フィッシング詐欺とは?中小企業が特に注意すべき手口と法的リスク
2025年05月13日
フィッシング詐欺の脅威は「大企業だけの問題」ではありません。
フィッシング詐欺は近年、中小企業にも深刻な影響を与えています。従業員の不注意による情報流出が、取引先や顧客にまで損害を及ぼす可能性があります。
「社員がうっかり怪しいメールを開いてしまった」「取引先を装った請求書メールに振り込んでしまった」など、日常業務の中で起こり得ることが、重大な法的・信用上のトラブルにつながる可能性があります。
本記事では、フィッシング詐欺の仕組み・手口・中小企業の事例、そして企業に求められる法的対応について、法律事務所の視点から分かりやすく解説します。
フィッシング詐欺の基本的な仕組み
フィッシング詐欺とは、実在する金融機関やショッピングサイトを装ったメールやSNSを送り、これらのウェブサイトとそっくりの偽サイトに誘導するなどして、口座情報やパスワード、暗証番号などの個人情報を詐取する犯罪です。
主に、サイト構築型とメール送信型の2パターンがあります。
サイト構築型は、公式のウェブサイトにそっくりなサイトを公開し、そのサイトに個人情報を入力させ、詐取する方法です。
メール送信型は、メール本文に個人情報を入力することを誘導する文章があり、個人情報を詐取する方法です。
詐欺者は、公式ロゴや文面を巧妙に模倣し、本物と見分けがつかないレベルのサイトやメールを作成し、ユーザーを騙します。
中小企業の場合、情報セキュリティ教育が徹底されておらず、被害が広がりやすい傾向にあります。
代表的な手口と最近の傾向
- 宅配業者を装ったSMS:「再配達のご案内」などと称して偽サイトへ誘導
- 金融機関を装ったメール:「口座の凍結」「不審な取引検出」といった緊急性のある件名
- 取引先を装った業務メール:「請求書の送付」「確認依頼」などビジネス上自然な文面
- お金がもらえるかのように偽ったメール:「1億円が当選しました」「還付金のお知らせ」など口座情報などの情報を入力したくなるような文面
- ウイルス感染を装ったメール:「緊急のお知らせ」など平静を失わせるような文面
最近では、AIが生成した自然な日本語を用いたフィッシングメールも登場し、見抜くのがより困難になっています。
実際にあった中小企業での被害事例
- DropboxやOffice 365のような仕事上利用しているサービスを装ったメールが送信され、社内の情報を盗まれる(参照:TECH+)
- 人事プラットフォームを装ってメールを送信され、人事ポータルサイトにログインして個人情報を更新するように求め、個人情報が流出(参照:KnowBe4)
- 被害者にアカウントや購読情報が取り消された、または停止されたと警告して、自分のアカウントにログインして支払情報を入力するように求め、個人情報が流出(参照:ITmedia NEWS)
いずれも「従業員のミス」に見えるかもしれませんが、企業の情報管理体制が不十分であると判断されると、損害賠償責任など法的な責任を問われるリスクがあります。
フィッシング詐欺と法律:企業が問われる責任とは
行政に対する責任
個人情報保護法との関係から、個人情報取扱事業者は、以下の義務を負っています。
- 安全管理義務(20条)
- 従業員に対する監督義務(21条)
- 委託先に対する監督義務(22条)
そのため、企業が個人情報を漏洩した場合、上記それぞれの義務違反が認められる可能性があります。
これらの義務違反が認められた場合、個人情報保護委員会による報告徴収、立入検査、指導、助言、勧告、命令(40~41条)を受けることになります。
刑事責任
不正アクセス禁止法においては、正規利用者のIDやパスワードを第三者へ無断で提供したり、不正に保管する行為が禁止されています。
違反した場合には、1年以下の懲役または50万円以下の罰金が科されており、万が一、従業員がこのような犯罪行為を行った場合には、企業の信頼は失墜することになります。
顧客への責任
個人情報保護法上は顧客への責任に関する規定はありませんが、当然、不法行為に該当する行為を従業員が行い、その結果、個人情報が流出すれば、従業員は民法上の不法行為責任を負うことになります。
さらに、企業は使用者責任を負う場合があります。
