【ジョーシス独自調査】日経225企業の96%が過去3年で情報漏洩を経験

漏洩率は医薬品業界が最多、メガバンクの23倍という結果に

ジョーシス株式会社

2026年6月11日 12時00分

アイデンティティセキュリティ基盤を提供するジョーシス株式会社（本社：東京都港区、代表取締役CEO：松本恭攝、以下「ジョーシス」）は、日経225構成企業を対象としたサイバーセキュリティに関する独自調査を実施しました。その結果、過去3年間で96%以上にあたる217社で情報漏洩、75%にあたる168社で端末感染を含む深刻な情報漏洩を経験していたことが明らかになりました。

■ 調査サマリー

96.4%の企業で情報漏洩が発生、従業員の漏洩率は2.9%

調査対象225社のうち217社で、過去3年間に情報漏洩が確認された。
漏洩件数は累計27万件超にのぼり、従業員数に対する漏洩率は2.9%となった。(*1)

74.6%の企業で深刻な漏洩を確認

調査対象225社のうち168社で、認証基盤、セキュリティ関連、顧客管理アプリなどの認証情報を含む深刻な漏洩が発生。

業界別では医薬品業界の情報漏洩率が最も高く、銀行が最も低い結果に

従業員数比の情報漏洩率は、医薬品業界（11.6%）が最多。
建設業界（7.0%)食品業界（6.5%）が続いた。
一方、銀行全体では0.7%、メガバンクは平均0.5%と最も低く、高度なセキュリティ対策の浸透がうかがえる結果となった。

*1 漏洩数算出にあたっては異常値検知のため225社のうち一社を集計から除外。対象は224社。

■ 主要調査結果

1. 過去3年間で、96.4%の企業が情報漏洩を経験、漏洩件数は27万件超

今回の調査では、日経225構成企業225社のうち217社（96.4%）で、過去3年間における情報漏洩が確認されました。また、漏洩件数の合計は279,206件（*2)にのぼり、対象企業の従業員数合計（9,564,043名）に対する漏洩率は2.9%となりました。従業員100名あたり、約3名分の認証情報が漏洩している結果となります。

＜考察＞

今回の結果から、情報漏洩は特定の業界や企業規模に限られた問題ではなく、日本を代表する大企業のほぼすべてが直面する経営課題となっていることがわかります。

また、漏洩率が2.9%に達していることから、サイバーセキュリティインシデントは一部の例外的な事象ではなく、企業活動における常在リスクとして認識する必要があります。企業には、侵害を前提とした対策や継続的な監視体制の強化が求められています。

*2　本調査の数値は、匿名性が高く、情報漏洩によって流出した認証情報や個人情報が取引される場として利用されている「ダークウェブ上などで当該企業の情報として流通している件数」を示すものです。特定企業の認証情報として売買されている情報を取得していますが、実際には当該企業の情報でない可能性や、すでに無効化された情報が含まれる可能性があります。

2. 深刻な認証漏洩は74.6%、10社中7社の社員の認証情報が漏洩

調査対象225社のうち168社（74.6%）で、認証基盤・セキュリティ・顧客管理など重要度の高いアプリケーションにおける認証情報漏洩が確認されました。

＜考察＞

近年のマルウェアは単なる端末破壊やシステム停止を目的とするものだけでなく、認証情報やセッショントークンの窃取を目的としたものが増加しています。攻撃者は盗み出したIDやパスワードを利用して、クラウド環境に侵入し情報窃取を行うため、感染後の被害拡大が深刻なリスクとなっています。

3. 医薬品業界の情報漏洩率が最多、従業員数比で11.6％、銀行は0.7％と最も低い結果に

業界別に従業員数あたりの情報漏洩率を分析したところ、最も高かったのは医薬品業界で11.6％となりました。続いて建設業界が7.0％、食品業界が6.5％という結果となり、特定の業界において漏洩リスクが相対的に高い傾向が見られました。

一方、最も低かったのは銀行で0.7％でした。中でも、メガバンクの平均漏洩率は0.5％にとどまりました。医薬品業界とメガバンクを比較すると、その差は23倍以上に達しており、業界によってサイバーセキュリティリスクや対策水準に大きな差があることが明らかになりました。

