2026年3月は、顧客・患者・予約者・従業員・保険契約者など「個人」に紐づく情報の漏洩または漏洩の恐れが生じた事案が、医療機関・大学・ホテル・製造業・金融・飲食業など幅広い組織から相次いで公表されました。個人情報保護法に基づく報告義務・本人への通知義務・行政指導リスクという観点から、これらの事案は自社の対応体制を点検する重要な参考事例となります。外部からの不正アクセスによる流出だけでなく、出向者による業務上の不正持ち出し・記録媒体の紛失・データの誤公開など、内部要因による漏洩も複数確認されており、技術的対策だけでは防ぎきれないリスクの広がりを改めて示した月となりました。
目次
- 1 2026年3月 個人情報漏洩インシデント一覧
- 2 不正アクセスによる個人情報漏洩
- 2.1 ホソカワミクロン、ランサムウェア被害の最終報でクラウド経由の個人情報漏洩が確認
- 2.2 ゼットン、旧メールシステムへの不正アクセスで1万8553件の個人情報流出の恐れ
- 2.3 マツダ、倉庫業務システムへの不正アクセスで従業員・取引先担当者の個人情報が漏洩の恐れ
- 2.4 国際武道大学、委託先への不正アクセスで卒業生の個人情報が漏洩
- 2.5 ホテル日航プリンセス京都、Expedia管理者アカウント不正利用で予約客の個人情報が閲覧される
- 2.6 メディカ出版、ランサムウェア攻撃で医療従事者の個人情報が漏洩の恐れ
- 2.7 タカカツグループホールディングス、ランサムウェア被害で顧客の個人情報が閲覧可能な状態に
- 2.8 フランスベッド、委託先へのランサムウェア攻撃で顧客の個人情報への影響を調査中
- 3 記録媒体の紛失・誤公開による個人情報漏洩
- 4 内部者・出向者による個人情報の不正利用
- 5 まとめと対策のポイント
2026年3月 個人情報漏洩インシデント一覧
下表は、本記事で取り上げる主要なインシデントを公表日順にまとめたものです。
| 公表日 | 組織・対象名 | 漏洩の概要 | 対象となる個人情報・特記事項 |
|---|---|---|---|
| 2026年3月30日 | ホソカワミクロン | Everestの犯行声明・クラウド経由での漏洩(最終報) | 上場企業、クラウド経由での個人情報漏洩が確認 |
| 2026年3月30日 | 福岡銀行 | メットライフ生命出向者による保険契約情報の不正持ち出し | 顧客の生命保険契約情報が外部組織へ漏洩 |
| 2026年3月27日 | ゼットン | 旧メールシステムへの不正アクセス | 1万8553件の個人情報流出の恐れ |
| 2026年3月19日 | マツダ | 倉庫業務システムへの不正アクセス | 従業員・取引先担当者の氏名・連絡先等 |
| 2026年3月19日 | NICT | 音声コーパスの誤公開 | 115名分の音声ファイル(生体情報に準じるデータ) |
| 2026年3月19日 | ホテル日航プリンセス京都 | Expedia管理者アカウントの不正利用 | 予約客の氏名・メールアドレス・電話番号等 |
| 2026年3月19日 | 大阪府警 | 警部補による捜査情報の内部漏洩 | 金融機関への照会情報(要配慮個人情報に準じる可能性) |
| 2026年3月18日 | 国際武道大学 | 委託先への不正アクセス | 卒業生の氏名・住所・連絡先等 |
| 2026年3月18日 | メディカ出版 | ランサムウェアによる情報漏洩 | 医療従事者の個人情報が漏洩の恐れ |
| 2026年3月18日 | ソニー生命(元社員) | 元営業社員による顧客情報の私的悪用 | 顧客の氏名・連絡先・資産状況等、約100人分 |
| 2026年3月17日 | タカカツグループHD | ランサムウェアによる不正アクセス | 顧客の個人情報が外部から閲覧できる状態の可能性 |
| 2026年3月17日 | 多根総合病院 | 委託先によるUSBメモリ紛失 | 患者の氏名・診療情報等(要配慮個人情報) |
| 2026年3月公表 | フランスベッド | 委託先へのランサムウェア攻撃 | 福祉用具レンタル顧客の個人情報への影響を調査中 |
不正アクセスによる個人情報漏洩
ホソカワミクロン、ランサムウェア被害の最終報でクラウド経由の個人情報漏洩が確認
