あすか製薬、元従業員が持ち出した従業員リストが転職先PCへの不正アクセスで発覚

セキュリティニュース

投稿日時: 更新日時:

あすか製薬、元従業員が持ち出した従業員リストが転職先PCへの不正アクセスで発覚

あすか製薬ホールディングス株式会社は2026年7月3日、同社グループの元従業員が退職時に従業員リストを社外へ持ち出していた事案を公表しました。この元従業員は人事部在職中に従業員リストを個人的にPCで管理しており、退職後も転職先(あすか製薬の業務委託先)のPCにこのデータを移管していたところ、その転職先のPCが不正アクセスを受け、調査の過程で発覚したという経緯です。自社への直接的なサイバー攻撃ではなく、元従業員による情報管理のあり方と、転職先での別のセキュリティインシデントが重なって表面化した点が今回の事案の特徴です。

サマリー

  • あすか製薬グループの元従業員が、人事部在職中に個人的にPC管理していた従業員リストを、退職後も保持し続け、転職先(あすか製薬の業務委託先)のPCへ移管していた
  • 当該PCが不正アクセスを受け、その調査過程で従業員リストの存在が判明し、あすか製薬ホールディングスが2026年7月3日に公表した
  • 含まれていた個人データは氏名、所属部署、役職、社員番号、生年月日、入社年月日、退職年月日で、現従業員および退職者が対象
  • 住所、電話番号、メールアドレス、マイナンバー、銀行口座情報、要配慮個人情報等は含まれていない
  • フォレンジック調査の結果、従業員リストへの閲覧・ダウンロードの痕跡は確認されておらず、情報流出の可能性は低いと判断。現時点で第三者への提供や不正利用等の二次被害も確認されていない
  • 連絡が可能な対象者にはすでに個別に郵送で連絡済みで、再発防止策として秘密保持誓約書の取得や退職・異動時のデータ削除確認の徹底などを進めるとしている
項目 内容
公表日 2026年7月3日
公表元 あすか製薬ホールディングス株式会社
事案の起点 元従業員が人事部在職中に従業員リストを個人的にPC管理
発覚の経緯 退職後、転職先(業務委託先)のPCへ移管していたデータが、当該PCへの不正アクセスの調査過程で判明
対象データ 氏名、所属部署、役職、社員番号、生年月日、入社年月日、退職年月日
対象者 あすか製薬グループの現従業員および退職者
含まれない情報 住所、電話番号、メールアドレス、マイナンバー、銀行口座情報、要配慮個人情報等
二次被害の状況 閲覧・ダウンロードの痕跡なし、流出可能性は低いと判断。不正利用等の二次被害は未確認
問い合わせ窓口 個人情報相談窓口 03-5484-8300(平日9:00〜17:30)

何が起きたか

今回の事案の起点は、あすか製薬の元従業員が人事部に在籍していた当時にさかのぼります。

この元従業員は、業務上取り扱っていた従業員リストを会社の管理システムではなく個人的にPCで保管しており、退職後もそのデータを削除せずに保持し続けていました。さらに、退職後の転職先があすか製薬グループの業務委託先であったことから、このデータは転職先のPCへも移管されていたとされています。

この状態が発覚したのは、あすか製薬自身へのサイバー攻撃がきっかけではありません。

元従業員の転職先のPCが第三者からの不正アクセスを受け、その被害範囲を確認する調査の過程で、あすか製薬グループの従業員リストがそのPC内に存在していることが判明したという経緯です。つまり、情報が漏えいするに至った直接の引き金は、あすか製薬とは資本関係のない業務委託先側のセキュリティインシデントであり、あすか製薬から見れば、自社の管理が及ばない場所で従業員の個人データが保管されていたことそのものが問題の本質だといえます。

含まれていた個人データは、氏名、所属部署、役職、社員番号、生年月日、入社年月日、退職年月日で、対象はあすか製薬グループの現従業員と退職者です。

一方で、住所、電話番号、メールアドレス、マイナンバー、銀行口座情報、要配慮個人情報等は含まれていないことが確認されており、悪用された場合の実害という観点では比較的限定的な範囲にとどまっています。あすか製薬ホールディングスは、連絡が可能な対象者にはすでに個別に郵送で通知を行っています。

