サイバー攻撃で個人・代理店情報に外部アクセスか

損害保険ジャパン（本社：東京都新宿区）は6月11日、社内システムが外部から不正アクセスを受け、最大で約1750万件に及ぶ顧客および代理店の情報が漏えいした可能性があると発表した。
不正アクセスは2024年4月17日から21日の間に発生。これを受け、4月25日に第1報を公表し、専門業者によるフォレンジック調査を進めていた。

漏えいの可能性がある情報の内訳

同社の発表によると、外部から閲覧された、もしくは漏えいの恐れがある情報は以下の通りである（※一部データは重複を含む可能性あり）。

• 氏名・連絡先・証券番号を含むデータ：約337万件
• 氏名・証券番号を含むデータ：約187万件
• 連絡先・証券番号を含むデータ：約119万件
• 氏名や住所などその他の顧客情報：約83万件
• 保険募集人氏名やID等を含む代理店関連データ：約178万件
• 証券番号・事故番号など識別子のみのデータ：約844万件
• 保険料支払口座情報：1638件

これらのうち、識別子のみのデータについては「社内のデータベースと照合しなければ個人を特定できない情報」であると説明している。

マイナンバー・クレジットカード情報は含まれず

損保ジャパンによれば、漏えいの可能性がある情報にマイナンバーカードやクレジットカード情報は含まれておらず、6月11日時点で情報が不正利用された事実も確認されていないとしている。

また、不正アクセスを受けたのは、業務用のWebサブシステムであり、他の社内システムとの接続はなかったため、被害の拡大は限定的である可能性もあるという。

再発防止へ向けた対応と顧客への連絡

同社は「不正アクセスの監視体制を強化」し、「情報が漏えいした可能性のある顧客には順次、個別に連絡する」としており、専用の問い合わせ窓口も設置して対応を進めている。

損保ジャパンはコメントで、「お客様の大切な情報を預かる責任ある企業として本件を重く受け止め、セキュリティー対策の徹底を図り、再発防止に全力を尽くしてまいります」と述べた。

不正アクセスによる個人情報漏えいは増加傾向

東京商工リサーチによると、2024年に上場企業とその子会社が公表した個人情報の漏えいや紛失事故は189件で、2021年比で約4割増加している。その中でも「ウイルス感染・不正アクセス」は最多の114件で、全体の約6割を占める。

損保ジャパンの今回の事案は、その中でも極めて大規模な情報漏えいの可能性を伴うケースであり、今後の対応と調査結果が注目される。

過去の大規模漏えいと比較

国内で過去最大の個人情報漏えい事案とされるのは、2014年にベネッセコーポレーションから外部業者の従業員が持ち出した約3500万件の情報漏えいである。

近年では、NTT西日本の子会社で元派遣社員による900万件超の情報流出が発覚し、社長が引責辞任するなど、サイバーセキュリティ対策の重要性はますます高まっている。

今後の注視点

今後、実際にどの情報が漏えいしたのか、第三者により悪用された事実があるのかが焦点となる。損保ジャパンは引き続き調査と対応を進めており、社会的責任が問われる状況が続く。

参照：当社システムに対する不正アクセスの発生及び情報流出の可能性について（損保ジャパン）