ホソカワミクロン株式会社(東証プライム:6277)は2026年3月27日、2月に発生したサイバー攻撃の最終報を公表しました。ランサムウェアグループ「Everest」による犯行声明に加え、クラウドサービスを経由して個人情報が外部に漏洩したことが確認されました。クラウド上の個人情報が攻撃者に窃取されたケースとして、クラウド環境のアクセス制御・ログ監視・データ保護の重要性を改めて示しています。個人情報保護委員会への報告・本人通知の義務が生じる案件です。
▶ 詳細記事:ホソカワミクロン、サイバー攻撃の最終報-ランサムウェア グループEverestの犯行声明とクラウド経由で個人情報漏洩
ゼットン、旧メールシステムへの不正アクセスで1万8553件の個人情報流出の恐れ
株式会社ゼットンは2026年3月27日、過去に使用していた旧メールシステムのアカウントに外部から不正アクセスが行われ、1万8553件の個人情報が流出した恐れがあると公表しました。廃止したシステムのアカウントが侵入口となった点は、個人情報保護法上の安全管理措置として「不要になったアカウントの速やかな削除・無効化」の徹底を改めて求める事例です。
▶ 詳細記事:ゼットン、旧メールシステムへの不正アクセスで1万8553件の個人情報流出の恐れ
マツダ、倉庫業務システムへの不正アクセスで従業員・取引先担当者の個人情報が漏洩の恐れ
マツダは2026年3月19日、タイからの調達部品の倉庫業務管理システムへの不正アクセスを公表しました。同社・グループ会社・取引先の担当者の氏名や連絡先など個人情報が外部から閲覧できる状態に置かれた可能性があります。漏洩が確認された場合には本人への通知と個人情報保護委員会への報告義務が生じます。海外拠点が侵入経路となった本事例は、グローバルに個人情報を管理する組織の安全管理措置のあり方を問う事案です。
▶ 詳細記事:マツダ、倉庫業務システムへの不正アクセスで従業員の個人情報漏洩の恐れ
国際武道大学、委託先への不正アクセスで卒業生の個人情報が漏洩
国際武道大学は2026年3月18日、IT保守を委託している事業者への不正アクセスにより、卒業生の氏名・住所・連絡先等の個人情報が漏洩したと公表しました。個人情報保護法では、委託先が漏洩を起こした場合でも委託元に報告義務・通知義務が課されます。卒業後も長期保有されるデータが流出した点は、「利用目的の達成後の速やかな削除」という原則を改めて意識させます。
▶ 詳細記事:国際武道大学、委託先への不正アクセスで卒業生の個人情報が漏洩
ホテル日航プリンセス京都、Expedia管理者アカウント不正利用で予約客の個人情報が閲覧される
ホテル日航プリンセス京都を運営する株式会社ホテルプリンセス京都は2026年3月19日、Expedia経由で予約した宿泊客の氏名・メールアドレス・電話番号等の個人情報が閲覧された可能性があると公表しました。第三者のプラットフォームを経由して収集した個人情報であっても、漏洩発生時には自社での適切な対応が求められます。
▶ 詳細記事:ホテル日航プリンセス京都、Expediaの管理者アカウントの不正利用で予約客情報が閲覧された恐れ
メディカ出版、ランサムウェア攻撃で医療従事者の個人情報が漏洩の恐れ
医療業界向け出版企業のメディカ出版は2026年3月17日、ランサムウェア攻撃を受けシステム障害と個人情報の漏洩が生じた可能性があると公表しました。医師・看護師など特定の職業属性を持つ個人情報は標的型攻撃への悪用リスクが高く、漏洩後の二次被害への備えも重要です。
▶ 詳細記事:医療業界向け出版企業 メディカ出版、ランサムウェアで個人情報漏洩の恐れ
タカカツグループホールディングス、ランサムウェア被害で顧客の個人情報が閲覧可能な状態に
株式会社タカカツグループホールディングスは2026年3月17日、ランサムウェアによる不正アクセスにより顧客の個人情報が外部から閲覧できる状態になっていた可能性があると公表しました。「暗号化されたから漏洩ではない」という認識は現在の攻撃の実態にそぐわないことを改めて示す事例であり、個人情報保護委員会への速報と確報の対応が求められます。
▶ 詳細記事:タカカツグループホールディングス、業務用サーバへの不正アクセスとランサムウェアの被害
フランスベッド、委託先へのランサムウェア攻撃で顧客の個人情報への影響を調査中
フランスベッドは2026年3月、委託先の東山産業がランサムウェア攻撃を受けたことで、福祉用具レンタル事業の顧客情報に影響が及ぶ可能性があると公表しました。高齢者・介護利用者の氏名・住所・サービス利用情報などが含まれる可能性があり、要配慮個人情報に準じる取り扱いが必要な情報が対象となり得ます。
