福岡銀行は2026年3月27日、メットライフ生命保険からの出向者により、同行で取り扱った顧客の生命保険契約情報の一部が、メットライフ生命へ漏えいしていた事案が判明したと公表しました。対象となるのは、2023年4月から2024年3月までの間に、福岡銀行の募集により生命保険を契約した顧客で、個人1,052名と法人45社です。
漏えいした情報は、契約者氏名と保険契約内容で、保険会社名、保険商品名、保険料などが含まれます。一方で、住所、電話番号、口座番号などの情報は含まれていません。福岡銀行は、漏えいした情報はメットライフ生命から外部へ流出しておらず、現時点で悪用などの二次被害は確認されていないと説明しています。
【30秒でわかる本記事の概要】
-
福岡銀行にて、メットライフ生命からの出向者が顧客の生命保険契約情報(個人1,052名、法人45社)を漏洩させた
。 -
目的はメットライフ生命が生保他社商品の販売動向を把握することであり、出向者が自らの権限を用いて無断で情報を取得していた
。 -
事態を重く見た福岡銀行は、2026年4月以降、保険会社からの出向者受け入れを行わない方針を決定した
何が起きたか
今回の事案は、福岡銀行に出向していたメットライフ生命の社員が、メットライフ生命側で他社の生命保険商品の販売動向を把握する目的で、福岡銀行が取り扱った生命保険契約情報を無断で取得していたものです。外部からの不正アクセスやサイバー攻撃による漏えいではなく、受け入れていた出向者による不適切な情報取得によって発生した点が特徴です。
金融機関における情報漏えいというと、システム障害や不正アクセスが注目されがちですが、今回は人的要因と業務管理の不備が発端です。しかも、保険代理店として預かった顧客情報が、正規の業務関係者を通じて本来許されない形で利用されたという点で、内部統制と委託、出向管理のあり方が問われる事案といえます。
漏えいした情報
福岡銀行が公表した漏えい情報は、契約者氏名と保険契約内容です。具体的には、保険会社名、保険商品名、保険料などが含まれます。住所、電話番号、口座番号などの情報は含まれていないとしています。
このため、直ちに金銭被害や口座不正利用に直結する類型ではないものの、契約者情報と加入商品情報が外部の保険会社に渡っていた点は軽視できません。保険商品は顧客の資産形成や保障ニーズに関わる情報であり、営業戦略や競争上の観点からも機微性が高い情報です。金融機関としては、連絡先情報が含まれていないことだけで影響が小さいと見るのではなく、契約内容そのものの秘匿性を重く受け止める必要があります。
原因
福岡銀行は、保険代理店として受け入れていた出向者に対する情報の取り扱いに関する研修、教育、業務管理が不十分だったことが原因だと説明しています。つまり、直接の行為者は出向者ですが、組織としても、出向者がどの情報にアクセスできるのか、取得した情報をどのように利用できるのか、その管理と監督が十分ではなかったことを認めています。
この点は、情報システム部門や内部管理部門にとって重要です。雇用元が自社ではない出向者であっても、システムアクセス権を持ち、業務上顧客情報に接する以上、内部者としての統制が必要です。アクセス権限の付与、ログ監視、持ち出し制御、教育、誓約の取り方まで含めて、自社職員と同等か、それ以上の厳格さが求められます。
今後の対応
福岡銀行は、対象顧客に対して個別に文書で連絡するとしています。また、再発防止策として、他社からの出向者やその管理者を含めた全職員に対する社内教育を改めて徹底する方針です。あわせて、メットライフ生命に対して再発防止措置を強く求めたほか、出向者を受け入れている他の保険会社に対しても情報の取り扱いの厳格化を求めたとしています。
さらに、福岡銀行は2026年4月以降、保険会社からの出向者を受け入れない方針を示しました。これは単なる教育強化にとどまらず、出向受け入れスキーム自体を見直す対応であり、今回の事案を重く受け止めていることがうかがえます。
情報システム部門が学ぶべき点
今回の事案は、サイバー攻撃ではなくても情報漏えいは起こることを改めて示しました。特に、出向者や委託先要員のように、自社外の立場でありながら業務上は内部情報へアクセスできる人材は、統制の抜け漏れが生じやすい領域です。システム上は利用者アカウントとして正規に見えるため、不適切な情報取得があっても発見が遅れるおそれがあります。
そのため、情報システム部門には、アクセス権の最小化、職務に応じた閲覧範囲の制御、情報持ち出しの監視、ログの定期点検といった基本対策を、出向者や外部要員も含めて徹底することが求められます。今回のような事案は、内部不正対策や業務委託管理が、顧客情報保護の中核であることを示す事例といえます。








