2026年4月は、出向者による大規模な顧客情報の無断持ち出しが複数の大手企業・業界にわたって発覚し、組織の壁を越えた個人情報の流出リスクが改めて浮き彫りになりました。損保大手3社によるトヨタ社員2万人分の無断持ち出し問題は、3月の福岡銀行・メットライフ生命の事案に続くもので、出向者による情報流出という構造的な課題が業界全体に広がっていることを示しています。また、新入社員によるSNS誤投稿が相次いだ月でもありました。日本テレビ「ZIP!」の制作協力会社の新人スタッフが研修翌日に内部情報をInstagramに投稿した事例、西日本シティ銀行の職員がBeRealで支店内を撮影・投稿した事例はいずれも、規程や研修だけでは防ぎきれない「うっかり漏洩」の深刻さを示しています。外部からの不正アクセスによる漏洩とあわせ、人的要因による流出が多発した月として個人情報保護体制の見直しが求められます。
目次
2026年4月 個人情報漏洩インシデント一覧
下表は、本記事で取り上げる主要なインシデントを公表日順にまとめたものです。
| 公表日 | 組織・対象名 | 漏洩の概要 | 対象となる個人情報・特記事項 |
|---|---|---|---|
| 2026年4月30日 | 西日本シティ銀行 | 職員がBeRealで支店内を撮影・投稿し顧客7名の氏名等が拡散 | X上で1,042万ビュー超の炎上状態に |
| 2026年4月27日 | 日本テレビ(ZIP!新人スタッフ) | 制作協力会社の新人スタッフが内部情報をInstagramに投稿 | 入構証・出演者資料・シフト表が流出、研修翌日に発生 |
| 2026年4月27日 | 村田製作所(第三報) | IT環境への不正アクセスで約8.8万件の個人情報漏洩の恐れ | 従業員・顧客・取引先情報が対象 |
| 2026年4月24日 | 損保大手3社・トヨタ | 出向者による2万人分の無断持ち出し | 損保3社の出向者がトヨタの社員情報を無断で持ち出し |
| 2026年4月24日 | イエローハット子会社 | 2りんかんアプリ会員の個人情報漏洩の恐れ | アプリ会員の氏名・連絡先等が対象 |
| 2026年4月24日 | CAMPFIRE | GitHubへの不正アクセスで顧客情報管理システムに痕跡 | 第3報、影響範囲を調査中 |
| 2026年4月24日 | 神奈川の小学校教諭 | 個人情報記載資料を他人名義で勤務先へ送付 | 内部不正として逮捕 |
| 2026年4月23日 | 仙台市立小学校教員 | 校務用画面をSNSに投稿・個人情報流出 | 児童の個人情報が含まれる画面を撮影・投稿 |
| 2026年4月23日 | 札幌市職員 | 業務用ノートPCを地下鉄駅トイレに置き忘れ紛失 | 個人情報漏洩は確認されず |
| 2026年4月公表 | がんばる舎 | 不正アクセス | 保護者・児童の個人情報漏洩は現時点で確認されず |
不正アクセスによる個人情報漏洩
村田製作所、IT環境への不正アクセスで従業員・顧客・取引先の個人情報約8.8万件が漏洩の恐れ
電子部品世界最大手の株式会社村田製作所(東証プライム:6981)は2026年4月27日、IT環境への不正アクセスに関する第三報を公表しました。顧客・取引先の担当者情報および従業員の個人情報が対象となっており、約8.8万件規模の漏洩の恐れが明らかになりました。個人情報保護法の観点では、従業員・取引先担当者の情報も「個人情報」に該当するため、漏洩が確認された場合には本人への通知と個人情報保護委員会への報告義務が生じます。グローバルに個人情報を管理する大手製造業における安全管理措置の強化が求められます。
▶ 詳細記事:村田製作所、不正アクセスによるサイバー攻撃で約8.8万件の個人情報漏洩の恐れ
CAMPFIRE、GitHubへの不正アクセスで顧客情報管理システムの一部に不正アクセス痕跡
CAMPFIREは2026年4月22日、システム管理用GitHubアカウントへの不正アクセスに関する第3報を公表しました。顧客情報管理システムの一部でも不正アクセスの痕跡が確認されており、クラウドファンディングを利用した支援者・プロジェクトオーナーの氏名・連絡先・決済情報等の個人情報が影響を受けた可能性があります。個人情報保護委員会への報告義務が生じる可能性があり、引き続き調査状況の公表が求められます。
