Kordia 2026年レポート：ニュージーランドのサイバーインシデントの17%がデータ窃取に終わる

Kordia 2026年レポート：ニュージーランドのサイバーインシデントの17%がデータ窃取に終わる

新たに公開された業界レポートが、多くの組織が存在を認識しながらも測定に苦慮してきた問題に具体的な数字を与えている。個人データ窃取を伴うサイバーインシデントが、現在すべてのセキュリティイベントの中で相当な割合を占めているのだ。2026年版Kordia ニュージーランドビジネスサイバーセキュリティレポートによれば、サイバーインシデントの17%、すなわち約6件に1件が、個人情報への不正アクセスまたは窃取という結果に終わっている。この数字と並んで、レポートは従業員によるAIの不適切な使用を、今日組織が直面する最も緊迫した新興脅威の一つとして指摘している。

これらの調査結果を合わせると、多くの従来型防御策が対応できるスピードを上回る速さで変化している脅威環境の姿が浮かび上がる。

Kordia 2026年レポートが実際に明らかにしたこと

Kordiaのレポートは、業種や規模を問わずニュージーランドの企業を対象に調査を行っており、サイバーインシデントが実際にどのように展開するかを示す、より実態に即した地域的な概況として位置づけられる。インシデントの17%が個人データの漏洩という結果に終わるというヘッドラインの数字は、攻撃の量や種類だけでなく、具体的な結果を捉えているという点で注目に値する。

多くのサイバーセキュリティレポートは、フィッシングメール、認証情報の侵害、未適用のソフトウェアパッチなど、攻撃がどのように始まるかに焦点を当てている。本レポートは、攻撃がどこで終わるかに注目しており、相当な割合において、その終着点は組織の管理下から個人情報が流出するという事態だ。この区別は、規制当局・顧客・取締役会が実際に関心を持つ観点からリスクを理解するうえで重要である。

レポートはまた、スタッフによるAIの不適切な使用を新たな課題として強調している。これは、従業員が機密データを外部のAIツールに入力したり、未承認のAIプラットフォームを使用したり、業務を自動化しようとする際に機密情報を共有したりすることを指す。ほとんどの場合、悪意によるものではない。利便性が注意を上回った結果である。

なぜ6件に1件のインシデントがデータ侵害に終わるのか

17%という数字は、現代の組織がデータを扱う方法に関するいくつかの構造的な現実を反映している。個人情報は複数のシステムにまたがって保存される傾向があり、組織内で広く共有され、あらゆるレベルの従業員が日常的にアクセスする。こうした分散状況により、侵入に成功した攻撃者は、検知・封じ込めが行われる前に個人データに触れる可能性が相当程度ある。

また、個人情報が標的として高い価値を持つという現実も反映している。ネットワークへのアクセスを得た攻撃者は、多くの場合、氏名・連絡先・財務記録・本人確認情報を具体的に狙っている。これらは直接的な転売価値を持ち、二次的な詐欺やソーシャルエンジニアリング攻撃に利用される可能性がある。

インシデントの発生と個人データの侵害確認との間に生じるギャップも一因だ。検知の遅れは、攻撃者が最も価値の高い記録を特定して持ち出すための時間をより多く与えることになる。堅牢なロギング・セグメンテーション・モニタリングを欠く組織は、データがすでに流出した後になって初めて侵害を発見することが多い。

このパターンはニュージーランドに固有のものではない。世界中の研究者が記録してきた内容と一致している。規制対象の組織や十分なリソースを持つ組織でさえ、個人データの扱いを恒常的に誤っている。この点は、セキュリティに関する設計上の前提がほぼ即座に致命的な楽観論であることが証明されたローンチ直後に数分以内で侵害されたEUの年齢確認アプリにおいても見られた通りだ。

VPNだけでは解決できないAIインサイダー脅威

AIの使用に関する調査結果は、既存のセキュリティツールのほとんどが対処するように設計されていないリスクカテゴリを表しているため、特別な注意が必要だ。従業員が顧客記録を公開AIアシスタントに貼り付けたり、未承認の生産性ツールを使ってHRデータを処理したりしても、ファイアウォールはトリガーされず、VPNのフラグも作動せず、侵入検知システムも警告を発しない。データは完全に正当なチャネルを通じて流出する。

