サイバー攻撃で保険契約者510万件の情報が流出の恐れ

全国380店舗展開の保険代理店　影響は広範に及ぶ可能性

保険見直し本舗は、商業施設内などに約380店舗を展開する保険代理店で、日本生命や東京海上日動火災保険など40社以上の保険商品を扱っている。日常的に大量の個人情報を取り扱う業態だけに、流出リスクの影響は極めて大きい。

攻撃が発覚したのは2024年2月16日。被害判明後、同社は速やかに関係するサーバーをネットワークから遮断し、外部の専門家を交えて原因と被害範囲の調査に乗り出したという。

ランサムウェア被害、過去最多ペース　専門家が警鐘

警察庁によれば、ランサムウェアの被害報告件数は2024年に222件に上り、2020年以降増加の一途をたどっている。2025年に入ってもその勢いは衰えず、CISOアドバイザーの大元隆志氏はSNSで「2025年は4月末時点で94社が被害を報告、前年同期の3倍以上のペース」と警鐘を鳴らしている。

特に深刻なのが、業務を受託する中小企業がサイバー攻撃の入口となるケースだ。アフラック生命では2023年1月、業務委託先が不正アクセスを受け、130万人分の個人情報が漏洩。チューリッヒ保険でも約69万人分が流出するなど、被害は大手にも及んでいる。

金融庁は2024年10月に新ガイドライン適用　委託先管理が焦点に

金融庁は2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」の改訂版を正式に適用し、金融機関に対して取引先や委託先を含めたセキュリティリスクの管理を強化するよう求めている。

このガイドラインでは、リスクベースの対応やサプライチェーン全体への意識強化、事前のインシデント対応体制の整備などが重視されている。しかし、実際には委託先の選定においてコスト面が重視されがちで、セキュリティ対策が後回しになっている現実もある。

SNS上では「保険業界で510万件の個人情報漏洩が起きたのに報道が控えめなのは不自然」「犯罪に使われるリスクを考えれば、国はもっと危機感を持つべき」といった厳しい声があがっている。

“安さ優先”の委託先選定に警鐘　企業に求められる責任

CISOアドバイザーの大元氏は「複数企業から受託する企業が感染すれば、社会全体への影響は甚大。安さだけで委託先を選ぶ姿勢は再考すべきだ」と指摘する。これは、単にサイバーリスクの話にとどまらず、企業のガバナンスそのものが問われる局面である。

保険見直し本舗は今後、被害状況の全容解明とともに、顧客に対する説明責任、再発防止策の提示が求められる。個人情報が犯罪に利用される時代において、セキュリティの脆弱性は企業存続に直結しかねないリスクである。

“自社さえ守ればよい”という考え方では、サイバー攻撃の脅威には太刀打ちできない。業界全体として、セキュリティ対策の質と水準を引き上げる必要がある。

【関連するおすすめ記事】