▶ 詳細記事:CAMPFIRE、GitHubへの不正アクセスで顧客情報管理システムの一部で外部からの不正アクセス痕跡
イエローハット子会社、「2りんかんアプリ」会員の個人情報が漏洩の恐れ
2026年4月23日、バイク用品チェーン「2りんかん」を運営する株式会社2りんかんイエローハットおよびその親会社であるイエローハットは、同社が管理するサービスアプリの会員の個人情報が外部に漏洩した恐れがあると公表しました。アプリ会員の氏名・住所・電話番号・メールアドレスなどの個人情報が対象となり得ます。個人情報保護法に基づく速報・確報の対応と、該当会員への通知が求められます。
▶ 詳細記事:イエローハット 子会社、「2りんかんアプリ」の会員の個人情報が漏洩の恐れ
がんばる舎、不正アクセスによる保護者・児童の個人情報漏洩は現時点で確認されず
株式会社がんばる舎は2026年4月、不正アクセスについて調査の結果、保護者・児童の個人情報漏洩は現時点で確認されていないと公表しました。子どもの個人情報という要配慮性の高いデータを保有する教育関連企業への攻撃であり、保護者への丁寧な説明と継続的な監視が求められる事案です。
▶ 詳細記事:株式会社がんばる舎、不正アクセスによる保護者・児童の個人情報漏洩は現時点で確認されず
SNS誤投稿・記録媒体の紛失による個人情報漏洩
西日本シティ銀行、職員がBeRealで支店内を撮影・投稿し顧客7名の氏名がX上で拡散
株式会社西日本シティ銀行は2026年4月30日、同行職員がSNSアプリ「BeReal(ビーリアル)」を通じて山口県の下関支店内を撮影・投稿した動画および画像がX(旧Twitter)上で急速に拡散したとして謝罪を発表しました。映像にはホワイトボードに記載された顧客7名の氏名のほか、下半期業務目標として記載された貸出金・個人ローンの数値目標・デスク上の書類・PC画面なども映り込んでいました。投稿は2026年4月29日夜からXで拡散し、翌30日には1,042万ビュー・1.4万リポストを超える炎上状態となりました。BeRealは「通知から2分以内に投稿することを促す」反射的投稿を誘発する設計のアプリであり、業務中での深く考えない投稿を招いた要因のひとつとして指摘されています。個人情報保護法上の報告義務が生じる事案として、就業規則への業務中SNS投稿禁止の明記と新入社員向け研修の実効性の見直しが求められます。
▶ 詳細記事:西日本シティ銀行、職員が「BeReal」で支店内を撮影—顧客7名の氏名・業績目標・PC画面がX上で拡散し個人情報漏洩
日本テレビ「ZIP!」新人スタッフが内部情報をInstagramに投稿・入構証・出演者資料・シフト表が流出
2026年4月27日、日本テレビホールディングスの福田社長は定例会見で、朝の情報番組「ZIP!」の制作に関わる制作協力会社の新人スタッフが番組の内部情報を個人のInstagramアカウントに投稿した問題について謝罪しました。投稿には入構証・出演者資料・シフト表など番組制作に関わる機密性の高い内部情報が含まれており、X上でも拡散しました。特筆すべきは、問題発生の前日である4月1日に日本テレビがSNS情報漏洩の禁止・入構証の管理を盛り込んだ研修を実施していたにもかかわらず本事案が発生した点です。研修を実施しても翌日に情報漏洩が起きるという現実は、知識の付与だけでなく、端末の持ち込み制限・SNS利用の技術的ブロック・制作協力会社を含めたルール適用の徹底など「仕組みで防ぐ」対策の重要性を示しています。
▶ 詳細記事:日テレ社長、「ZIP!」新人スタッフのSNS情報漏洩を謝罪-4月1日の研修直後に入構証・出演者資料・シフト表が流出
仙台市立小学校教員、校務用システムの画面をSNSに投稿・児童の個人情報が流出
仙台市は2026年4月21日、市立小学校の教員が、校務で使用しているシステムの画面が表示されたパソコンを撮影し、その画像をSNSに投稿したと公表しました。投稿画像には児童の氏名など個人情報が含まれており、外部から閲覧できる状態に置かれていました。悪意のない「うっかり」による流出ですが、個人情報保護法上の安全管理措置違反として捉える必要があります。業務端末の撮影禁止ルールとSNS利用に関する教職員向け研修の徹底が求められます。
