総務省は2026年6月24日、KDDIが取引先のISP(インターネット接続サービス)事業者向けに提供するメールシステムに不正アクセスがあり、最大1,422万件のメールアドレスおよびパスワードが漏洩した可能性があることを受けて、KDDIに対して「報告徴収」の行政処分を実施したとNHKが報じました。KDDIが2026年7月6日までに、情報漏洩の詳しい原因・利用者への対応状況・再発防止策を報告するよう求めており、総務省はその内容を確認したうえで追加の処分を含む対応を検討するとしています。
サマリー
- 行政処分日:2026年6月24日
- 処分対象:KDDI株式会社
- 処分の種類:報告徴収
- 根拠法令:電気通信事業法(推定)
- 報告期限:2026年7月6日
- 報告内容:①情報漏洩の詳しい原因、②利用者への対応状況、③再発防止策
- 総務省の今後の方針:報告内容を確認したうえで追加の処分を含む対応を検討
- 今回の事案:KDDIが@nifty・BIGLOBE・J:COM・コミュファ光・ピカラ・CPIの6社に提供するメールシステムへの不正アクセス(2026年6月17日確認)。最大1,422万件のメールアドレス・パスワードが漏洩した可能性
| 項目 | 内容 |
|---|---|
| 処分日 | 2026年6月24日 |
| 対象 | KDDI株式会社 |
| 処分の種類 | 報告徴収 |
| 報告期限 | 2026年7月6日 |
| 求められる報告内容 | 漏洩原因・利用者対応状況・再発防止策 |
| 今後の対応 | 追加処分を含む対応を検討 |
| 事案の規模 | 最大1,422万件(メールアドレス・パスワード) |
| 影響サービス | @nifty・BIGLOBE・J:COM・コミュファ光・ピカラ・CPI |
何が起きたか
KDDIは2026年6月23日、同社がISP事業者向けに提供するメールシステムが不正アクセスを受け、@nifty・BIGLOBE・J:COM・コミュファ光・ピカラ・CPIの6社のメールサービス利用者のメールアドレスとパスワードが最大1,422万件漏洩した可能性があると発表しました。不正アクセスは6月17日に確認されており、同日中にシステム改修と防御措置が実施されています。原因はメールシステムで使用していた第三者製ソフトウェアの脆弱性を悪用されたことによるものとされていますが、具体的なソフトウェア名やCVE番号は公表されていません。
翌6月24日、総務省はKDDIに対して「報告徴収」の行政処分を実施しました。1,400万件超という漏洩規模と、通信の秘密を保護する義務を課されている電気通信事業者としての責任を踏まえた対応です。7月6日を期限として、情報漏洩の詳しい原因・利用者への対応状況・再発防止策について報告を求めています。総務省は報告内容を確認したうえで追加処分を含む対応を検討するとしており、報告内容によっては行政指導や業務改善命令などへの段階的な処分拡大もあり得る状況です。
関連:メール 基盤に相次ぐ サイバー攻撃- KDDI・IIJ・TOKAIコミュニケーションズ・WebARENAの4事案を整理
「報告徴収」とはどのような行政処分か
報告徴収は電気通信事業法に基づく行政処分の一種で、監督官庁である総務省が電気通信事業者に対して事実関係・対応状況・再発防止策の詳細な報告を求めるものです。これは行政処分の段階の中では「調査段階」に位置づけられ、事業者の対応や原因の詳細が十分に把握できていない場合に、まず事実を確認するために発動されます。
総務省が電気通信事業者に発動できる行政処分には段階があります。最初の段階が報告徴収で、事業者に対して情報開示と説明責任を果たすよう求めます。報告の内容が不十分な場合や、再発防止策が不十分と判断された場合には、行政指導(法的拘束力はないものの官庁の見解・改善要求を明示するもの)へと進みます。さらに問題が深刻であれば、業務改善命令や、最終的には電気通信役務の停止命令という強制力のある処分が発動されることもあります。
2025年のIIJセキュアMXサービスへの不正アクセス事案では、報告徴収を経て最終的に総務省が「行政指導」に至っています。今回のKDDIに対しては現時点での処分が報告徴収にとどまっていますが、総務省が「追加の処分も含めた対応を検討する」と明示している点は、7月6日以降に処分が段階的に強化される可能性を明示したものです。
IIJへの行政指導との比較
今回のKDDIへの報告徴収は、当サイトが報じてきた日本国内のメールシステムへの不正アクセス連続事案の中で、KDDIに対する初の行政的な対応措置です。