二次被害の可能性

あすか製薬ホールディングスは、不正アクセスを受けた転職先のPCについてフォレンジック調査を実施しています。

フォレンジック調査とは、インシデント発生時に客観的なデジタル証拠を確認し、真相を解明するための専門的な調査手法を指しますが、この調査の結果、従業員リストについては閲覧やダウンロードの痕跡が確認されなかったとしています。

この点を踏まえ、同社は個人情報が実際に流出した可能性は低いと判断しており、現時点で当該個人データが第三者へ提供された事実や、不正利用等の二次被害も確認されていないとしています。ただし、今後何らかの二次被害が確認された場合には速やかに知らせるとしており、現時点では完全にリスクが払拭されたわけではなく、経過観察が続く状況です。

原因

今回の事案の根本的な原因は、機微な個人データである従業員リストが、会社として統制されたシステムではなく、特定の担当者個人のPC上で管理される状態が長期間放置されていたことにあります。

人事部門は業務の性質上、氏名や社員番号、生年月日といった従業員の個人データを日常的に取り扱いますが、こうしたデータを個人のPCにローカルで保存する運用が常態化していると、その担当者が異動や退職をした後もデータがどこにあるのか、会社側が正確に把握できなくなるリスクが生じます。今回のケースでは、退職時にこのデータが確実に返却・削除されたことを確認するプロセスが機能していなかったために、元従業員が転職先にまでデータを持ち出す事態につながったと考えられます。加えて、転職先が偶然にもあすか製薬グループの業務委託先であったことも、被害の発覚を早めた一方で、業務委託先側のセキュリティ体制次第では発覚がさらに遅れていた可能性もある点は留意しておくべきでしょう。

再発防止策

あすか製薬ホールディングスは、今回の事案を厳粛に受け止めたうえで、複数の再発防止策を打ち出しています。

具体的には、全従業員からの秘密保持誓約書の取得、退職時における秘密保持誓約書の取得、個人情報の適正な取り扱いに関する従業員研修の追加実施、そして退職時および部署異動時に個人フォルダやPCから前部署の業務で使用していた全ての資料が削除されていることの確認徹底が挙げられています。特に最後の項目は、今回の事案のように担当者個人の環境にデータが残存し続けることを防ぐための、直接的な対策だといえます。

情報システム部門への示唆

今回の事案は、外部からの高度なサイバー攻撃ではなく、内部の情報管理プロセスの隙間から発生した典型的な事例です。当サイトでも以前、リクルートの元従業員による顧客・従業員情報の不正持ち出し事案や、ユナイテッドアローズの元従業員による情報持ち出しで取引先関係者約1万人分の個人情報が漏えいした事案を取り上げましたが、退職者による情報持ち出しは業種を問わず繰り返し発生しているパターンです。

情報システム部門として押さえておきたいポイントは大きく2つあります。1つ目は、人事情報のような機微なデータについて、個人PCでのローカル管理を前提としない業務フローの整備です。人事システムやアクセス権限が適切に管理されたファイルサーバー上でのみ従業員リストを扱う運用にし、ローカル保存やUSBメモリへのコピー、私用クラウドストレージへのアップロードを技術的に制限しておくことが望まれます。2つ目は、退職・異動時のデータ返却・削除確認の制度化です。当サイトで以前紹介した富士通Japanの元社員による営業秘密持ち出し事案でも指摘した通り、退職手続きの一環として業務PCの外部送信ログやストレージへのコピーログを確認する体制を整えることで、今回のような持ち出しを早期に発見できる可能性が高まります。加えて、今回のように業務委託先や再就職先など、自社の管理が及ばない環境で自社データが保管される事態を防ぐ観点からも、退職時のヒアリングや誓約書の取得だけに頼らず、技術的な統制と運用ルールの両輪で対策を進めることをお勧めします。

出典