | 概要 |
|---|---|
| 機密情報 | 独自製品の開発情報や営業秘密など、外部に開示する予定がない情報 |
| 個人情報 | 氏名や生年月日などの組み合わせで、特定の個人を識別できる情報 |
| 顧客情報 | 顧客のクレジットカード番号や連絡先、問い合わせ履歴など、顧客に関わるすべての情報 |
情報の流出や漏えいがないよう、コンプライアンスに基づいて情報管理を適切に行っているBPO事業者かを見極める必要があります。以下のポイントが判断材料となります。
プライバシーマークやISMS認証を取得しているか?
一番確かな方法は、プライバシーマークやISMS(情報セキュリティマネジメントシステム)認証を取得しているかどうかです。これらの認証は、情報を適切に取り扱う体制が整っている企業のみに付与されるため、社会的な信用が得られているものと判断できます。
BPO事業の業務実績が豊富か?
もう一つの判断材料としては、BPO事業の業務実績です。専門性の高い業務を委託されているBPO事業者であれば、豊富な事業実績や業務事例を持っているはずです。特に大手企業のBPOを委託されている実績は、それだけ専門的な知識や技術力のある委託先と考えられます。
BPOで注意すべき情報漏えいのリスク
BPOを委託する前に、情報漏えいのリスクについても確認しておきましょう。
以下は、東京商工リサーチが発表した調査結果です。
漏えい・紛失事故年次推移
出典: 東京商工リサーチ「2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分」
これは、2024年に上場企業とその子会社が公表した「個人情報漏えい・紛失」事故の件数で、過去最多の189件、漏えい情報は1,586万人分となっています。上場企業では業務を外部に委託する場合も多いため、BPOの導入による情報漏えいのリスクも高いものと想定されます。
次に情報漏えいが起こる原因と影響について、詳しく見てみましょう。
情報漏えいの原因
情報漏えいが起こる原因には、大きく分けて以下の3つがあります。
情報漏えいの原因と事例
| 原因 | 事例 |
|---|---|
| サイバー攻撃 |
|
| 人的ミス |
|
| 内部不正 |
|
先の東京商工リサーチの調査によると、2024年に発生した情報漏えい・紛失の原因の割合がわかります。
情報漏えい・紛失 原因別
出典: 東京商工リサーチ「2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分」
サイバー攻撃
サイバー攻撃による情報漏えい事故は2019年以降、6年連続で最多を更新し、右肩上がりで増加しています。2024年はランサムウェア(身代金要求型ウイルス)などの「ウイルス感染・不正アクセス」が原因となった被害が6割を占めました。特に業務委託先が被害を受け、顧客情報が流出するケースなどが目立ったという報告もされています。
人的ミス
また、人的ミスが原因の情報漏えい事故は3割以上にのぼりました。メールの公開設定や送信先を誤る「誤表示・誤送信」、重要な情報が記載された書類や記録媒体を紛失する「紛失・置き忘れ」、重要書類や記録媒体のデータを消さずに廃棄する「誤廃棄」などです。
業務委託先との顧客情報の共有など、個人情報の不適切な取り扱い事例も発覚しており、ガバナンスやリテラシーの低さに起因するヒューマンエラーが原因の情報漏えい事故も起こっています。BPOの委託先が安全に情報管理できているか事前に確認しましょう。
内部不正
従業員が意図的に情報を持ち出したことによる情報漏えいの被害も少なくありません。東京商工リサーチの調査結果では1割もありませんが、実際に漏えい・紛失した個人情報の人数の平均では、「不正持ち出し・盗難」が最多の22万4,782人分にのぼっています。
情報漏えいの影響
情報漏えいが発生した場合、さまざまな影響が生じます。
どのような影響があるのかを整理すると、以下のような事柄が想定されます。
情報漏洩の影響
| 影響 | 事例 |