＜考察＞

医薬品業界は研究開発データや知的財産など、攻撃者にとって価値の高い情報を保有していることから、サイバー攻撃の標的となりやすいと考えられます。また、建設業界も海外インフラ事業やプラント建設に関する情報など、地政学的・経済的価値を持つデータを扱うケースが多く、狙われやすい業界の一つとみられます。

食品業界については、他業界と比較してサイバーセキュリティ領域への投資や体制整備が十分ではない企業も存在すると考えられ、結果として漏洩率の高さにつながっている可能性があります。

一方で金融業界は、厳格な規制への対応に加え、ネットワークアクセス制御や認証基盤の強化、継続的な監視体制の構築など、多層的なセキュリティ対策が進んでいます。そのため、今回の調査でも最も低い漏洩率となり、業界全体として高いセキュリティ成熟度がうかがえる結果となりました。

名称：日経225企業におけるサイバーセキュリティに関する調査
対象：日経平均株価（日経225）構成企業 225社及びそのグループ企業
対象従業員数：9,564,043名（一社分は異常値のため集計対象から除外）
期間：2023年3月1日〜2026年6月1日
手法：当社が保有するデータ解析ツールを用いた抽出調査（2026年6月時点）
実施：ジョーシス株式会社

＊構成比・割合は小数点第二位以下を四捨五入して算出。

▪️総括

今回の調査が示したのは、サイバーセキュリティのインシデントが「一部の企業の問題」ではなく、日本を代表する大企業の大多数が直面している構造的な課題であるという事実です。

96.4%という漏洩率は、対策の有無にかかわらず、業種を超えて認証情報の流出が常態化していることを意味します。そして漏洩した認証情報が攻撃者に悪用されるまでの時間は年々短縮されており、検知が遅れるほど被害は拡大します。

「誰が、何に、どのようにアクセスしているか」を一元的に可視化・管理・防御するアイデンティティセキュリティの整備は、もはや一部のセキュリティ担当者だけの課題ではなく、経営レベルで取り組むべき優先事項といえます。

■ 調査の背景

近年、ランサムウェア(*4)攻撃の手口は大きく変化しています。従来のシステムの脆弱性を突く攻撃に加え、「インフォスティーラー」と呼ばれる情報窃取型マルウェアによって盗まれた正規のID・パスワードを使って不正ログインする攻撃が拡大しています。

こうした状況を受け、ジョーシスは日本を代表する企業群である日経225構成企業を対象に、認証情報漏洩とマルウェア感染の実態を把握するための独自調査を実施しました。調査の結果は、アイデンティティセキュリティの強化が、一部の企業だけでなく日本の大企業全体にとって喫緊の経営課題であることを示しています。

なおジョーシスは、本日より、ランサムウェア攻撃対策を強化する国内初の3機能、「漏洩した認証情報検知」「AIエージェント検知・管理」「AIによるポリシーの自動実行」の提供を開始しました（*5）。

4 ランサムウェア：端末やファイルを暗号化して利用できない状態にし、復旧の対価として身代金（Ransom）の支払いを要求するサイバー攻撃の手法のこと。
5 ジョーシス、ランサムウェア攻撃対策を強化する国内初の3機能を提供開始
（https://prtimes.jp/main/html/rd/p/000000079.000099889.html）

アイデンティティセキュリティ基盤「Josys」について

Josysは、企業内のあらゆる認証情報（アイデンティティ）を統合的に管理・防御する、AI駆動のアイデンティティセキュリティ基盤です。従業員・業務委託先のアカウントに加え、AIエージェントやサービスアカウントなど、人・AI・システムを横断して増加する認証情報を一元的に可視化し、守ります。

ダークウェブ起点などの認証情報漏洩・感染端末の検知、AIエージェントの自動発見と管理、AIによるポリシーの自動実行を中核に、SaaS（ソフトウェア・アズ・ア・サービス）統合管理で培ったアクセスガバナンスやライセンス最適化の機能を統合。権限管理やリスク対応を自動化し、セキュリティ人材不足のなかでも運用負荷を抑えながら、組織全体のアイデンティティを守ります。

Josysは、"すべてのアイデンティティ、すべてのアプリケーションを、AIで守る"ことを通じて、日本企業が安心して事業活動を行える環境づくりを推進してまいります。

URL：https://josys.com