ジブラルタ生命保険、元社員の不正持ち出しによる情報漏洩を公表

2025年4月25日、ジブラルタ生命保険株式会社は、元営業社員および事務社員による顧客情報の漏洩事案について、詳細を公表しました。関係するお客様には既に個別通知を行っており、あわせて不審な勧誘等について注意喚起を行っています。

本件の概要

今回判明した事案は、北九州支社に2024年3月まで在籍していた元営業社員4名が、退職後に転職先である生命保険代理店で、在籍時に担当していた顧客の契約情報を不正に持ち出していたというものです。さらに、当該元営業社員らのうち3名については、退職後に営業所の事務社員（2025年1月に懲戒解雇）が依頼に応じて契約情報の一部を漏えいしていたことが、社内調査により判明しました。

本件により漏えいが確認された情報は以下の通りです。

• 氏名

• 生年月日

• 保険種類（商品名、保険料、既払保険料、解約返戻金額等）

漏えいが確認された顧客数は71名にのぼります。

二次被害の状況と会社の対応

現在までに、本件に関連する二次被害や、不正利用につながる具体的な被害報告は確認されていないとしています。しかし、ジブラルタ生命では念のため、対象となった顧客に対して不審な連絡があった場合の注意を呼びかけています。

また、2024年11月に事案が発覚した時点で、同社は速やかに金融庁および個人情報保護委員会への報告を済ませ、社内調査を経て該当社員への懲戒処分を実施。さらに、転職先代理店や元営業社員に対する調査も行いました。

現時点では、今回特定された範囲以外の顧客情報漏えいは確認されていないものの、可能性を完全には否定できないことから、担当していた全顧客への周知も行っているとのことです。今後、新たな事実が判明した場合には、速やかに追加通知を行う方針です。

原因と再発防止策

ジブラルタ生命によると、本件の主な原因は、一部社員の個人情報保護意識の欠如と、退職時のモニタリング体制・技術的な安全管理措置の不備にあるとしています。

再発防止に向け、次のような対策を強化する予定です。

• 支社管理職および営業社員、事務社員への個人情報保護教育の徹底

• 退職時の誓約プロセスの強化

• 顧客情報の持ち出しを監視するモニタリング体制の拡充

• 情報漏えい事案の社内共有による啓発と意識向上

同社は、「不正な持ち出しや使用に対しては、法的措置を含めた厳正な対応を行っていく」としており、全社的な再発防止体制の強化に取り組む姿勢を示しました。

一般的な情シスに求められる再発防止策

今回のようなケースに対して、情報システム部門（情シス）には以下のような対策が求められます。

• 退職前後のデータアクセスモニタリング

  • 退職予定者に対するデータアクセスログの精査

  • 不審なダウンロードやアクセスをリアルタイム監視

• アクセス権限の最小化（ゼロトラストモデルの推進）

  • 業務に必要な最小限の情報のみアクセス許可

  • 部署異動・退職時には速やかにアクセス権を剥奪

• 内部不正対策ソリューションの導入

  • UEBA（User and Entity Behavior Analytics）を用いて異常行動を検知

• 教育と啓発の徹底

  • 「なぜ個人情報を守るのか」という意識付けを目的とした定期的なセキュリティ研修の実施

• 退職者管理プロセスの明確化

  • 退職手続き時に情報持ち出しに関する最終確認・承諾手続きを実施

これらを総合的に実施することにより、内部者リスクを最小限に抑えるとともに、万が一のインシデント発生時にも迅速に対応できる体制を構築することが求められます。

参照

https://www.gib-life.co.jp/st/about/is_pdf/20250425.pdf