その他、利用規約等において、個人情報の取り扱いについて、しっかりとしたセキュリティ対策を企業側に義務付ける内容の記載があり、それが契約内容となっている場合には、債務不履行責任が問われるケースもあります。
中小企業がとるべき対策と法律事務所による支援内容
中小企業でもできる現実的な対策
- 怪しいメールやSMSを開かない/報告する社内ルールの徹底
- URLの確認(https・ドメインチェック)
- パスワード管理の徹底、二段階認証の導入
法律事務所が支援できること
- セキュリティに関する意識を高めるための社員研修
- 社内情報管理規程の整備支援
- 社員誓約書の導入支援
- インシデント発生時の報告に関する内部規定の作成支援
- 情報管理規程の作成・整備
- 取引先契約書の見直し(秘密保持・損害賠償条項)
- 被害発生時の通知文作成・交渉対応・警察連携の助言
まとめ:小さな企業だからこそ「法的備え」が重要です
「うちは小規模だから狙われない」と思われがちですが、むしろ防御力が低い中小企業が狙われやすくなっています。大手と違い、ひとつのインシデントで事業の存続に関わるリスクもあります。
だからこそ、「技術的な対策」だけでなく、「法的な備え」も整えておくことが中小企業の自衛になります。気軽に弁護士へ相談できる体制を作っておくことが、被害の抑止にもつながります。
よくあるご質問(FAQ)
Q:フィッシング詐欺に引っかかったかもしれません。まず何をすべきですか?
フィッシング詐欺によって流出した情報により、その情報の関係者を洗い出し、速やかに関係者に適切な対応を依頼する必要があります。
例えば、パスワードの変更依頼や、不正取引がないかの確認依頼などです。
対応依頼については、取引先、顧客、社員など、様々な宛先が考えられますが、どのような内容をいつ、どのような方法で依頼をすべきかについて、適切に対処されない限り、被害がますます拡大されるおそれがあります。
被害拡大を防ぐためには、初動対応について社内規定で定め、できる限り速やかに動いていくことはとても重要です。
フィッシング詐欺の被害に遭われた場合には、速やかに弁護士に相談し、被害拡大を防ぐことをお勧めいたしますが、詐欺被害に遭う前にできる限りの予防をしておくことが最も重要です。
Q:フィッシング詐欺で取引先に被害が出た場合、当社に責任が問われますか?
上記の通り、場合によっては、個人情報保護法上の責任、使用者責任、債務不履行責任を問われる可能性があります。
いずれも、事前に個人情報漏洩に関する安全管理をしっかり行っているかどうかがポイントになります。
日頃から、随時、社内のセキュリティ対策が必要十分であるかを確認し、セキュリティについて社員の関心を高め、適切なセキュリティ対策をしておくことが大切でしょう。
Q:セキュリティ担当がいない中小企業でもできる最低限の対策は?
情報漏洩の原因として、社員の故意の情報漏洩ではなく、事故によるものが原因となることは多いのが現状です。
社員のセキュリティに対する関心を高めるため、社員研修をおこない、情報漏洩を予防するための誓約書の記載をさせることは、セキュリティ担当がいない中小企業でも取り入れやすい対策です。
社員の事故による漏洩を防ぐためには、社員のセキュリティに関する意識を上げることが何よりも重要です。
その他、社内ルールを見直し、パスワードの管理、情報アクセス権の管理を会社側が整備し、事故が起こりにくい環境づくりをすることも取り入れていきたい対策です。
Q:法律事務所はどこまで支援してくれますか?
法律事務所の主な役割は、情報漏洩前の予防にあります。
そもそも情報漏洩が起こらないように、仮に起こってしまった場合の損害が最小限になるように、事前の対策をしていくことがとても重要です。
そのために、法律事務所では、取引先、顧客との契約書チェック、社内規定の整備、社員への研修、社員向け誓約書の整備などの支援をおこなわせていただきます。
また、事前にどれほど予防をしていても、事故が発生するときもあるでしょう。
その際の関係者への通知方法の検討、通知文の作成、損害賠償対応、行政対応等は、速やかにおこなっていく必要があります。
被害拡大を防ぎ、会社の損失を最小限とするための支援をおこなわせていただきます。
あわせて読みたい関連記事
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。