日本原子力研究開発機構、委託先の不正アクセスで個人情報漏洩の可能性を公表

国立研究開発法人 日本原子力研究開発機構は2025年5月30日、不正アクセスを受けた委託先企業「DAIKO XTECH株式会社」のサーバから、同機構の職員等の個人情報が漏えいした可能性があると公表しました。漏えい対象は平成29年当時の内線電話番号簿に記載されていた職員や常駐請負従業員の氏名、電話番号、メールアドレスとされています。

委託先の不正アクセスが発端に

本件は、DAIKO XTECH社が運用していたファイル送信用サーバーへの不正アクセスに端を発しています。攻撃は2025年3月6日以降に発生し、3月12日に不正アクセスを検知。13日にはサービス停止が発表されました。

その後の調査で、同社の業務データが外部に漏えいした可能性が否定できないことが判明し、影響を受けた可能性のある取引先は729社に及ぶとされています。その中に日本原子力研究開発機構の業務委託先も含まれており、個人情報が含まれていたことが明らかになりました。

被害状況と対応

2025年4月7日、業務委託先から日本原子力研究開発機構へ初めて報告があり、その後、5月9日にDAIKO XTECH社から正式に、情報漏えいの可能性が否定できないとの報告がなされました。

現時点では個人情報の不正利用や二次被害は確認されていないとされていますが、同機構は対象となる職員等に対して謝罪するとともに、再発防止に取り組む姿勢を明らかにしています。

また、本件については個人情報保護委員会へも報告済みとのことです。

DAIKO XTECH社の対応と原因

DAIKO XTECH社は3月27日に対象サーバの安全性を確認し復旧していますが、その後も影響調査を継続。調査の結果、同社のセキュリティポリシーに即していない管理体制が不正アクセスを許した原因であったとしています。

同社は今後、以下の対応を進めるとしています。

• 管理体制の強化と安全管理措置の見直し

• 影響を受けた可能性のある取引先への個別連絡

• 継続的な状況確認と関係機関への報告

情報システム部門が取るべき教訓

今回の事案は、委託先のセキュリティ対策不足が原因で、委託元の機関にも影響が及ぶ「サプライチェーンリスク」の典型例です。自社で個人情報を直接管理していなくても、外部委託によって同様のリスクにさらされることを情報システム部門は強く意識する必要があります。

対策のポイント

• 委託契約時におけるセキュリティ評価基準の明確化

• 定期的な委託先の監査や管理体制の確認

• 委託する情報の最小化とリスク分類の明確化

• インシデント発生時の報告ルートと初動体制の構築

今回の事案は、特定のサーバが狙われたものの、その影響は委託元にも波及しており、個人情報の守りは委託先・外部ベンダーの管理体制に依存していることを如実に示しました。企業・団体ともに、委託先のセキュリティポリシーやインシデント対応能力を今一度見直すことが求められています。