アフラック生命保険株式会社は2026年7月1日、前日の6月30日に金融庁から報告徴求命令を受領したと発表しました。
保険業法第128条第1項および個人情報の保護に関する法律第146条第1項に基づくもので、6月30日に公表した不正アクセスによる顧客個人情報の漏えい事案を受けた行政上の対応です。同社は「不正アクセスの手口等の本事案に係る事実関係、お客さまへの対応状況、原因分析および再発防止策等について、金融庁に報告を行う」としており、現時点では調査が継続中です。
サマリー
- 2026年6月30日、アフラック生命保険が契約者専用サイト「アフラック よりそうネット」等への不正アクセスによる個人情報漏えいを公表。漏えい件数は顧客約438万人、うち約23万人は保険料振替口座情報も対象
- 不正アクセスは2026年6月15日に最初に発生し、6月25日まで複数回確認。6月25日早朝に情報処理装置の高負荷を検知したことが調査の端緒となり、同日中に遮断・関連システム停止
- 漏えい項目は氏名・生年月日・性別・住所・電話番号・証券番号・保障内容・保険料振替口座情報。マイナンバーおよびクレジットカード情報は含まれない
- 代理店関連では代表者氏名・住所・電話番号など約4万店分が対象
- 金融庁は6月30日、保険業法第128条第1項および個人情報の保護に関する法律第146条第1項に基づく報告徴求命令を発出。アフラック生命は7月1日に受領を公表
- 報告徴求命令は不正アクセスの手口・原因分析・顧客対応状況・再発防止策の報告を求めるもの。現時点で不正利用の二次被害は確認されていない
| 項目 | 内容 |
|---|---|
| 発表日 | 2026年6月30日(インシデント初報)・2026年7月1日(報告徴求命令受領) |
| 発表主体 | アフラック生命保険株式会社(代表取締役社長:古出眞敏) |
| インシデントの種別 | 第三者による不正アクセス・個人情報漏えい |
| 影響を受けた顧客数 | 約438万人 |
| うち口座情報が漏えいした顧客数 | 約23万人 |
| 代理店への影響 | 約4万店(代表者氏名・住所・電話番号等) |
| 漏えい確認・遮断日 | 2026年6月25日 |
| 最初の不正アクセス | 2026年6月15日 |
| 報告徴求命令の根拠法令 | 保険業法第128条第1項・個人情報の保護に関する法律第146条第1項 |
| 報告徴求命令の受領日 | 2026年6月30日 |
| マイナンバー・カード情報の漏えい | なし |
| 二次被害の確認 | なし(公表時点) |
報告徴求命令とは何か
報告徴求命令とは、監督官庁が法令に基づいて事業者に対し、業務・財産の状況に関する報告や資料提出を求める行政上の権限行使です。今回の命令は2つの法律を根拠としています。
保険業法第128条第1項は、内閣総理大臣(実際の権限は金融庁長官に委任)が保険会社に対し、業務および財産の状況に関して報告または資料の提出を求めることができると定めています。
保険会社は公益性の高い事業を担い、多数の顧客から長期にわたって個人・財務情報を預かることから、同法は広範な監督権を金融庁に与えています。
個人情報の保護に関する法律第146条第1項は、個人情報保護委員会が必要と認めるときに個人情報取扱事業者等に対して報告または資料提出を求めることができると定めています。今回の漏えい件数や攻撃の能動的な性格、金融情報が対象に含まれている点からも、行政機関が詳細な事実確認を求めることは当然の対応といえます。
報告徴求命令は、業務改善命令や業務停止命令よりも前段階に位置する手続きです。
事業者は報告書を提出し、その内容が精査された後に追加の対応が求められる場合があります。今回アフラック生命が金融庁に報告することを求められているのは、不正アクセスの手口・事実関係、顧客への対応状況、原因分析、再発防止策の4点です。
不正アクセスの経緯と漏えいの範囲
アフラック生命保険の発表によれば、不正アクセスは2026年6月15日に最初に発生し、6月25日までの間に複数回にわたって確認されています。6月25日早朝に情報処理装置の高負荷状況を検知したことが事態把握の出発点となり、同日中に不正アクセスを遮断するとともに関連するシステムを停止しました。
漏えいした顧客情報の内訳は、氏名・生年月日・性別・住所・電話番号・証券番号・保障内容です。このうち保険料振替口座情報(金融機関名・支店名・預金種類・口座番号・口座名義等)が漏えいの対象となった顧客は約23万人とされています。マイナンバーおよびクレジットカード情報は含まれていないとアフラックは説明しています。
代理店関連についても、代表者氏名・代理店住所・代理店電話番号等の個人情報が約4万店分漏えいしたと確認されています。この件数には、過去にアフラック生命と業務委託契約を締結し、現在は委託業務を行っていない代理店も含まれているとのことです。
なお、第一生命保険株式会社も同社を通じてアフラックの商品を加入した顧客の情報が漏洩した恐れを発表しています。
漏えい情報の悪用リスクと注意点
今回漏えいした情報の組み合わせが持つリスクは、単純な氏名・住所の漏えいとは性質が異なります。
氏名・住所・電話番号・生年月日という本人確認に有用な情報に加え、保障内容という保険契約の詳細が含まれており、アフラックの担当者を装った電話や郵送物・SMSによる詐欺に利用される可能性があります。さらに、約23万人については保険料振替口座の金融機関名・支店名・口座番号・口座名義まで含まれており、不正な口座振替の試みや口座乗っ取り型の詐欺のリソースとして使われるリスクがあります。
アフラック生命はコールセンター(0120-5555-95)以外からの不審な連絡には応じないよう注意を促しています。情報システム部門の立場では、自社の従業員が被害者のひとりとなっている可能性、あるいは代理店として情報が漏えいしている可能性を念頭に置きつつ、社員向けへの注意喚起を行うことが適切な対応の一つです。
情報システム部門への示唆
今回の事案が提示する問いは、侵入を完全に防ぐことの困難さという技術的な問題だけにとどまりません。侵入から遮断まで10日間の窓が生じたこと、その間に複数回のアクセスが行われていたことは、攻撃の早期検知と侵入後の封じ込め設計が問われる局面です。
ネットワークエンジニアとして複数の企業でインフラ設計に携わってきた経験からいうと、外部に公開するウェブシステムの異常を高負荷の検知で把握できた点はひとつの機能として働いていますが、理想的には不正なアクセスパターンや認証の異常が高負荷よりも先に検知される仕組みがあるべきです。侵害後の横展開を防ぐネットワーク分離、管理者権限の定期棚卸し、データの所在と分割保管の設計といった点が、今後の調査で争点になると考えられます。
金融庁への報告が完了した段階で、原因と再発防止策がどのように整理されるかは、保険業界だけでなく顧客向けウェブシステムを運用するすべての組織にとって参考となる事例になるとみられます。調査結果の続報に注目する価値があります。
出典
- 金融庁による報告徴求命令の受領について(2026年7月1日) – アフラック生命保険株式会社(1次ソース)
- 当社システムに対する不正アクセスの発生および情報漏えいに関するお詫びとお知らせ(2026年6月30日) – アフラック生命保険株式会社(1次ソース)
- アフラック顧客情報438万人分流出 不正アクセス – 日本経済新聞
- アフラックに不正アクセス、約438万人分の個人情報漏えい 口座情報23万件も – ITmedia NEWS
当サイト関連記事:








