2026年5月 個人情報漏洩の事例 まとめ

セキュリティニュース

投稿日時: 更新日時:

2026年5月 個人情報漏洩の事例 まとめ

2026年5月は、イエローハット子会社「2りんかん」アプリで最大345万5,754件という大規模な個人情報漏洩が確定したほか、あなぶきハウジングサービスへのランサムウェア攻撃による漏洩207,773件の確定・松山市営住宅7,237件への二次被害波及、医療専門出版社メディカ出版への攻撃による77.2万件の漏洩が委託先の医療機関・大学へ連鎖するなど、大規模案件が相次いで確定・続報を迎えた月となりました。損害保険業界の資格試験管理機関である新日本検定協会へのランサムウェア攻撃では、東京海上日動・三井住友海上・損保ジャパンなど損保6社が同時に個人情報漏洩を公表するという業界横断的な波及事態が発生しています。一方、静岡県警では情報公開請求に対して交付したPDFファイルの「黒塗り」処理に技術的不備があり、14,239人分の情報が約8か月間閲覧可能な状態にあったことが判明しました。物理的な端末盗難・サポート詐欺による漏洩も発生しており、ソフトウェア対策だけでなく物理・人的管理の重要性が改めて示されています。

2026年5月 個人情報漏洩インシデント一覧

下表は、本記事で取り上げる主要なインシデントを公表日順にまとめたものです。

公表日 組織・対象名 漏洩の概要 件数・特記事項
2026年5月28日 東京医療保健大学(委託先:メディカ出版) 委託先ランサムウェア攻撃による個人情報漏洩の恐れ メディカ出版累計77.2万件に含まれる
2026年5月26日 北九州市立大学 サポート詐欺被害・遠隔操作ソフトインストール 個人情報漏洩の恐れ
2026年5月25日 宮城県大郷町役場 税務課 盗難防止ワイヤーを切断してPCが盗難 最大200件の個人情報が保存
2026年5月22日 静岡県警 情報公開請求PDF「黒塗り」処理不備 14,239人分の氏名・電話番号が約8か月間閲覧可能
2026年5月22日 横浜DeNAベイスターズ 業務利用のCAMPFIRE経由で不正アクセス 「2024年優勝パレード」支援者情報漏洩の可能性
2026年5月21日 あなぶきハウジングサービス(第5報) ランサムウェア攻撃による個人情報漏洩件数確定 207,773件確定・松山市営住宅7,237件に二次被害
2026年5月11日 新日本検定協会 ランサムウェア攻撃で調査結果公表 約30,350件・損保6社が一斉に個人情報漏洩を公表
2026年5月1日 イエローハット子会社「2りんかん」(第二報) 会員専用サーバーへの不正アクセス 最大3,455,754件(アプリパスワード・車両情報含む)
2026年3月〜5月 メディカ出版(継続・複数組織が続報) ランサムウェア攻撃で医療従事者・銀行口座番号含む 約77.2万件(各委託先が5月に続報を公表)

不正アクセスによる大規模個人情報漏洩

イエローハット子会社「2りんかん」アプリ、最大345万5,754件の個人情報漏洩が確定(第二報)

株式会社2りんかんイエローハットは2026年5月1日、4月23日の第一報以来進めてきた調査の結果として第二報を公表しました。第三者機関による精査の結果、現時点で漏洩の可能性がある件数は最大3,455,754件(約345万5千名)分であることが判明しています。対象はポイント会員・モバイル会員・アプリ会員を含む広範な会員情報で、氏名・住所・電話番号・生年月日のほか、アプリパスワード・車両情報(ナンバープレート・メーカー・車種など)・ポイント残高まで含まれることが新たに明らかになりました。4月20日夕刻に会員専用サーバーへの不正アクセスを検知し、ネットワーク遮断などの緊急措置を実施したものの、すでに情報が持ち出されていた可能性があります。345万件超という規模はBtoC企業の漏洩事案としても重大であり、対象者への個別通知と個人情報保護委員会への報告が必要となる規模です。アプリのパスワードが含まれているため、他サービスへのパスワードの使い回し(リスト型攻撃)への警戒も呼びかけられています。

▶ 詳細記事:イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ

横浜DeNAベイスターズ、業務利用するCAMPFIREへの不正アクセスで「2024年優勝パレード」支援者の個人情報が漏洩した可能性

株式会社横浜DeNAベイスターズは2026年5月22日、同社が業務で利用するクラウドファンディングサービス「CAMPFIRE」への不正アクセスにより、「2024年優勝パレード・ファンイベント」のクラウドファンディング支援者の個人情報が漏洩した可能性があると公表しました。CAMPFIREは4月に不正アクセスの被害を受けており、そのシステムを業務で利用していた横浜DeNAベイスターズも影響を受けた形です。スポーツ球団が利用するクラウドファンディングプラットフォームというBtoCの文脈において、優勝パレードを熱心に支援したファン情報が漏洩した可能性があることは、企業・球団のブランドへの信頼に関わる問題でもあります。業務で利用するサードパーティSaaSへのセキュリティ要件の確認と、インシデント発生時の情報共有体制の整備が求められます。

