株式会社フラウ・インターナショナルは2026年7月7日、同社がメールでの問い合わせ対応管理に利用している外部サービスの運営会社から、同社管理サーバーに対して第三者による不正アクセスが確認されたとの報告を受けたと発表しました。
フラウ・インターナショナルによると、漏えいした可能性がある情報項目や対象となる顧客の範囲は現在調査中です。ただし、主に顧客の氏名、メールアドレス、電話番号などが対象となる可能性があるとしています。
サマリー
- フラウ・インターナショナルが2026年7月7日、委託先への不正アクセスによる顧客情報漏えいの可能性を公表
- 不正アクセスを受けたのは、同社がメール問い合わせ対応の管理で利用している外部サービスの運営会社が管理するサーバー
- フラウ・インターナショナルは2026年6月30日に委託先から報告を受けた
- 漏えいした可能性がある情報項目と対象顧客の範囲は調査中
- 現時点では、主に氏名、メールアドレス、電話番号などが対象となる可能性
- 対象となる情報項目は顧客ごとに異なる
- 本件に起因する二次被害や情報の不正利用は確認されていない
- 個人情報保護委員会への報告を進めている
- 委託先および外部専門家と連携し、影響範囲や対象顧客、漏えいした可能性がある情報内容を調査中
- 対象顧客には個別にも案内する予定
概要
フラウ・インターナショナルは、日本国内における韓国エンターテインメントを中心としたファンサービス事業を展開しており、イベント事業、旅行事業、ファンクラブ事業、コンテンツ事業、マーチャンダイジング事業、サイト運営事業、企業向け業務代行サービスなどを行っています。
今回の事案は、フラウ・インターナショナル本体のサーバーへの不正アクセスではなく、同社がメール問い合わせ対応の管理で利用している外部サービスの運営会社側で発生した不正アクセスです。
同社は2026年6月30日、当該委託先から、委託先が管理するサーバーに対して第三者による不正アクセスが確認されたとの報告を受けました。現在、委託先および外部専門家と連携し、詳細な調査を進めています。
漏えいした可能性がある情報
フラウ・インターナショナルが公表している、漏えいした可能性がある主な情報は以下です。
| 区分 | 情報項目 |
|---|---|
| 氏名情報 | 顧客の氏名 |
| 連絡先情報 | メールアドレス |
| 連絡先情報 | 電話番号 |
| その他 | 対象顧客ごとに異なる可能性がある情報 |
現時点では、住所、決済情報、クレジットカード情報、パスワード、ファンクラブ会員情報、イベント申込情報、旅行申込情報などが対象に含まれるかどうかは公表されていません。
そのため、記事化時点では、公式発表にある氏名、メールアドレス、電話番号などに限定して記載するのが適切です。
現在の対応
フラウ・インターナショナルは、本件について個人情報保護委員会への報告を進めているとしています。
また、委託先および外部専門家と連携し、影響範囲、対象となる顧客、漏えいした可能性がある情報の内容について詳細な調査を進めています。委託先では、確認された不正アクセスに対する初期対応を実施しており、追加の安全確認と影響範囲の調査を継続しています。
利用者が確認すべきポイント
フラウ・インターナショナルのサービス、イベント、ファンクラブ、旅行、グッズ販売、問い合わせ窓口などを利用したことがある方は、今後届くメールやSMS、電話に注意してください。
特に、以下のような連絡には慎重な確認が必要です。
- ファンクラブ更新手続き
- チケット当選・落選・追加販売の案内
- イベント参加情報の確認
- 旅行代金や手数料の支払い案内
- グッズ購入情報の確認
- 登録情報の再入力依頼
- 本人確認やアカウント確認の案内
- 問い合わせ回答を装うURL付きメール
メールやSMSに記載されたURLから個人情報や決済情報を入力しないでください。正規の連絡か判断できない場合は、公式サイトに掲載された問い合わせ窓口を確認し、メール本文内のリンクや電話番号ではなく、公式サイト上の情報から連絡することが重要です。
委託先インシデントとしての注意点
今回の事案は、委託先や利用中の外部サービスで発生した不正アクセスが、自社顧客の個人情報漏えいリスクにつながる典型的なケースです。
問い合わせ管理サービスには、氏名、メールアドレス、電話番号、問い合わせ内容、申込内容、過去の対応履歴など、顧客との接点に関する情報が蓄積されることがあります。サービスの性質上、顧客データベース本体とは別に、問い合わせ履歴の中へ個人情報が残る点にも注意が必要です。
企業側では、問い合わせ管理、メール配信、チャット、CRM、チケット管理、クラウドストレージなど、外部サービスに保存されている個人情報を棚卸しし、委託先やSaaS事業者でインシデントが発生した場合に、どの情報が影響を受けるかを把握しておく必要があります。
情シス・管理部門が確認すべきポイント
委託先や外部サービスで不正アクセスが発生した場合、自社のシステムに侵入されていなくても、個人情報保護法上の報告・通知対応や、顧客への説明責任が発生する可能性があります。
まず確認すべきなのは、外部サービスに保存されていた情報の範囲です。問い合わせ本文、添付ファイル、管理画面の顧客メモ、対応履歴、メールヘッダー、電話番号、申込番号、会員番号など、通常の顧客マスタにはない情報が保存されている場合があります。
次に、委託先から受け取るべき情報を整理する必要があります。具体的には、不正アクセスの発生日、検知日、影響を受けたサーバー、閲覧・取得された可能性があるデータ、ログの保全状況、攻撃経路、初期対応、再発防止策、外部専門家の調査状況です。
また、顧客向けの注意喚起では、漏えいした可能性がある情報項目、現時点で確認されている被害の有無、今後想定される不審連絡、正規問い合わせ窓口を明確に示す必要があります。
関連記事
メール配信システム める配くん、不正アクセスで情報漏洩の恐れ
ディスコード(Discord)、委託先へのサイバー攻撃で個人情報漏洩
TOKAIコミュニケーションズの不正アクセス 委託先各社がインシデントを発表
双日テックイノベーション、委託先の設定不備でおべんとね!のブロックアドレスが閲覧可能に
工業所有権情報・研修館(INPIT)委託先の滋賀県発明協会でメール誤送信、弁理士など298名分の個人情報が漏洩
出典
株式会社フラウ・インターナショナル:〖重要〗業務委託先における不正アクセスによるお客様情報漏えいの可能性に関するお詫びとご報告(第1報) (FRAU INTERNATIONAL CO., LTD)








