公益財団法人堺市文化振興財団の元職員が、会員サイト「sacay(サカイ)メイト」等の個人情報を不正に持ち出し、X(旧Twitter)やGmailを用いて一部を外部へ流出させていたことが判明しました。財団は2025年9月8日に公表し、窃取データは回収済みで二次被害は現時点で確認されていないと説明しています。
一方、報道では元職員が退職後も財団システムへ不正アクセスを継続し、誹謗中傷を含む投稿を大量に行っていた実態が伝えられており、警察は2025年9月3日付で偽計業務妨害容疑として書類送検しています。
流出・窃取の内訳
財団の公表によれば、窃取された個人データは「sacayメイト」会員情報(2020年3月2日時点)3万7164名分(氏名、住所、生年月日、性別、電話番号、メールアドレス)をはじめ、財団職員82名分(退職者含む)、堺市職員59名分(退職者含む)、堺市議会議員48名分です。外部への流出として確認されたのは、財団職員92名分、堺市職員63名分、堺市議会議員48名分で、これらは名簿情報と組み合わせて投稿されたとされています。
報道では、X上で計203名分の個人情報が晒され、総投稿数は4187件に及んだと伝えられています。
経緯と手口
元職員は在職中の2020年3月に財団の情報システムから会員情報を持ち出し、退職後の2020年4月頃から2022年4月頃にかけて、財団が委託先に貸与していた端末を経由してシステムに不正ログインし、職員や市議等のデータを追加で窃取したと供述しています。
2022年3月以降、XおよびGmailで個人情報を含む投稿や売却・公開を示唆する発信が開始され、財団が発信者特定の手続きを進める中で、通信記録や発信場所の特定、現場確認などの証拠が積み上がった経緯が報じられています。財団は元職員からデータを回収し、当該SNSアカウントや投稿の削除を確認しています。
原因分析
財団の説明では、窃取当時に個人データへパスワード等の保護が施されておらず閲覧が可能だったこと、外部記録媒体の使用制限が甘く持ち出し可能な環境だったことが指摘されています。
加えて、退職後もアクセス可能な端末が残存し、認証情報や端末管理が不十分だったことが不正ログインの継続を許したと考えられます。技術的統制と人的統制の双方で、基本的な内部不正対策が欠落していたことが今回の事案の背景にあります。
一般的な情報システム部門の対策
退職者・委託先を含む全アカウントと端末の棚卸しを行い、退職・異動・契約終了に連動した即時失効が機能しているかを確認。
併せて、基幹データストアのアクセスログを遡及調査し、業務外時間帯の大量取得や名寄せと推定されるアクセス痕跡がないかを精査します。
持ち出し経路となるUSBや個人クラウドの利用状況を確認し、必要に応じてシステム側で強制的な暗号化と持ち出し禁止を適用します。委託先貸与端末はゼロトラストの原則で分離し、資産台帳と認証基盤の紐付けが崩れていないかを現物照合まで含めて点検することが重要です。
一部参照
公益財団法人の元職員がSNSに個人情報流出 退職後などに約3万7000人分を不正入手 「理事長は退職すべき」などと投稿も
3万7千人分の個人情報を元職員が抜き取る 探偵が証拠写真を撮影
関連記事
東急スポーツシステム 運営 アトリオドゥーエ Next たまプラーザ、業務委託スタッフによる不正アクセスを公表
日本セラミックの不正アクセスによるサイバー攻撃、想定影響は約3万5,650名・約950社に縮小
サイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れ
東京海上や三井住友海上など大手損保や保険会社の代理店 出向者による個人情報漏洩のまとめ
プルデンシャル生命、元従業員による情報持ち出しで個人情報漏洩の可能性
東京エレクトロンのTSMC 機密情報窃取疑惑は低級な過失?-現場猫案件?
みずほ銀行が保険会社からの出向受け入れ見直しか-度重なる情報漏えいが影響
福鉄商事の役員が約7,000万円を横領-内部告発で発覚
フジテレビの安田取締役が辞任-不適切な経費精算を複数確認