参考として、2025年のIIJの事案ではActive! mailのゼロデイ脆弱性(CVE-2025-42599)を悪用した不正アクセスで確定586契約・311,288件の漏洩が確認され、総務省は報告徴収を経て最終的に行政指導(通信の秘密の保護およびサイバーセキュリティの確保の徹底に関する指導)を実施しています。
KDDIの事案は確定漏洩件数こそ調査継続中ですが、最大1,422万件という規模はIIJの確定値の約45倍に相当します。この規模の差が最終的にどのような処分の差につながるかは、KDDI が7月6日までに提出する報告書の内容と、総務省の評価によって決まります。特に再発防止策の実効性と、漏洩したパスワードの保管方式(ハッシュ化の詳細・平文の有無)に関する説明が評価のポイントになると考えられます。
関連:総務省がIIJへ行政指導、サイバー攻撃による情報漏洩で再発防止策を要請
情報システム部門への示唆
今回の行政処分は、情報システム部門にとって2つの観点で参考になります。
ひとつは外部委託・SaaSサービスへの依存に伴う規制上のリスクです。今回KDDIが処分を受けた事案は、KDDIが提供するメールインフラを利用して6社のISPがメールサービスを提供していたという委託構造の中で発生しました。電気通信事業者として利用者の通信の秘密を保護する責任はインフラ提供者であるKDDIにあり、システムを委託している6社の事業者がKDDIから被害通知を受ける立場になっています。自社がメールその他の通信サービスの基盤を他社に委託している場合、委託先がこのような処分を受けた際の対応フロー(自社での調査実施・利用者への通知・主務官庁への報告要否判断)を事前に整備しておくことを推奨します。
もうひとつは行政処分のエスカレーション構造の認識です。「報告徴収→行政指導→業務改善命令→停止命令」という処分の段階を理解したうえで、最初の報告徴収の段階での対応品質が最終的な処分の重さに直接影響することを意識した初動対応が重要です。速やかな原因特定・利用者への個別通知・具体的な再発防止策の策定と実施というプロセスを、法律上の期限(今回は7月6日)に合わせて進める体制が求められます。
FAQ
Q. 「報告徴収」はKDDIに対する制裁ですか?
A. 報告徴収は行政処分のひとつですが、制裁的な性格よりも「事実確認と説明責任の要求」に近いものです。電気通信事業法に基づく調査・監督の手段であり、KDDIが求められた報告を期限(7月6日)までに提出しなかった場合や、内容が不十分と判断された場合には、より強い処分への段階的な移行があり得ます。
Q. 7月6日以降にどのような追加処分が想定されますか?
A. 総務省が「追加の処分も含めた対応を検討する」と述べており、報告内容の評価次第で行政指導・業務改善命令などへの処分強化が考えられます。参考として、2025年のIIJ事案では報告徴収を経て最終的に行政指導に至りました。KDDIは通信事業者として保護義務を負う利用者情報の規模が大きいため、同程度かそれ以上の行政的な関与が続く可能性があります。
Q. auやUQ mobileのメールサービスは今回の処分対象ですか?
A. 直接的には対象外です。今回の不正アクセス事案の対象はKDDIがISP事業者向けに提供するメールシステムで、auやUQ mobileのメールサービスは別基盤で管理されており影響を受けていないとKDDIが明示しています。行政処分はこの事案に関わるシステム・対応について求められているものです。
出典
当サイト関連記事
関連記事
メール 基盤に相次ぐ サイバー攻撃- KDDI・IIJ・TOKAIコミュニケーションズ・WebARENAの4事案を整理
KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード 最大1,422万件が漏洩の恐れ@nifty・BIGLOBE・J:COMなど6社に影響
KDDI ウェブコミュニケーションズのメールサービスで不正アクセスの被害-KDDIのサイバー攻撃から影響
KDDI 子会社で2,461億円の架空循環取引が発覚|不正の全容・動機・処分状況をわかりやすく解説
マルタケ、不正アクセスで取引先や社員の個人情報漏洩の恐れ
KDDI、子会社の巨額の不適切 取引で約330億円 流出-会計監査人はニデックと同系統のPwC グループ
ネックストラップ ECサイト「ホットストラップ」で不正アクセス、クレジットカード含む個人情報が最大1,506件流出の可能性
九州電力送配電、最大1,090万口分の顧客の個人情報入り外部記憶媒体を紛失-需要者名・住所・使用電力量データなど保存
EUサイバーレジリエンス法(CRA)とは-対象製品・罰則や日本企業への影響
