アサヒグループホールディングスは2026年7月17日、2025年9月29日に発生したサイバー攻撃について、追加調査・精査の結果を踏まえ、漏えいのおそれがある個人情報の対象範囲を改めて整理したと公表しました。当サイトでも継続して報じてきたこの事案は、当初の調査完了公表(2026年2月18日)からさらに精査が進み、二次被害防止の観点から「漏えいのおそれを完全には否定できないもの」も対象に含める、より保守的な整理へと見直されています。
サマリー
- アサヒグループホールディングスは2026年7月17日、2025年9月29日に発生したサイバー攻撃について、情報漏えいまたはそのおそれの範囲に関する追加調査・精査の結果を公表した
- 2026年2月18日時点で公表していた「漏えいのおそれがある個人情報(2025年11月26日時点)」の対象者・内容・件数について、個人情報保護委員会との協議も踏まえ、二次被害防止の観点および関係法令に基づき、漏えいのおそれを完全には否定できないものも対象範囲として取り扱うよう改めて精査した
- 2026年7月17日時点で公表された「漏えいのおそれがある個人情報」は、5つの対象者区分の合計で約228.9万件にのぼる。内訳は、アサヒビール・アサヒ飲料・アサヒグループ食品各社のお客様相談室への問い合わせ者(氏名・性別・住所・電話番号・メールアドレス)約152.5万件、慶弔対応を行った社外関係先(氏名・住所・電話番号)約11.7万件、従業員(退職者含む、氏名・生年月日・性別・住所・電話番号・メールアドレス等)約10.7万件、従業員の家族(氏名・生年月日・性別)約16.2万件、取引先の役員・従業員や個人事業主等(氏名・生年月日・性別・住所・電話番号・メールアドレス等)約37.8万件
- 個人情報にクレジットカード情報は含まれておらず、対象となる全件に「内容」欄記載の情報すべてが含まれているわけではないと注記されている
- 一方、2026年2月18日に公表した「漏えいが確認された個人情報(2026年2月18日時点)」については、内容に訂正はないとしている。すなわち、実際に外部への漏えいが確定した情報の範囲自体は変わっておらず、今回の見直しは「おそれ」の範囲を保守的に広げたものであることが明確化されている
- 外部専門機関による調査を含むこれまでの調査により、同社グループのデータセンターのサーバー内に保管されていた個人情報について、データが外部に流出した事実そのものは確認されていない
- 情報漏えいのおそれのある対象者には順次通知を行っており、現時点で不正利用等を含む二次被害の事実は確認されていない
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年7月17日 |
| 事案発生日 | 2025年9月29日 |
| 前回公表日 | 2026年2月18日(漏えいのおそれの範囲は2025年11月26日時点の集計) |
| 漏えいのおそれがある個人情報の合計 | 約228.9万件(5区分合計) |
| 最大区分 | お客様相談室への問い合わせ者:約152.5万件 |
| クレジットカード情報 | 含まれていない |
| データの外部流出の事実 | 確認されていない(データセンターサーバー内保管分) |
| 確認済み漏えい情報の内容 | 訂正なし(2026年2月18日公表内容のまま) |
| 二次被害 | 現時点で確認されていない |
| 問い合わせ窓口 | アサヒグループ個人情報お問い合わせ窓口(0120-235-923) |
何が起きたか-事案の概要と精査の経緯
アサヒグループホールディングスの説明によれば、2025年9月29日に発生したサイバー攻撃について、外部の攻撃者が同社グループ内拠点のネットワーク機器を経由して内部ネットワークへ侵入したことが判明しています。同社は2026年2月18日、それまでに完了した調査内容・範囲を公表していましたが、その後も追加調査・精査を継続し、今回、漏えいのおそれのある個人情報の対象範囲を改めて整理しました。
外部専門機関による調査を含むこれまでの調査の結果、同社グループのデータセンターにあるサーバー内に保管されていた個人情報について、データが外部に流出した事実そのものは確認されていません。しかし、個人情報保護委員会との協議も踏まえ、個人の権利利益保護の観点から漏えいのおそれの範囲を改めて精査した結果、二次被害防止の観点および関係法令に基づき、漏えいのおそれを完全には否定できないものについても「漏えいのおそれがある範囲」として取り扱うことにしたと説明しています。これにより、2026年2月18日に公表した「漏えいのおそれがある個人情報(2025年11月26日時点)」の対象者・内容・件数が、今回改めて修正される形になりました。
見直し後の対象範囲(2026年7月17日時点)
