
アフラック生命保険は6月30日、不正アクセスにより約438万人分の顧客の個人情報が流出したと発表した。日本経済新聞や時事通信、共同通信などによると、流出したのは氏名、住所、電話番号などで、うち約23万人分には保険料振替用の銀行口座に関する情報も含まれる。さらに代理店約4万店の住所や代表者名なども流出した。同社の調査では、最初の不正アクセスは6月15日に発生し、25日までに複数回のアクセスが確認されたという。顧客専用サイト「アフラック よりそうネット」などのシステムが侵入経路とされ、現時点で情報の不正利用は確認されていないとしている。
保険会社が狙われる理由
生命保険会社は、氏名・住所・生年月日といった基本情報に加え、健康状態、保険金額、そして口座情報まで、価値の高い個人データを大量に保有する。攻撃者にとってこれほど「効率のよい」標的は少ない。盗まれた情報は名簿として売買され、フィッシングや特殊詐欺、なりすましの材料となる。特に口座情報を含む23万人分は、金融犯罪への転用リスクが相対的に高く、対象となった顧客には長期的な警戒が求められる。
企業側の対応も年々重い責任を課されている。個人情報保護法は2022年の改正で、漏えい時の個人情報保護委員会への報告と本人への通知を義務化した。438万人という規模の通知・問い合わせ対応、原因調査、システム改修、信頼回復までを含めれば、情報漏えいは一つの「経営危機」であり、セキュリティ投資はもはやIT部門のコストではなく経営そのものの課題である。
相次ぐ漏えい――「どの企業でも起こる」前提の時代へ
企業の情報漏えいは後を絶たない。同時期には九州電力送配電や損害保険ジャパンをめぐる漏えいも報じられており、原因も外部からのサイバー攻撃、内部関係者のミス、不正行為とさまざまだ。
ランサムウェアや認証情報の窃取など攻撃手法が産業化した現在、「完全に防ぐ」ことはどの企業にも不可能に近い。問われるのは、侵入を前提とした多層防御、異常検知の速さ、そして発覚後の開示の誠実さである。
顧客がいま気をつけるべきこと
こうした大規模漏えいの後に必ず増えるのが、事件に便乗した「二次攻撃」である。
「情報流出のお詫び」「口座確認のお願い」を装ったメールやSMS、電話で、パスワードや暗証番号を聞き出そうとするフィッシングだ。アフラックに限らず、企業が漏えいのお詫びを口実に暗証番号やパスワードを尋ねることはない。心当たりのある顧客は、公式サイトの案内窓口以外からの連絡を疑い、口座の取引履歴を定期的に確認することが現実的な自衛策となる。
自分の情報も漏れているのではないかとの不安から、通常であれば信用しないフィッシング手口に引っかかってしまうことも多い。「自分は大丈夫」と思わずに、注意することが重要だ。
情報漏えいは、一義的には企業の責任である。しかし被害の最終的な受け皿は常に個人だ。「自分の情報はすでにどこかで漏れている」という前提で、パスワードの使い回しをやめ、不審な連絡に応じない――地味だが、それが堅実な生活防衛である。