|---|---|
| 企業の信頼失墜や業績悪化 |
|
| 対応コストと損害賠償 |
|
| 法的な処罰を受けるリスク |
|
経営不振につながる
ひとたび情報漏えいが発生すると、全社を挙げて対応に追われることとなります。それまで行っていた取引を一時停止させて、原因究明や再発防止に努めなければなりません。その間、事業を稼働できなくなり、営業機会や利益の損失、事業の中断、中でも従業員の人件費など固定費の支出による損害も発生します。
また、顧客や取引先からの社会的信頼が低下し、ブランドイメージの損害を受けるため、風評被害や顧客離れ、株価の下落などを招き経営不振に陥る可能性があります。
さらに、取引先への対応やセキュリティ強化対策による従業員の業務負担が増加し、社内のモチベーションが低下することも予想されます。
対応コストと損害賠償
情報漏えいへの対応(事故対応損害)や損害賠償にも、膨大なコストがかかります。中小企業であっても数千万円単位、場合によっては億以上のお金がかかるとされています。(✳︎)
情報漏えい事故の発生から収束までのすべての対応を自社だけで行うことは困難です。インシデントが発生した際は、専門の調査会社による鑑識調査「フォレンジック調査」を委託し、その費用を負担することになります。
また、個人情報や機密情報が漏えいした場合、顧客や取引先から損害賠償を請求されるケースもあります。その訴訟費用や罰金などが発生する可能性もあります。
法的な処罰を受けるリスク
機密情報の漏えいには、規制当局から法的な処罰などの制裁を受けるリスクが発生します。たとえば、個人情報保護法(個人情報の保護に関する法律)は個人情報を扱うすべての事業者に適用され、厳しい罰則が定められています。
個人情報を漏えいした場合、行為者個人や法人に対して、懲役刑や罰金刑が科される可能性があります。個人の場合は1年以下の懲役か50万円以下の罰金刑、法人であれば最大1億円の罰金刑が言い渡される恐れもあり(✳︎)、遵守する体制作りが必要です。
✳︎(参考)e-GOV「個人情報の保護に関する法律」
BPO導入に伴うサイバー攻撃のリスク
業務委託先のBPOや取引先を含むサプライチェーンを狙ったサイバー攻撃は、年々増加傾向にあります。
IPA(独立行政法人 情報処理推進機構)では、毎年「情報セキュリティ10大脅威」を発表しています。年ごとに増加した情報セキュリティインシデントや傾向をランキングで順位付けしたもので、2025年の「組織」部門では以下のような結果が出ています。
情報セキュリティ10大脅威 2025(組織)
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
出典: IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2025 [組織]」
東京商工リサーチの調査でも、情報漏えい・紛失事故を媒体別に調査しています。
情報漏えい・紛失事故件数 媒体別
出典: 東京商工リサーチ「2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分」
このように、IT化やDX推進に伴い、事業システムやネットワークがサイバー攻撃の標的となるリスクは高まっているといえるでしょう。
株式会社イセトーのインシデント事例
BPOの委託先が、システムやネットワークのセキュリティ対策を怠っていた場合、どのような被害が出るかがわかる事例があります。2024年5月に発生した株式会社イセトーのインシデントです。
イセトーは全国の自治体や企業から業務を委託されていました。同社へのサイバー攻撃により、同社に業務を委託していた企業や自治体が、自社のデータ漏えい・流出の被害を相次いで発表しました。漏えいした恐れのある個人情報は少なくとも、のべ150万件近くにのぼると報道されています。
この章では、株式会社イセトーのインシデント事例から、BPOを委託するリスクを具体的に確認していきます。
情報漏えいの経緯