▶ 詳細記事:フランスベッド、委託先 東山産業のランサムウェア 被害で顧客の個人情報への影響を調査
記録媒体の紛失・誤公開による個人情報漏洩
多根総合病院、委託先によるUSBメモリ紛失で患者の個人情報が漏洩の恐れ
社会医療法人きつこう会 多根総合病院は2026年3月17日、業務委託先事業者の従業員が患者の個人情報を含むUSBメモリを紛失したと公表しました。患者情報は個人情報保護法上の「要配慮個人情報」に該当し、漏洩時には原則として個人情報保護委員会への報告と本人への通知が義務づけられます。委託先に対しても持ち出し禁止・暗号化の徹底を契約上明記することが求められます。
▶ 詳細記事:多根総合病院、委託先事業者が患者の個人情報入りUSBを紛失し個人情報漏洩の恐れ
NICT、音声コーパスの誤公開で115名分の音声ファイルが漏洩
情報通信研究機構(NICT)は2026年3月19日、研究用として公開していた音声合成用日本語コーパスに、本来公開対象外であったボイスチェック用の音声ファイル115名分が誤って含まれていたと公表しました。声紋・音声は生体情報に準じるデータとして取り扱われるケースがあり、本人識別への悪用リスクも懸念されます。公開前の複数人によるチェック体制と、公開範囲の事前確認フローの整備が不可欠です。
▶ 詳細記事:情報通信研究機構 NICT音声コーパスの誤公開で115名分の音声ファイルが漏えい
内部者・出向者による個人情報の不正利用
福岡銀行、メットライフ生命出向者による保険契約情報の不正持ち出し
福岡銀行は2026年3月27日、メットライフ生命保険からの出向者により、同行で取り扱った顧客の生命保険契約情報の一部がメットライフ生命へ漏洩していた事案が判明したと公表しました。出向者という特殊な立場を悪用した情報の持ち出しで、銀行と生命保険会社という複数の組織にまたがって個人情報が流出した事案です。顧客の氏名・契約内容・保険金額等の機密性の高い情報が対象となっており、出向者・派遣社員のアクセス権限管理と情報持ち出し制限の見直しを促す事例といえます。
▶ 詳細記事:福岡銀行、メットライフ生命出向者による保険契約情報の不正持ち出しを発表
大阪府警、OBへの捜査情報漏洩で警部補を懲戒免職
大阪府警は2026年3月19日、職権で知り得た捜査関連情報をOBに漏洩したとして起訴された警部補を懲戒免職処分としました。金融機関への照会情報など機密性の高い個人情報が内部者によって流出した事案で、アクセスログの監視体制と利用目的を超えた情報参照を検知する仕組みの整備が求められます。
▶ 詳細記事:大阪府警、OBへの業務情報の漏えいで起訴の警部補を懲戒免職
ソニー生命元営業社員、顧客の個人情報を私的に悪用し約100人から約22億円を借り入れ
ソニー生命保険は2026年3月18日、元営業社員が業務上取得した顧客の氏名・連絡先・資産状況などの個人情報を私的に悪用していたと公表しました。個人情報が金銭被害という直接的な損害に結びついた深刻な事案であり、営業担当者の個人情報へのアクセスログを定期的に監査する体制が重要です。
▶ 詳細記事:ソニー生命元営業社員が顧客ら約100人から約22億円を個人的に借り入れし懲戒解雇
まとめと対策のポイント
委託先・外部連携先が保有する個人情報を自社のリスクとして管理する 多根総合病院・国際武道大学・フランスベッドの事例が示すとおり、委託先が引き起こした漏洩でも委託元に報告義務・通知義務が生じます。委託契約にセキュリティ要件を明記し、年1回以上の実態確認を義務化することが個人情報保護法上の安全管理措置として求められます。
出向者・派遣社員のアクセス権限と情報持ち出しを厳格に管理する 福岡銀行の事例が示すとおり、出向者は複数の組織にまたがってデータにアクセスできる立場にあり、通常の従業員とは異なる管理が必要です。業務に必要な最小限の権限付与・情報の持ち出し制限・退出時のアクセス権剥奪を出向・派遣契約の段階から取り決めておくことが重要です。
漏洩発生時の対応フローを事前に整備しておく 個人情報保護委員会への速報(3〜5日以内)・確報(30日以内)の期限を守るためには、社内の報告ルート・外部専門家との連携体制・本人通知の文面などを事前に準備しておくことが不可欠です。







