2026年6月 個人情報漏洩の事例 まとめ

セキュリティニュース

投稿日時: 更新日時:

2026年6月 個人情報漏洩の事例 まとめ

2026年6月は、アフラック生命保険とKDDIという大手2社が相次いで大規模な個人情報漏洩の恐れを公表し、金融庁・総務省による行政対応にまで発展しました。函館市やKaizen Tech Agentのように内部不正・元従業員による情報持ち出しを起点とした漏洩も複数確認されており、北海道医療センターの廃棄HDD外部流出や九州電力送配電の外部記憶媒体紛失など、物理的な媒体管理の不備による漏洩も継続しています。

2026年6月 個人情報漏洩事例インシデント一覧

公表日 組織・対象名 被害の概要 件数・特記事項
6/30 農林中央金庫(JAさっぽろ) 利用者情報の誤提供 3,176件
6/30 アフラック生命保険 不正アクセスで個人情報漏洩 約438万人、うち約23万人は口座情報も対象
6/24 KDDI(総務省処分) メール不正アクセスで行政処分 最大1,422万件に影響、7/6までに報告要求
6/24 佐嘉平川屋 オンラインショップ不正アクセスに起因するクレカ不正利用 ベトナム国籍の女を逮捕
6/22 函館市 同僚PCへ不正ログインし個人情報持ち出し 内部不正、うさばらし目的
6/12 REXT Holdings子会社D&M VPN経由の不正アクセス 漏洩対象期間は約2年間
6/10 Kaizen Tech Agent 元従業員による情報持ち出し 9,721件漏洩の恐れ
6/8 はいチーズ!フォト 不正アクセス(第二報) 発生は6/4〜6/5
6/8 北海道医療センター 廃棄HDD外部流出 17万件漏洩の恐れ
6/8 九州電力送配電 外部記憶媒体の所在不明 バックアップ用媒体
6/4 日本大学文理学部 掲示板・学生ポータルの不正アクセス・改ざん(最終報) 調査結果と対応を公表

大規模不正アクセスによる個人情報漏洩

アフラック生命保険、約438万人の個人情報漏洩と行政報告

アフラック生命保険は2026年6月30日、契約者専用サイトへの不正アクセスにより顧客約438万人の個人情報が漏洩したと公表しました。氏名・生年月日・住所・証券番号のほか、約23万人分は保険料振替口座情報も対象に含まれています。同社は個人情報保護法および保険業法に基づき金融庁へ報告を行い、7月1日には金融庁から報告徴求命令を受領しています。個人情報保護法上、本人への通知義務と個人情報保護委員会への報告義務が生じる規模の漏洩であり、対象者への通知方法・スケジュールの適切性が今後問われる可能性があります。

▶ 詳細記事:アフラック生命保険、不正アクセスで約438万人の顧客の個人情報漏洩

KDDI、総務省から「報告徴収」の行政処分

総務省は2026年6月24日、KDDIが提供するメールシステムへの不正アクセスで最大1,422万件のメールアドレス・パスワードが漏洩した可能性があることを受け、KDDIに対して「報告徴収」の行政処分を実施しました。KDDIは2026年7月6日までに、情報漏洩の詳しい原因・利用者への対応状況・再発防止策を報告するよう求められており、総務省は報告内容を確認したうえで追加処分を含む対応を検討するとしています。@nifty・BIGLOBE・J:COM等6社の利用者に影響が及ぶ規模であり、電気通信事業法上の報告義務に加えて、各ISP事業者による利用者への周知・通知対応も並行して求められる事案です。

▶ 詳細記事:総務省がKDDIに「報告徴収」の行政処分

はいチーズ!フォト、不正アクセスに関する第二報

写真販売サービス「はいチーズ!フォト」を提供する千株式会社は2026年6月8日、6月4日から5日にかけて発生した不正アクセスに関する第二報を公表しました。外部の専門機関と連携した調査が継続しており、保護者・園児等の個人情報が対象となる可能性があります。子ども向けBtoCサービスは対象者本人が同意手続きに関与できない未成年者の情報を扱うため、通知先を保護者に限定した上での適切な連絡体制の構築が特に重要です。

▶ 詳細記事:はいチーズ!フォトへの不正アクセスに関する第二報

日本大学文理学部、掲示板・学生ポータルの不正アクセス・改ざん最終報

日本大学文理学部は2026年6月4日、同学部の情報掲示板サイト・学生ポータルシステムへの不正アクセスおよびウェブサイト改ざんに関する調査結果と対応について最終報を公表しました。教育機関の学生ポータルは氏名・学籍番号・成績等の学生個人情報を大量に保有しており、改ざんの事実自体が公表されることで信用毀損につながりやすい領域です。同種システムへのアクセス制御・改ざん検知の仕組みの定期点検が求められます。

▶ 詳細記事:日本大学文理学部、情報掲示板サイト・学生ポータルシステムへの不正アクセス・改ざんに関する最終報


内部不正による情報持ち出し

Kaizen Tech Agent、元従業員による情報持ち出しで9,721件漏洩の恐れ

Kaizen Tech Agentは2026年6月10日、元従業員による不正な情報持ち出しにより9,721件分の個人情報が漏洩した恐れがあると公表しました。人材紹介・エージェント業では、求職者の経歴・連絡先といった機微な個人情報を大量に扱うため、退職者のアカウント無効化とデータへのアクセスログ監視が事業継続に直結するリスク管理項目になります。

