2025年10月15日、ローレルバンクマシン株式会社(LBM)が提供する AI-OCR サービス「Jijilla(ジジラ)」の不正アクセス事案を受け、同サービスを業務フローの中で利用していた再委託先から、相次いで個人情報流出の公表がありました。10月17日から21日みずほ証券と丸三証券は、それぞれ自社の顧客満足度調査の回答データが外部に流出したと発表しています。
両社とも、自社のシステム侵害は確認されておらず、流出したデータは回答者IDと回答内容(フリーコメント等)に限定され、氏名・住所など直接特定につながる情報は含まれていない、または分離管理で削除済みと説明しています。
みずほ証券のインシデント
みずほ証券では、同社の「お客さま満足度調査」に関する回答データ入力業務を野村総合研究所(NRI)に委託し、NRIはNRIフィナンシャル・グラフィックスを経由して別会社に再委託していました。この再委託先が利用していたクラウドサービスに不正アクセスが発生し、郵送で回答した顧客の「回答者ID(当該調査専用の11桁英数字)」とアンケート回答内容が外部へ流出したことが確認されています。
氏名・住所などの直接識別子は含まれておらず、現時点で同社システムへの侵害も確認されていません。同社は事実関係の確認と関係当局・関係先との連携を進める一方、委託先管理の徹底と再発防止策の強化を表明しています。
丸三証券のインシデント
丸三証券でも、2024年度に実施した「お客様アンケート」のデータ入力業務をNRIに委託し、NRIはNRIフィナンシャル・グラフィックスおよび日本アスペクトコア(NAC)へ再委託していました。2025年9月25日、NACが使用していたローレルバンクマシン(LBM)製の入力補助ツール「Jijilla」がランサムウェアを伴う不正アクセス被害を受け、
同日中にアクセス遮断が実施されています。後日の調査で郵送回答の電子化データ4,114件(回答者IDと回答内容)に流出の可能性を示す痕跡が確認されました。
発送業務に用いた氏名・住所などの個人情報は回答データと分離管理され、業務完了後に委託先から削除済みのため、二次被害の可能性は極めて低いと説明しています。丸三証券は本件を受け、委託・再委託先を含む情報管理体制の強化と再発防止に取り組む方針です。
これまでの経緯
-
9月25日:LBMが運用する「Jijilla」サーバーで不正アクセスが発生し、一部機能が停止しました。隔離・停止後、第三者機関による調査を開始しています。
-
10月15日:LBMは、保管していた個人情報の外部漏えいの可能性を確認したと公表しました。
-
10月17日:みずほ証券が、委託先のさらに再委託先が利用しているクラウドサービスで不正アクセスがあり、「郵送回答分」の回答者ID(当該調査のみで用いる11桁英数字)と回答内容が外部に流出したと発表しました。自社システムへの不正アクセスは確認されていません。
-
10月21日:丸三証券が、2024年度「お客様アンケート」の電子化データ 4,114件について、回答者IDと回答内容の流出可能性を公表しました。発送関連で用いた氏名・住所等の個人情報は回答データと分離管理され、業務完了時に委託先で削除済みであるため、二次被害の可能性は「極めて低い」と説明しています。
なお、第一フロンティア生命も先に、同じ委託・再委託の流れの中で、日本アスペクトコアが利用していた LBM 構築の入力補助ツール(Jijilla)で不正アクセスがあり、回答者IDとフリーコメントの漏えい可能性を公表しています。フリーコメント内に氏名等を記入していた方が6名おり、個別に連絡するとしています。








