2025年6月13日、損害保険ジャパン株式会社(以下、損保ジャパン)は、4月に同社のシステムが受けた不正アクセスと、最大約1,748万件に及ぶ情報漏えいの可能性があるとされるインシデントにより金融庁から報告徴求命令を受けたことを明らかにしました。
金融庁からの命令とは?
今回の報告徴求命令は、保険業法第128条第1項および個人情報保護法第146条第1項に基づくもので、損保ジャパンに対して事案の詳細な調査と報告を求める内容です。具体的には、不正アクセスの手口、影響を受けた情報の範囲、顧客対応の状況、原因の特定、そして今後の再発防止策について金融庁に対して説明を行う必要があります。
発端となった不正アクセスとは
不正アクセスが確認されたのは2025年4月17日から21日にかけて。対象となったのは同社のWebサブシステムで、基幹システムとは切り離された構成でしたが、この期間中に外部から侵入され、顧客情報などがアクセス可能な状態になっていたことが明らかになっています。
調査の結果、漏えいの可能性がある情報は次の通りです:
- 顧客関連情報:約726万件(氏名、連絡先、証券番号など)
- 代理店関連情報:約178万件(保険募集人の氏名、生年月日、IDなど)
- その他の情報:約844万件(事故番号、証券番号など)
幸いなことに、クレジットカード情報やマイナンバーなどの機微情報は含まれていなかったとされています。
迅速な対応と再発防止への取り組み
不正アクセスの発覚後、損保ジャパンはただちに該当システムを停止し、外部との接続を遮断。その後、以下の対応を進めています:
- 他システムへの影響がないかの確認
- Webシステムの不正アクセス監視体制の強化
- 全社的な脆弱性の再点検
また、警察当局への相談も既に行われており、引き続き調査と対応が進められています。
過去のインシデント
損保ジャパンでは、2025年5月にも、書類保管業務を委託していた株式会社ギオンが受けたランサムウェア攻撃により、約7万5,000件の顧客氏名が漏えいした可能性があることを発表しています。これにより、業務委託先が引き起こすセキュリティリスクの現実味が一層高まりました。
情報システム部門への警鐘
今回の一連の事案から、企業の情報システム部門にとって重要な教訓が浮かび上がります。特に注目すべき点は以下の通りです:
- 社内外におけるEDR(エンドポイント検知・対応)やログ監視体制の導入と徹底
- 契約締結時だけでなく、運用フェーズにおける継続的なセキュリティ評価の実施
- サプライチェーン全体を含めたリスク管理体制の構築とベンダー評価の厳格化
- インシデント発生時の即応体制(CSIRT)の整備と訓練
関連記事
淀川製鋼所の連結子会社、台湾SYSCO社でランサムウェアによるサイバー攻撃の被害-個人情報流出の可能性も
損保ジャパン、委託先のランサムウェアによるサイバー攻撃で約7.5万件の個人情報漏洩の可能性
損保ジャパン、4月の不正アクセスによるサイバー攻撃で最大約1,748万件の情報漏洩の可能性
米国の大手医療保険会社の470万人の健康に関する個人情報がGoogleに漏洩
サイバー攻撃の事例を解説
ランサムウェアの事例 【2024年】
セキュリティインシデント 事例【2024年】
アスクル株式会社が関通のランサムウェアとサイバー攻撃によりLOHACOで個人情報漏洩の可能性を発表
卒業アルバム作成のイシクラ、5月に発生したサイバー攻撃により約7.4万件の個人情報漏洩の可能性