2024年5月26日、サイバー攻撃者による不正アクセスを受け、イセトー社の情報処理センターのサーバーや全国営業拠点の端末が、ランサムウェアによって暗号化されました。
6月10日、ランサムウェア「8base」(エイトベース)による攻撃と特定し報告。8Baseは2023年に出現したランサムウェア攻撃グループで、不正アクセスで侵入したターゲットのファイルを暗号化し、リークサイト上でデータをダウンロードできる状態に公開して、身代金を要求するハッカー集団です。
6月18日には攻撃者グループのリークサイトに窃取された情報を公開するためのダウンロード用URLが掲載され、データ漏えいを確認して委託元へ報告。
10月4日、フォレンジック調査が完了し、漏えいしたデータがダウンロードできない状態になったことを確認しました。
2024年株式会社イセトーの情報漏えいの経緯
| 日付 | 経緯 |
|---|---|
| 5月26日 | 株式会社イセトーの複数のサーバーやPC端末でランサムウェア被害が発生 |
| 5月29日 | ランサムウェア被害を公表 |
| 6月10日 | ランサムウェア攻撃グループ「8base」による攻撃と特定して報告 |
| 6月18日 | データ漏えいを確認して報告 |
| 6月20日 | 外部からの侵入経路の特定を報告 |
| 7月3日 | 情報漏えいの事実を公表 |
| 7月23日 | イセトーの会長が謝罪 |
| 9月2日 | イセトーが取得していたISO27001認証およびISO27017認証の一時停止を公表 |
| 10月4日 | フォレンジック調査の完了を報告 |
| 12月24日 | イセトーが取得していたプライバシーマーク付与を一時停止(3ヶ月間)を公表 |
情報漏えいの被害規模
株式会社イセトーのセキュリティインシデント(2024年)の被害規模
| 発表日 | 委託元分野 | 被害規模 |
|---|---|---|
| 6/7 | 自治体 | 34人の個人情報漏えいの可能性 |
| 6/7 | 自治体 | 18人分の個人情報漏えいの可能性 |
| 6/7 | 自治体 | 1605人分の個人情報漏えいの可能性 |
| 6/7 | 金融 | 個人情報漏えいの可能性 |
| 6/8 | 自治体 | 80件の個人情報漏えいの可能性 |
| 6/10 | 自治体 | 個人情報漏えいの可能性 |
| 6/10 | 自治体 | 個人情報漏えいの可能性 |
| 6/11 | 自治体 | 1件の個人情報漏えいの可能性 |
| 6/11 | 自治体 | 78件の個人情報漏えいの可能性 |
| 6/11 | 自治体 | 286件の個人情報漏えいの可能性 |
| 6/12 | 自治体 | 32件の個人情報漏えいの可能性 |
| 6/13 | 自治体 | 46件の個人情報漏えいの可能性 |
| 6/17 | 自治体 | 37件の個人情報漏えいの可能性 |
| 6/21 | 金融 | 個人情報漏えいの可能性 |
| 6/26 | 金融 | 18件の情報漏えいの可能性 |
| 6/27 | 保険 | 1万3150名分の個人情報漏えい |
| 6/27 | 金融 | 1253件の個人情報が漏えい |
| 6/29 | 教育・学習塾 | 75万7195名の個人情報漏えい |
| 7/1 | 金融 | 6万1424件の情報漏えいの可能性 |
| 7/1 | 金融 | 17名の個人情報漏えいの可能性 |
| 7/2 | 民間団体 | のべ4万1819件の個人情報が漏えい |
| 7/2 | 自治体 | 101件の個人情報漏えいの可能性 |
| 7/2 | 自治体 | 督促書類14ファイルが漏えいの可能性 |
| 7/2 | 保険 | 1082件の個人情報漏えい |
| 7/2 | 保険 | 1団体・11名の情報漏えい |
| 7/3 | 自治体 | 159人(177件)分の個人情報が漏えい |
| 7/3 | 自治体 | 15万1421件の個人情報が漏えい |
| 7/3 | 自治体 | 約14万4455名(約20万件)の個人情報漏えい |