▶ 詳細記事:Kaizen Tech Agentが元従業員による不正な情報持ち出しで個人情報漏洩の恐れ

函館市、同僚PCへの不正ログインで個人情報持ち出し

北海道函館市では、うさばらし目的で同僚のPCへ不正ログインし個人情報を持ち出す内部不正が2026年6月22日に公表されました。動機が金銭目的ではなく私的な感情に基づく点が特徴で、内部不正は必ずしも経済的動機に限られないことを示しています。行政機関における住民情報へのアクセス権限は業務上必要な範囲に限定し、他者のアカウントを不正利用できない認証設計(生体認証・多要素認証等)の導入が有効な対策です。

▶ 詳細記事:北海道函館市でうさばらし目的の同僚PCへ不正ログインし個人情報持ち出し


誤操作・管理不備による漏洩

農林中央金庫、JAさっぽろ利用者情報の誤提供

農林中央金庫は2026年6月30日、JAさっぽろの利用者3,176件分の情報を誤って提供したと公表しました。件数自体は大きくないものの、金融機関における顧客情報の誤提供は個人情報保護法上の報告対象となる事案であり、提供先の限定・アクセス権限設定といった基本的な確認プロセスの徹底が求められます。

▶ 詳細記事:農林中央金庫、JAさっぽろ利用者情報の誤提供

北海道医療センター、廃棄HDD外部流出で17万件漏洩の恐れ

北海道医療センターは2026年6月8日、電子カルテ更新に伴い廃棄処分を委託していたOA機器のハードディスクの一部が、本来行われるべき破砕処理をされないまま外部に流出したと公表しました。廃棄委託先での処理不備が原因であり、約17万件の個人情報漏洩の恐れがあります。医療機関に限らず、機器廃棄を委託する際は破砕証明書の取得や処理過程の立会いなど、委託先まかせにしない確認プロセスの整備が必要です。

▶ 詳細記事:北海道医療センター、廃棄HDD外部流出で17万件の個人情報漏洩の恐れ

九州電力送配電、外部記憶媒体の所在不明

九州電力送配電株式会社は2026年6月8日、一部システムのデータをバックアップするために使用していた外部記憶媒体が保管場所から所在不明になったと公表しました。紛失であり漏洩が確定した事案ではありませんが、可搬型記憶媒体はネットワーク監視の対象外になりやすく、暗号化の有無が被害の深刻度を左右します。バックアップ媒体の利用自体を制限し、クラウド上の暗号化バックアップへ移行することが根本的な対策になります。

▶ 詳細記事:九州電力送配電、外部記憶媒体の所在不明


委託先・取引先経由の漏洩

佐嘉平川屋、不正アクセスに起因するクレジットカード不正利用

佐賀県警は2026年6月24日、佐嘉平川屋が運営するオンラインショップへの不正アクセスで流出したクレジットカード情報を使って不正購入を行ったとして、ベトナム国籍の女を逮捕したと公表しました。情報漏洩そのものだけでなく、流出した情報が実際に悪用され二次被害が発生・検挙に至った事例であり、EC事業者にとってはカード情報の非保持化(トークン化)が二次被害防止の観点で有効な対策です。

▶ 詳細記事:佐嘉平川屋オンラインショップへの不正アクセスに関する事案

REXT Holdings連結子会社D&M、VPN経由の不正アクセスで長期漏洩の恐れ

RIZAPグループ完全子会社REXT Holdings傘下のD&Mは、VPN機器を経由した不正アクセスにより取引先・顧客の氏名・住所・電話番号等が漏洩した可能性を公表しました(報告書2026年6月12日付)。漏洩対象期間は2024年8月から2026年6月までの約2年間に及び、長期間気づかれずにいた点が本件の特徴です。個人情報保護法上、漏洩が疑われる期間が長期にわたる場合は影響を受けた本人の特定・通知範囲の確定にも時間を要するため、早期のログ保全と外部専門家の起用が重要になります。

▶ 詳細記事:REXT Holdings連結子会社D&MがVPN経由のランサムウェアで個人情報流出の恐れ


まとめと対策のポイント

廃棄・保管プロセスにおける物理的な情報管理を見直す必要があります。 北海道医療センターの廃棄HDD未破砕流出や九州電力送配電の外部記憶媒体紛失のように、サイバー攻撃を伴わない物理的な管理不備からの漏洩が継続しています。委託先の処理証明取得や可搬媒体利用の原則禁止など、運用ルールの再点検が有効です。

退職者・内部者による情報持ち出しへの備えを強化する必要があります。 Kaizen Tech Agentや函館市の事例のように、動機は経済的利益に限らず、私的な感情に基づく内部不正も発生しています。アカウントの即時無効化、他者アカウントの不正利用を防ぐ認証設計、アクセスログの継続的な監視が基本対策です。

漏洩情報の二次被害・長期化リスクを見据えた対応が求められます。 佐嘉平川屋のようにクレジットカード情報が実際に不正利用されるケースや、REXT Holdings子会社D&Mのように漏洩対象期間が長期にわたるケースでは、早期のログ保全と対象者範囲の正確な特定が事後対応の質を左右します。