1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. Kaizen Tech Agentが元従業員による不正な情報持ち出しで個人情報漏洩の恐れ

Kaizen Tech Agentが元従業員による不正な情報持ち出しで個人情報漏洩の恐れ

セキュリティニュース

投稿日時: 更新日時:

Kaizen Tech Agentが元従業員による不正な情報持ち出しで個人情報漏洩の恐れ

2026年6月10日、IT人材紹介・SES(システムエンジニアリングサービス)を主力事業とする株式会社Kaizen Tech Agent(本社:東京都港区赤坂)は、元従業員による社内情報の不正取得および社外持ち出しのおそれがあることを起因とする個人情報漏洩疑惑を公表しました。

漏洩した可能性がある個人情報は9,721件で、対象となる情報には氏名・連絡先・勤務先情報に加え、銀行口座情報および面談時の記録(一部健康状態等に関する記載を含む可能性)という機微性の高い情報が含まれています。

元従業員が業務上付与されていたアクセス権限を使い、2025年10月16日にシステム上の情報へのアクセス・ダウンロードを行ったとされています。

同元従業員は本件についてヒアリングで持ち出しを否認し、不正取得をしていない旨の誓約書を提出しており、現時点では「漏洩した可能性がある」という段階です。なお、対象となる個人情報が不正利用された事実は現時点では確認されておらず、クレジットカード情報・マイナンバー情報は対象外です。個人情報保護委員会への報告は2026年5月14日に完了しており、対象者には2026年6月10日より電子メールで個別通知が行われています。

サマリー

  • 2026年6月10日、Kaizen Tech Agentが公表。元従業員による社内情報の不正取得・社外持ち出しのおそれ
  • 漏洩した可能性がある件数:9,721件
  • 漏洩が懸念される情報:氏名・生年月日・性別・住所・電話番号・メールアドレス・勤務先名称・住所・部署名・銀行口座情報・緊急連絡先情報・面談時の記録(健康状態等含む可能性)
  • 対象外の情報:クレジットカード情報・マイナンバー情報
  • 事案の種別:外部サイバー攻撃ではなく内部不正(インサイダー脅威)——元従業員が業務上付与されていたアクセス権限を使用
  • 不正取得が疑われる日時:2025年10月16日(アクセス履歴・ダウンロード履歴から判明)
  • 元従業員の主張:ヒアリングで持ち出しを否認・「不正取得はしていない」旨の誓約書を提出。「漏洩した可能性がある」という段階(確定ではない)
  • 調査・報告の流れ:2026年3月発覚→警視庁への相談・外部専門機関と連携→2026年4月14日に外部専門機関の調査完了→2026年5月14日に個人情報保護委員会に報告→2026年6月10日に公表
  • 現時点で対象個人情報が不正利用された事実は確認されていない
  • 問い合わせ:フリーダイヤル0120-300-662(平日10:00〜17:00、6/13土・6/14日も対応)

事案の経緯—発覚から公表まで約8か月

Kaizen Tech Agentの公表が示す事案の経緯は以下のとおりです。

2025年10月16日:元従業員が社内システムへのアクセス・情報のダウンロードを行ったとされる日時。この時点では会社側は把握していませんでした。

2026年3月:元従業員による社内規程に違反する可能性のある行為を把握したことを端緒として、社内調査を開始。併せて、警視庁への相談および外部専門機関との連携により、影響範囲の特定と原因調査を進めました。

2026年4月14日:外部専門機関による調査が完了。当該元従業員が2025年10月16日に社内情報を不正に取得し、社外に持ち出したおそれがあることが判明。ただし、元従業員へのヒアリングでは持ち出しを否認し、「不正取得はしていない」旨の誓約書の提出を受けています。

2026年5月14日:監督官庁である個人情報保護委員会に報告。

2026年6月10日:本件を公表。対象となる方への個別の電子メール通知を開始。

発覚(2026年3月)から公表(2026年6月10日)まで約3か月、不正アクセスが疑われる日時(2025年10月16日)から公表まで約8か月が経過しています。外部専門機関による調査・個人情報保護委員会への報告を経ての公表というプロセスは、個人情報保護法上の適正な手続きに沿ったものです。

漏洩が懸念される情報の詳細—銀行口座情報と面談記録が特に高リスク

今回漏洩した可能性がある情報は9,721件で、以下の項目を含みます。なお、すべての項目がすべての対象者に該当するわけではなく、対象者ごとに該当する情報の範囲は異なります。

情報の種別 リスク評価
氏名・生年月日・性別 中(個人特定に使用される可能性)
住所・電話番号・メールアドレス 中(フィッシング・スパム・なりすましの材料)
勤務先名称・勤務先住所・勤務先部署名 中(標的型攻撃メール等に悪用)
銀行口座情報 高(不正引き出し・振り込め詐欺の材料)
緊急連絡先情報 中(関係者へのなりすまし連絡)
面談時の記録(健康状態等含む可能性) 高(プライバシー侵害・センシティブ情報)

特に注意が必要なのは銀行口座情報面談時の記録の2点です。

銀行口座情報は、フィッシング詐欺・振り込め詐欺・不正送金を目的とした接触に直接悪用される可能性があります。「銀行から不審な取引があった」「口座の確認が必要」といった接触には十分な警戒が必要です。

面談時の記録は、転職・就職活動中に人材会社の担当者と共有したカウンセリング記録などを指します。「一部健康状態等に関する記載を含む可能性があります」と記載されており、個人情報保護法における「要配慮個人情報」に該当する可能性があります。この種の情報は一般的に特に厳重な保護が求められるものです。

