山形大学、YCC情報システムへのサイバー攻撃で8万件超の個人情報漏洩の恐れ-契約終了後のデータ残存が問題浮き彫りに|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年04月22日更新日時: 2026年04月27日

国立大学法人山形大学は2026年4月20日、同大学が株式会社YCC情報システム（以下「YCC社」）にデータ処理を委託していた個人情報について、サイバー攻撃により漏洩のおそれがあることを公表しました。漏洩のおそれがある個人情報は延べ80,091件に上り、在学生および卒業生が対象に含まれます。

1 今回のインシデントの概要
- 1.1 背景
2 対応
3 漏洩対象の注意点
4 本件が示す問題——「契約終了後のデータ残存」
- 4.1 参考情報

今回のインシデントの概要

項目	内容
攻撃発生日	2026年4月2日
判明日	2026年4月15日までの調査で判明
公表日	2026年4月20日
漏洩のおそれがある個人情報	延べ80,091件
対象	在学生および卒業生等（契約終了分を含む）
個人情報の流出確認	現時点で流出は未確認
行政報告	個人情報保護委員会・文部科学省に報告済み

YCC社が管理するファイルサーバーへの不正アクセスにより、山形大学がデータ処理を委託していた個人情報が外部に流出した可能性が確認されています。山形大学が直接攻撃を受けたわけではなく、委託先事業者のサーバーに保管されていたデータが被害を受けた形です。

背景

YCC社（山形県山形市）は山形新聞・山形放送グループのシステムインテグレーターで、地方自治体・医療機関・民間企業のITシステムを幅広く手がける企業です。2026年4月2日早朝にランサムウェア攻撃を受け、同社のファイルサーバーに保管されていたデータが外部に流出した可能性が確認されました。

今回の山形大学への影響は、このYCC社へのランサムウェア攻撃に端を発するものです。

既報の通り、山形市が委託したシステムの約50万件・マイナンバーを含む人事給与情報約6,000件などが対象となっており、被害は山形市にとどまらず県内外の9組織以上に及んでいます。

YCC社1社への攻撃が山形市・山形大学をはじめ複数の委託元に影響をおよぼしているという事実は、委託先のセキュリティ水準が委託元のデータ保護の実効性を左右する構造的リスクを改めて示しています。

対応

個人情報保護委員会および文部科学省への報告は完了し今後、対象者を確定した上で個別通知を行う予定で、連絡が可能な在学生には電子メール等で状況説明を行い、連絡が取れない卒業生等については大学公式ホームページをもって状況説明を行うとしています。また、YCC社に対して個人情報の適切な取扱いの徹底を申し入れるとともに、原因究明と再発防止策の報告を求めています。

お問い合わせ窓口

株式会社YCC情報システム（相談窓口）：TEL 023-641-4727 / incident-contact★yamagata-ycc.co.jp（★を@に変換）　受付時間：平日 8:30〜17:30

国立大学法人山形大学（総務部総務課長）：TEL 023-628-4003 / yu-incident★jm.kj.yamagata-u.ac.jp（★を@に変換）　受付時間：平日 8:30〜17:00

漏洩対象の注意点

今回の対象となり得る個人情報には、在学中または卒業後に山形大学がYCC社に処理を委託したデータが含まれます。氏名・連絡先・学歴情報などの基本的な個人情報のほか、処理委託の内容によっては健康診断情報等が含まれる可能性があります。具体的な情報の種別については、現在YCC社で調査中のため公表されていません。

山形大学から個別連絡が届くまでの間、以下の点に注意してください。山形大学やYCC情報システムを名乗る不審な電話・メール・SMSには応じないでください。「個人情報が漏洩した」「確認のため情報を教えてください」といった連絡は詐欺の可能性があります。不審に思った場合は、上記の公式問い合わせ先に直接確認してください。

なお、現時点でYCC社の調査では個人情報の流出は確認されていないとしていますが、調査は継続中です。新たな事実が判明した場合は山形大学公式ホームページを通じて随時公表されます。