| 7/3 | 自治体 | 75名の個人情報が漏えい |
| 7/3 | 金融 | 25万4659件の個人情報が漏えい |
| 7/4 | 自治体 | 約15万人の個人情報が漏えい |
| 7/4 | 金融 | 個人情報漏えいの可能性 |
| 7/4 | 保険 | 19名分の個人情報が漏えい |
| 7/4 | 金融 | のべ3771件の情報が漏えい |
| 7/4 | 金融 | 2702件の個人情報が漏えい |
| 7/4 | 金融 | 5008件の個人情報が漏えい |
| 7/5 | 金融 | 2704件の個人情報が漏えい |
| 7/5 | 金融 | 3717件の個人情報が漏えい |
| 7/5 | 金融 | 1717件の個人情報が漏えい |
| 7/8 | 学習塾運営 | 24件の個人情報が漏えい |
| 7/10 | アウトドア用品製造・販売 | 203名の個人情報漏えいの可能性 |
| 7/12 | オフィス機器販売 | 約100件の個人情報が漏えい |
| 7/19 | 金融 | 21名の個人情報が漏えい |
被害は全国の自治体、金融機関、保険会社など、多岐にわたっていることがわかります。
これらの情報漏えいにより、委託していた業務の遅延や漏洩の可能性などを発表したほか、一部の企業では帳票輸送サービスを停止するなど、業務に大幅な支障が発生しました。
情報漏えいの原因
イセトー社から情報が漏えいした原因は、情報の取り扱いの不手際でした。
イセトーの社内ネットワークは、個人情報を扱う業務系ネットワークと、個人情報を扱ってはいけない基幹系ネットワークに分けられていました。しかし、本来は個人情報を取り扱ってはならない基幹系ネットワークのサーバーに、作業の効率を図るため個人情報データを便宜的に保管し、業務終了後も速やかに削除できていませんでした。
ランサムウェア攻撃を受けたのは基幹系ネットワークだけでしたが、VPN(仮想専用通信網)への不正アクセスによりネットワークに侵入され、ランサムウェア攻撃を受けました。その結果、帳票データや検証物の個人情報が窃取されています。
再発防止のセキュリティ対策
インシデント後、イセトー社は再発防止のため、以下のセキュリティ対策を実施し、信頼回復に努めるとしています。
- 侵入経路となったVPNを使用しない体制とし、さらに認証強化を図り不正アクセスが起こらない環境を構築
- 環境を構築するまでの間は、外部ネットワークとの接続を制限して業務対応
- 受託業務におけるデータは管理区域外へ移送できない環境を構築し、業務上必要なデータは取り扱いルールに従って業務の終了後に削除
- これらのルールが遵守されるよう監査を徹底
- 社員に対して個人情報を含む情報セキュリティに関する教育とルール遵守に関する研修の実施
BPO委託先にもセキュリティアセスメントが必要
近年は、BPOを含む外部委託先やサプライチェーンとの業務分担やアウトソーシングが進み、企業間で個人情報データを共有する機会が増えています。自社のシステムやネットワークに対するセキュリティ対策は実施していても、外部委託先やサプライチェーンに十分なセキュリティ対策を取れているか把握できない場合もあります。
上記のインシデント事例のイセトーでは、不正アクセスはVPNを介してネットワークに侵入されたことが明らかにされましたが、ログ取得が十分ではなかったため、どのように侵入されたのかの詳細は解明されませんでした。また、VPN機器は数年前から最新のパッチが適用されておらず、ネットワーク管理者のパスワードは推測可能な同じものを7年間使用していたことが判明しています。
IIJが提供するセキュリティリスク可視化サービス「 IIJ Safous Security Assessment」は、情報セキュリティ対策が必須となった現在に欠かせない、アタックサーフェスを手軽に診断できるリスクアセスメントサービスです。ビシネスの継続を脅かす重大なセキュリティインシデントの発生を事前に抑えるためにも、早急な対策を検討してください。
サービスについてより詳しくは、下記からご参照ください。