▶ 詳細記事:横浜DeNAベイスターズ、業務利用するCAMPFIREへの不正アクセスで「2024年優勝パレード」支援者の個人情報が漏洩した可能性

あなぶきハウジングサービス(第5報)・207,773件が確定・松山市営住宅7,237件にも二次被害

株式会社穴吹ハウジングサービスのランサムウェア被害は5月21日の第5報で漏洩件数が207,773件に確定しました。2026年2月3日の発生以来、グループ会社の通信機器への攻撃を起点にした侵害が同社ネットワーク全体に拡大し、Qilinが犯行声明を発表しています。207,773件の内訳は管理業務に関わる顧客情報・入居者情報等で、漏洩が確認された情報には氏名・住所・電話番号等が含まれます。さらに、同社が松山市の指定管理者として管理していた市営住宅の入居者個人情報7,237件についても漏洩が確認されており、民間企業への攻撃が行政サービスの受益者情報にまで波及した二次被害として公表されています。漏洩確定後の対象者への個別通知・個人情報保護委員会への報告と、再発防止策の整備が進められています。

▶ 詳細記事:あなぶきハウジングサービスのランサムウェアによりサイバー攻撃の個人情報漏洩件数が207,773件に確定

▶ 詳細記事:松山市営住宅の入居者 個人情報 7237件が漏洩-穴吹ハウジングサービスのサイバー攻撃が原因

メディカ出版へのランサムウェア攻撃で77.2万件・東京医療保健大学等の委託先が5月に続報を公表

株式会社メディカ出版は2026年3月13日にランサムウェア攻撃を受け、約77.2万件の個人情報が漏洩の恐れがあると確認されています。漏洩の可能性がある情報にはメディカID登録者の氏名・メールアドレス・電話番号のほか、執筆者や外部事業者については銀行口座番号・原稿として提供された画像も含まれます。医療・看護・介護分野の専門出版社という性格から、医療従事者の個人情報という機微性の高い情報が対象となっています。5月27日には東京医療保健大学が「業務の一部を委託しているメディカ出版のサーバーがランサムウェア攻撃を受けた影響で、同大学の個人情報が漏洩した恐れがある」と公表しており、委託元の機関が5月になっても続々と個人情報保護法上の報告・通知義務の履行を進めています。委託先のセキュリティインシデントが委託元組織の個人情報保護法上の義務(本人通知・監督機関報告)に直結する典型事例です。

▶ 詳細記事:メディカ出版、ランサムウェアによるサイバー攻撃で約77.2万件の個人情報漏洩の恐れ

▶ 詳細記事:東京医療保健大学、委託先のメディカ出版へのランサムウェア攻撃により個人情報漏洩の恐れ

新日本検定協会へのランサムウェア攻撃・約30,350件・損保6社が一斉に個人情報漏洩を公表

一般財団法人新日本検定協会は2026年5月11日、2025年11月26日に発生したランサムウェア攻撃の調査結果を公表しました。ネットワーク機器の脆弱性を悪用した侵入により、業務関係者の個人データ約30,000件を含む計約30,350件が流出した可能性があります。本事案の最大の特徴は、同協会が損害保険募集人の認定試験を管理する業界共通機関であることから、東京海上日動火災保険・三井住友海上火災保険・損害保険ジャパン・あいおいニッセイ同和損害保険・共栄火災海上保険・楽天損害保険の損保6社が同時に個人情報漏洩を公表したことです。漏洩の可能性がある情報には受験者・代理店担当者の氏名・連絡先等が含まれます。Pマーク取得企業・個人情報保護法対応の観点からは、共通の業務委託先(資格試験機関・認定機関)を通じた個人情報の連鎖漏洩リスクを、自社の個人情報管理台帳に明示的に記載・管理する必要性を示す事例です。

▶ 詳細記事:新日本検定協会、ランサムウェアによるサイバー攻撃で約3万件の個人情報漏洩の恐れ

誤公開・設定不備による個人情報漏洩

静岡県警、情報公開請求で「黒塗り」処理に不備・14,239人分の氏名・電話番号が約8か月間閲覧可能だったことが判明

静岡県警は2026年5月22日、情報公開請求(公文書開示請求)に対して交付した電子データに「黒塗り(マスキング)」処理の不備があり、計14,239人分の氏名や電話番号が特定のソフトウェアを使うことで読み取れる状態のまま約8か月間にわたって交付し続けていたことが判明したと公表しました。黒塗りに見えるPDFが実際には文字データとして残っている「テキスト非表示型」の処理で、適切な「イメージ化」や「フラット化」処理を行っていなかったことが原因です。PDF文書の黒塗り処理不備は民間・行政を問わず繰り返し発生しているインシデントであり、情報公開・情報開示・マスキング処理を行う担当者への技術的な確認プロセスの整備が求められます。公表後の対応として、過去に交付した文書の点検と対象者への周知が進められています。