▶ 詳細記事:仙台市立小学校教員が校務用画面をSNS投稿、個人情報流出
札幌市職員、業務用ノートPCを地下鉄駅トイレに置き忘れ紛失・個人情報漏洩は確認されず
札幌市の職員が、業務用ノートパソコンを地下鉄大通駅構内のトイレに置き忘れ紛失していたことが判明しました。幸い個人情報の漏洩は確認されていませんが、業務端末の持ち出しルール・全データの暗号化・紛失時のリモートワイプ体制の整備が自治体・民間問わず求められる事案です。
▶ 詳細記事:札幌市職員、業務用ノートPCを紛失 飲酒後に地下鉄駅トイレへ置き忘れ、個人情報漏えいは確認されず
内部者・出向者による個人情報の不正利用・漏洩
損保大手3社がトヨタから2万人分の社員情報を無断持ち出し、メットライフ生命の出向者も持ち出しか
東洋経済オンラインは2026年4月、損保大手3社からトヨタへの出向者が、トヨタの社員情報約2万人分を無断で持ち出していた疑いが浮上したと報じました。さらにメットライフ生命からトヨタへの出向者による持ち出しも疑われているとしています。3月の福岡銀行・メットライフ生命の事案に続き、出向者による顧客・社員情報の無断持ち出し問題が自動車・金融業界を横断する構造的な課題として浮き彫りになっています。氏名・連絡先・職種など2万人分の個人情報が対象となり得る大規模な事案です。
▶ 詳細記事:損保大手3社がトヨタから2万人分無断持ち出しで情報流出の恐れ、メットライフ生命の出向者も持ち出しか
神奈川の小学校教諭を逮捕・個人情報記載資料を他人名義で勤務先へ送付した疑い
神奈川県警大和署は2026年4月22日、個人情報が記載された資料を他人名義で大和市内の小学校へ送付し学校業務を妨害したなどとして、横浜市の地方公務員の男を逮捕しました。個人情報を悪用して業務を妨害するという悪質な内部不正事案で、教育機関が保有する児童・保護者等の個人情報が不正に利用されるリスクを示しています。
▶ 詳細記事:神奈川の小学校教諭を逮捕 個人情報 記載資料を他人名義で勤務先へ送付した疑い
まとめと対策のポイント
SNS誤投稿は「研修だけ」では防げない・仕組みによる抑止が必要 西日本シティ銀行・日テレZIP!の事例が示すとおり、研修を実施してもSNS誤投稿による個人情報漏洩は発生します。業務端末へのSNSアプリインストール禁止・カメラ起動制限・個人スマートフォンの業務エリア持ち込みルールの明文化など、技術的・規則的な「仕組みで防ぐ」対策が個人情報保護法上の安全管理措置として求められます。
出向者・派遣社員の個人情報へのアクセス権限を受け入れ前に明確に取り決める 損保大手3社・トヨタの事案は3月の福岡銀行の事案と同じ構造であり、出向者による情報持ち出しが業界を超えた問題となっています。出向者が業務上アクセスできる情報の範囲・持ち出し禁止・退任時のデータ削除を出向契約の段階から明記し、個人情報保護委員会への報告義務を含む違反時の責任の所在を明確にしておくことが急務です。
業務端末の全データ暗号化とリモートワイプ体制を整備する 札幌市・仙台市の事例のように、教育・行政機関では端末の置き忘れ・SNS投稿による「うっかり漏洩」が繰り返されています。業務端末の全データ暗号化・リモートワイプ機能の設定・撮影禁止ルールの周知徹底と、定期的な研修の実施が個人情報保護法上の安全管理措置として求められます。
関連記事
2026年4月 最新 サイバー攻撃の被害 事例 まとめ
【2026年】サイバー攻撃・情報漏洩の最新 事例
2026年3月 個人情報漏洩の事例 まとめ
日テレ社長、「ZIP!」新人スタッフのSNS情報漏洩を謝罪-4月1日の研修直後に入構証・出演者資料・シフト表が流出
2026年 ランサムウェアの事例-国内・海外の被害を解説
イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ
イエローハット 子会社、「2りんかんアプリ」の会員の個人情報が漏洩の恐れ
CAMPFIRE、GitHubへの不正アクセスによるサイバー攻撃で最大22万5,846件の個人情報漏洩の恐れ
2026年3月 ランサムウェアの被害 事例 まとめ