これがインサイダー主導の情報漏洩における核心的な問題だ。多くの場合、通常の業務と見分けがつかない。VPNはデバイスと企業ネットワーク間の接続を保護する。しかし、正当なアクセス権を持つ従業員がデータをどう扱うかを管理するものではない。暗号化は信頼できるエンドポイント間のデータ転送を保護するが、権限を持つユーザーが不正な宛先にデータを送ることを防ぐものではない。

VPN・エンドポイント保護・ファイアウォールなどの境界セキュリティツールに多大な投資を行った組織でも、人的・ポリシー層に取り組んでいなければ被害を受ける可能性がある。Kordiaの調査結果は、AIツールがより安価になり、より高機能になり、日常的なワークフローにより深く組み込まれるにつれて、このギャップが拡大していることを示唆している。

この課題は、AIツールの状況が急速に変化することによってさらに複雑になる。6ヶ月前に作成されたポリシーは、今日従業員が使用しているプラットフォームをカバーしていない可能性がある。

VPNを超えたプライバシー防御の構築

データ窃取率とAIインサイダー脅威の両方に対処するには、技術的な制御と組織的なポリシー、ユーザー教育を組み合わせた多層的なアプローチが必要だ。

技術面では、データ損失防止（DLP）ツールをAIサービスを含む外部プラットフォームへ機密情報が送信されていないかを検知するように設定できる。アウトバウンドデータ転送を記録するネットワークモニタリングにより、異常なパターンを特定しやすくなる。どの従業員がどのデータにアクセスできるかを制限するアクセス制御は、単一のインシデントによる被害範囲を縮小する。

ポリシー面では、承認済みのAIツール、外部で処理できるデータカテゴリ、およびポリシー違反の結果について、明確かつ最新のガイダンスが必要だ。曖昧さはリスクとなる。ツールが承認されているかどうか確信が持てない従業員は、特にそれが業務を楽にするものであれば、結局使ってしまうことが多い。

ユーザー教育は引き続き重要だ。AIに関連するデータ漏洩インシデントを引き起こす従業員のほとんどは、悪意を持って行動しているわけではない。効率よく仕事をしようとしているだけだ。特定のデータを外部のAIツールに入力してはならない「理由」を、単に「してはならない」という説明だけでなく、具体的に説明するトレーニングは、一般的なセキュリティリマインダーよりもコンプライアンス向上につながる傾向がある。

個人にとって、このレポートは組織が自分たちについてどのような個人データを保有しており、それがどのように保護されているかを確認する有益な契機となる。カリフォルニア州消費者プライバシー法（CCPA）などの法律は一部の消費者にデータに関する正式な権利を与えているが、実際にはCCPAの執行には重大なギャップがあるため、それらの権利を行使するには積極的な取り組みが必要だ。

これがあなたにとって何を意味するか

Kordia 2026年レポートはニュージーランドを対象とした調査だが、その調査結果は業界や地域を問わず認識できるパターンを反映している。6件に1件のインシデントが個人データ窃取につながるという割合は重大であり、インサイダー脅威としてのAIの不適切な使用の台頭は、多くのセキュリティプログラムがまだ追いつこうとしている新たな側面を加えている。

個人にとっては、企業と共有している個人データの内容・侵害時にどれだけの情報が露出する可能性があるか・そのリスクを最小化するために利用可能な権利を行使しているかどうかを考える機会だ。組織にとっては、セキュリティに関する議論を境界ツールから脱却させ、包括的なデータガバナンスへと移行させることの根拠となるレポートだ。

技術的な防御は必要だが十分ではない。17%という数字は、インシデントが発生した後でも個人データへの影響を封じ込めるには、多くの組織がいまだ整備を進めている迅速性・可視性・明確なポリシーが必要であることを示している。自分自身のデータの足跡を見直し、適用される個人情報保護法のもとで自分が持つ権利を理解し、侵害が実際にどのように発生するかについて情報を得続けることが、誰もが今日から取れる現実的な第一歩だ。