▶ 詳細記事:静岡県警、情報公開請求で「黒塗り」処理に不備-特定ソフトで文字が読める状態のまま14,239人分の氏名・電話番号を約8か月間交付し続けていたことが判明

物理的紛失・盗難・サポート詐欺による個人情報漏洩

宮城県大郷町役場 税務課からPCが盗難・ハードディスクに最大200件の個人情報

宮城県黒川郡大郷町は2026年5月25日、5月12日深夜に町役場1階の税務課に設置していたパソコン本体1台および周辺機器が盗まれたと公表しました。盗難防止用ワイヤーケーブルを切断して持ち去られており、ハードディスクには最大200件の個人情報が保存されていた可能性があります。税務課の業務端末である性格上、住所・氏名・税務情報等の機微性の高い情報が含まれている可能性があります。役場・自治体の庁舎内端末の物理的セキュリティ管理において、ワイヤーロックだけでは不十分であることを示しており、ハードディスクの暗号化(BitLocker等)と端末のBIOS/UEFIパスワード設定が並行して求められます。

▶ 詳細記事:宮城県大郷町役場の税務課から盗難防止ワイヤーを切断してパソコンが盗難-ハードディスクに最大200件の個人情報が保存

北九州市立大学、サポート詐欺被害で遠隔操作ソフトをインストール・個人情報漏洩の恐れ

北九州市立大学は2026年5月26日、5月25日に事務職員が使用していたパソコンがサポート詐欺(テクニカルサポート詐欺)の手口による被害を受けたと公表しました。業務用パソコンにウイルス感染を装う警告画面が表示され、表示された電話番号に連絡したところ、遠隔操作ソフトウェアをインストールするよう誘導された事案です。遠隔操作ソフトのインストール後に端末内に保存されていた情報にアクセスされた可能性があり、個人情報漏洩の恐れが生じています。サポート詐欺は「パソコンがウイルスに感染した」という偽の警告表示を起点とする手口で、法人・公共機関の事務職員を標的にしたケースが増加しています。組織内へのサポート詐欺に関する定期的な注意喚起と、遠隔操作ソフトのインストール権限を制限するエンドポイント管理が有効な対策です。

▶ 詳細記事:北九州市立大学がサポート詐欺の被害、個人情報漏洩の恐れ

まとめと対策のポイント

委託先のインシデントが自社の個人情報保護法上の義務(本人通知・監督義務)に直結することを認識する メディカ出版への攻撃で77.2万件が漏洩し、東京医療保健大学等の委託元各機関が5月になっても続々と報告・通知義務を履行したように、委託先のセキュリティ事故は委託元組織にとっても個人情報保護法上の「漏洩等報告」義務(個人情報保護委員会への報告・本人通知)が直接発生する問題です。新日本検定協会の事案では損保6社が同時に対応を迫られました。自社の個人情報管理台帳に委託先での保管情報を明示し、委託先の事故発生時の連絡フローを委託契約に明記しておくことが急務です。

PDF文書の黒塗り・マスキング処理は「テキスト非表示」ではなく「イメージ化・フラット化」で行う 静岡県警の事案のように、PDF編集ソフトで図形や帯で覆っただけの「黒塗り」は、元のテキストデータが残っており特定のソフトで読み取れる状態になります。情報公開・文書開示・マスキング処理を行う際は、必ずPDFのイメージ化(フラット化)または専用のリダクションツールを使用し、処理後に別のPDF閲覧ソフトでテキストが抽出されないことを確認するプロセスを整備してください。この確認プロセスは担当者だけでなく上長のダブルチェックとして制度化することが重要です。

物理的端末管理とサポート詐欺対策を組み合わせた「エンドポイントの多層防御」を整備する 役場PC盗難事案が示すとおり、ワイヤーロックのみの端末管理では物理的な盗難に対して十分ではありません。ハードディスクの暗号化(BitLocker・FileVault等)を全端末に適用することで、盗難された場合でも情報の読み取りを防ぐことができます。また北九州市立大学のサポート詐欺被害のように、標準的なウイルス対策ソフトをすり抜ける形で遠隔操作ソフトをインストールさせる手口が増えており、組織内へのサポート詐欺に関する定期的な周知と、業務端末への遠隔操作ソフトのインストール権限制限が重要な対策です。