3万人分の個人情報が外部に流出

流出が確認されたのは、従業員ID、氏名（漢字表記のみ）に加え、一部は生年月日や契約開始日、職位といった雇用に関わるデータだ。顧客や給与、マイナンバー情報は含まれなかったと説明するが、対象は現役従業員だけでなく退職者まで及ぶ。
「名前とIDだけでも十分危ない。なぜもっと早く教えてくれなかったのか」──ネット上では元従業員から不満の声が相次いでいる。スタバで働いた経験を誇りに思っていた人々が、いまや「裏切られた」と感じている構図だ。

「最初は110人だけ」からの急拡大

漏えいの可能性が指摘されたのは5月。Blue Yonderから「2024年12月にハッカー集団の攻撃があった」と連絡が入り、当初の被害はわずか110人分と説明された。だが、それは氷山の一角にすぎなかった。
7月に「実はサンプルデータだった」と釈明があり、9月に再調査したところ、被害は3万1500人分にまで膨れ上がっていた。

わずか2か月余りで被害規模が300倍に跳ね上がる異常事態。内部調査の杜撰さ、情報開示の後手ぶりは批判を免れない。X（旧Twitter）上では「スタバのフラペチーノより情報管理の方が甘すぎる」と皮肉交じりの投稿が拡散し、炎上はさらに広がっている。

委託先Blue Yonderの“前科”

火に油を注いでいるのが、委託先の信頼性だ。Blue Yonderはパナソニック コネクト傘下の大手ながら、2024年11月にはランサムウェア攻撃を受け、米国のスターバックスでも業務に混乱が生じた“前科”がある。
「別件」との説明に終始するが、わずか1年の間に複数のサイバー被害を受けている事実自体が深刻だ。スターバックスが依存する外部委託の脆弱さが丸裸になった格好である。セキュリティ強化を求める姿勢は後追いにすぎず、管理責任の所在をあいまいにしたままでは炎上が収まる気配はない。

過去から繰り返される“信頼崩壊”

スターバックスにとって情報管理トラブルは今回が初めてではない。2022年には米本社でシステム障害が発生し、従業員のシフトや給与支払いに遅れが生じた。また、日本法人でも同年、公式アプリ障害でモバイルオーダーや決済に混乱が広がり、利用者から「グローバルブランドとは思えない」と失望の声が噴出した。
こうした“小さなほころび”が積み重なり、ついに数万人規模の個人情報流出に至った。従業員からは「結局、私たちの働きやすさや安全は二の次なのでは」との不満が渦巻いている。ブランド力を武器に人材を惹きつけてきたスタバにとって、足元を揺るがす大打撃だ。

炎上を鎮火できるか

スターバックス コーヒー ジャパンはBlue Yonderにセキュリティ体制の抜本的強化を要求するとともに、自社の委託先管理や監査体制を見直す方針を示した。さらに情報が漏えいした従業員や退職者に向け、相談窓口を設けると説明する。
だが、こうした“後付けの対策”がどこまで信頼回復につながるのかは疑わしい。SNSでは「説明責任を果たさないまま口先だけの対応」「再発防止は聞き飽きた」といった辛辣な声が相次いでいる。炎上の火消しに奔走する広報の姿が透けて見える。

スターバックスは全国に約1,900店舗を展開し、数万人の従業員を抱える巨大ブランドだ。その華やかなイメージの裏で、情報管理の甘さが繰り返され、従業員の信頼を削ってきた。
フラペチーノを片手に“安心と癒やし”を提供する一方で、裏では大切な個人情報が流出していた──。この事実を前に、従業員も利用客も不安をぬぐえない。炎上を止める唯一の道は、徹底した透明性と説明責任を果たすことに尽きる。