内部不正(インサイダー脅威)の概要

今回の事案は、外部の攻撃者によるサイバー攻撃ではなく、元従業員による内部不正(インサイダー脅威)として区分されます。

内部不正による情報漏洩の特徴は、外部攻撃と異なり「業務上付与されたアクセス権限の範囲内での操作」であるため、通常のシステム監視では検知が難しいという点にあります。今回の事案でも、「元従業員に業務上付与されていたアクセス権限により、当社システム上の情報へのアクセス履歴、ダウンロード履歴がある」ことが判明の根拠とされており、アクセス制御そのものは機能していた一方で、権限範囲内の操作であったため即時検知には至りませんでした。

組織が内部不正リスクに対応するためには、アクセス権限の最小化(Least Privilege)・退職時・役職変更時のアクセス権限の即時剥奪・大量ダウンロードのアラート設定・定期的な操作ログの監査といった対策が有効です。今回Kaizen Tech Agentは「社内規定の見直しおよび情報管理体制のさらなる強化を実施」すると発表しており、これらに相当する対策を整備中と思われます。

人材紹介・SES企業は、求職者の個人情報・銀行口座情報・健康情報など機微性の高い情報を大量に取り扱う性質上、内部不正リスクが特に高い業種の一つでもあります。

対象者が取るべき対応

個別通知メールの確認:Kaizen Tech Agentは2026年6月10日より対象者に電子メールで通知しています。まずメールの有無を確認してください。なお、メールでの連絡がかなわなかった方については、本公表をもって連絡に代えるとされています。

銀行口座の不審な動きの確認:銀行口座情報が対象に含まれる可能性がある方は、入出金明細を確認してください。見覚えのない出金・引き落としがある場合は、すぐにカード会社・金融機関に連絡してください。

不審な連絡への警戒:Kaizen Tech Agentは「当社または関係者を装った不審な電話、電子メール、郵送物等を受け取られた場合には、安易に返信や対応を行わず、個人情報や口座情報等の重要な情報はお伝えにならないようお願いいたします」と注意喚起しています。「Kaizen Tech Agent」や「転職エージェント」を名乗る不審な連絡には応じないでください。

問い合わせ窓口への連絡:自分が対象かどうか不明な場合や追加の詳細を確認したい場合は以下の窓口にお問い合わせください。

  • フリーダイヤル:0120-300-662
  • 受付時間:平日10:00〜17:00(2026年6月13日土曜・14日日曜も受付)
  • メール:[email protected]

FAQ

Q. Kaizen Tech Agentに登録したことがある場合、すべて対象ですか? A. 対象は漏洩した可能性がある9,721件に限定されます。Kaizen Tech Agentは対象となる方へ2026年6月10日より電子メールで通知しています。メールが届いていない場合は、現時点では対象に含まれていないとみなされます。不明な点はフリーダイヤル(0120-300-662)でお問い合わせください。

Q. 銀行口座情報が漏洩した場合、不正引き出しの恐れはありますか? A. 現時点でKaizen Tech Agentは「対象となる個人情報が不正利用された事実は確認されていない」と説明しています。ただし、銀行口座情報が漏洩した可能性がある場合は、念のために通帳・明細の確認と、必要に応じて口座番号の変更・再発行を金融機関に相談することを推奨します。

Q. 元従業員は不正取得を否認しているということですが、確定情報ですか? A. 本件は「漏洩した可能性がある」という段階です。元従業員はヒアリングで持ち出しを否認し、誓約書を提出しています。ただし、アクセス履歴・ダウンロード履歴が確認されており、Kaizen Tech Agentは「おそれがある」として公表しています。捜査・訴訟は継続している可能性があります。

参考情報

関連記事

YCC情報システムへのランサムウェアによるサイバー攻撃のまとめ-被害組織・漏洩件数を随時更新【2026年4月】YCC情報システムへのランサムウェアによるサイバー攻撃のまとめ-被害組織・漏洩件数を随時更新【2026年4月】 いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年最新】いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】 名古屋鉄道(名鉄)の社員が走行中の列車の乗務員室に知人を連れて無断侵入-重大な物理セキュリティリスクとインサイダー脅威の問題点名古屋鉄道(名鉄)の社員が走行中の列車の乗務員室に知人を連れて無断侵入-重大な物理セキュリティリスクとインサイダー脅威の問題点 Windows ゼロデ イ脆弱性「MiniPlasma」-2020年に「修正済み」のCVE-2020-17103が実は未修正Windows ゼロデ イ 脆弱性「MiniPlasma」-2020年に「修正済み」のCVE-2020-17103が実は未修正 カイゼンベース社の公式サイトが改ざん被害-不審サイトに誘導、現在は復旧済みカイゼンベース社の公式サイトが改ざん被害-不審サイトに誘導、現在は復旧済み 村田製作所、不正アクセスによるサイバー攻撃で約8.8万件の個人情報漏洩の恐れ村田製作所、不正アクセスによるサイバー攻撃で約8.8万件の個人情報漏洩の恐れ 着服と横領の違いとは?着服と横領の違いとは? GitHubの5,561リポジトリが6時間で侵害-SafeDepが自動化 サプライチェーン攻撃「Megalodon」を公開GitHubの5,561リポジトリが6時間で侵害-SafeDepが自動化 サプライチェーン攻撃「Megalodon」を公開 polyfill.ioによる不審認証画面表示、無印良品・ほぼ日・Samsung Smart TVほか多数が告知-北朝鮮のサプライチェーン型サイバー攻撃キャンペーンpolyfill.ioによる不審認証画面表示、無印良品・ほぼ日・Samsung Smart TVほか多数が告知-北朝鮮のサプライチェーン型サイバー攻撃キャンペーン