三菱製紙で不正アクセス 現・元社員の4,209人分の個人情報流出の可能性

セキュリティニュース

投稿日時: 更新日時:

三菱製紙で不正アクセス 現・元社員の4,209人分の個人情報流出の可能性

三菱製紙株式会社は2025年11月28日、同社のPCおよびサーバーが第三者による不正アクセスを受け、役職員および退職者あわせて4,209人分の個人情報が漏えい、または漏えいの可能性があることを公表しました。取引先の情報は含まれておらず、現時点で業務システムの稼働には影響がないとしています。

事案の概要と発生経緯

同社によると、2025年8月29日、8月26日から28日にかけて第三者が複数回にわたり社内PCおよびサーバーへ不正にリモート接続していたことが判明しました。

不正アクセスを確認した直後、同社は接続されていたPCのシャットダウンやネットワークからの隔離を行うとともに、リモートアクセス専用回線を遮断し、外部から社内システムへアクセスできない状態に切り替えました。併せて、各アカウントのパスワード変更も実施し、第三者による継続的な侵入リスクを低減したと説明しています。

その後、外部の専門家にフォレンジック調査を依頼し、調査結果の報告を受けた結果、同社のリモートアクセス専用回線に接続されていた機器のセキュリティに問題があり、これが不正アクセスの原因となったことが確認されました。当該機器はすでにネットワークから完全に隔離されています。

この調査の過程で、同社が管理する役職員および退職者の個人情報の一部について、外部への流出もしくは流出の可能性があることが明らかになりました。

流出および流出の可能性がある個人情報の範囲

今回、個人情報の漏えいまたは漏えいの可能性がある対象者は以下の通りです。

  • 役職員(現職):2,422名

  • 退職者:1,787名

合計で4,209名が影響を受けた可能性があることになります。

対象となる情報の項目としては、氏名、所属部署、役職名に加え、社内システムのログインに関連する情報が含まれています。

具体的には、同社ドメインへのログインID、同ドメインのメールアドレス、そして暗号化されたログインパスワードです。パスワードについては「高度に暗号化されている」とされており、ただちに平文として読み取れる状態ではないことが明記されています。

一方で、銀行口座情報やマイナンバーなど、よりセンシティブな金融・個人識別情報は今回の対象には含まれていないと同社は説明しています。また、今回判明した範囲の個人情報の中に、取引先企業の情報は含まれていないとも強調しています。

会社の対応と関係機関への報告

三菱製紙は、本件についてすでに個人情報保護委員会に必要な報告を行っており、該当する役職員および退職者には順次個別の通知を進めています。また、警視庁への通報も実施済みであり、技術的な側面を中心に独立行政法人情報処理推進機構(IPA)との情報交換も継続しているとしています。

同社は以前から情報セキュリティ強化に取り組んできたとする一方で、今回の不正アクセス事案が発生したことを「厳粛に受け止める」とコメント。外部専門家の協力のもと、リモートアクセス環境の見直しや機器のセキュリティ改善など、再発防止策の実施と一層の情報セキュリティ体制の強化に取り組んでいると説明しています。

二次被害と利用者への注意喚起

2025年11月28日時点では、本件に起因するなりすましや不正ログインなどの二次被害、およびその兆候は確認されていないとのことです。

ただし、氏名やメールアドレス、所属・役職などが外部に渡った可能性があることから、同社は対象者に対し、不審なメールや身に覚えのない連絡には十分注意するよう呼びかけています。特に、社内関係者や企業を装ったメールで、パスワードや個人情報の入力を促す内容があった場合には、返信やリンクのクリックを行わず、正規ルートでの確認を行うことが重要です。


最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。