今回公表された「漏えいのおそれがある個人情報(2026年7月17日時点)」は、5つの対象者区分の合計で約228.9万件にのぼります。
内訳は、アサヒビール株式会社・アサヒ飲料株式会社・アサヒグループ食品株式会社各社のお客様相談室に問い合わせた方(氏名・性別・住所・電話番号・メールアドレス)が約152.5万件と最大で、
祝電や弔電などの慶弔対応を実施した社外の関係先(氏名・住所・電話番号)が約11.7万件、
従業員(退職者を含む、氏名・生年月日・性別・住所・電話番号・メールアドレスなど)が約10.7万件、
従業員の家族(氏名・生年月日・性別)が約16.2万件、
取引先の役員・従業員および取引先個人事業主とその従業員など(氏名・生年月日・性別・住所・電話番号・メールアドレスなど)が約37.8万件です。
同社は、個人情報の中にクレジットカード情報は含まれていないこと、一件ごとに「内容」欄記載の全ての情報が含まれているわけではないこと、そしてこれらの数値がデータセンターのサーバー内に保管されていた個人情報と、一部パソコン端末に保管されていた個人情報の両方を含むことを注記しています。
一方で、2026年2月18日に公表した「漏えいが確認された個人情報(2026年2月18日時点)」については、内容に訂正はないとしています。つまり今回の見直しは、実際に外部漏えいが確定した範囲を拡大したものではなく、あくまで「漏えいの可能性を完全には否定できない」という、より保守的な基準に基づいて「おそれ」の範囲を整理し直したものです。
対応状況
同社は、情報漏えいのおそれのある対象者に対して順次通知を行っており、現時点において不正利用等を含む二次被害の事実は確認されていないとしています。あわせて、2026年2月18日に公表した再発防止策とガバナンス体制の強化を着実に推進し、グループ全体の情報管理・セキュリティ管理の高度化に取り組むとしています。
これまでの経緯
当サイトで継続して報じてきた通り、アサヒグループホールディングスは2025年9月29日にサイバー攻撃によるシステム障害を公表し、日本国内のグループ会社における受注・出荷業務やコールセンター業務が停止する事態となりました。その後、ランサムウェアグループQilinが不正アクセスを主張し、国内6工場での製造再開後も出荷や決算発表に長期の影響が及び、2025年12月期決算短信の開示が期末後50日超に及ぶという、上場企業として異例の対応にまで発展しました。2026年2月18日には、それまでの調査で判明した情報漏えい・そのおそれの範囲と再発防止策が公表されており、今回はその内容をさらに精査した続報にあたります。この一連の事案を受け、同社を含む流通業界ではNTTが主導する形で「流通ISAC」の設立に向けた動きも進んでいます。
情報システム部門への示唆
今回の事案が示す重要な教訓は、「データの外部流出の事実が確認されていない」ことと、「漏えいのおそれがないと言い切れる」ことは同義ではないという点です。アサヒグループホールディングスは、データセンターのサーバーからの外部流出そのものは確認されていないとしながらも、規制当局との協議を踏まえ、二次被害防止という観点から、可能性を完全に否定できない範囲まで「おそれ」として保守的に扱う判断をしています。これは、個人情報保護委員会が推奨するとみられる、被害者保護を優先した開示のあり方の一例だと考えられます。
自組織が同様のインシデントを経験した場合、フォレンジック調査によって「外部流出の確たる証拠が見つからない」という結果が出たとしても、それを根拠に「漏えいはなかった」と単純に整理してしまうことにはリスクが伴います。特に、調査技術上の制約により持ち出しの有無を完全に特定できないケースでは、規制当局との協議を通じて、対象者保護の観点から「おそれ」の範囲をどう設定するかを慎重に検討する必要があります。今回のように、確定的な漏えい件数とは別に「おそれ」の範囲を段階的に精査し、必要に応じて上方修正して開示し直すという対応は、初期公表の内容に固執せず、規制当局との対話を通じて開示の妥当性を継続的に見直す姿勢として、他の組織にとっても参考になります。
出典
- サイバー攻撃に係る漏えいのおそれがある個人情報について – アサヒグループホールディングス株式会社(一次ソース)
- アサヒ グループホールディングス、サイバー攻撃で11万超の個人情報漏洩-再発防止策を発表 – セキュリティ対策Lab
- アサヒ グループホールディングスへのサイバー攻撃のまとめ – セキュリティ対策Lab
- アサヒグループホールディングスへのサイバー攻撃、ランサムウェアグループQilinが不正アクセスを主張 – セキュリティ対策Lab
- アサヒグループHDがランサムウェアによるサイバー攻撃で業績を下方修正 – セキュリティ対策Lab
- アサヒグループホールディングスへのサイバー攻撃を受けてNTTが流通ISAC設立へ – セキュリティ対策Lab








