ムラタメイク、村田製作所への不正アクセスに伴い自動車保険契約者の個人情報漏えいが判明-米国では非開示の「侵入期間」も明らかに

セキュリティニュース

投稿日時: 更新日時:

ムラタメイク、村田製作所への不正アクセスに伴い自動車保険契約者の個人情報漏えいが判明-米国では非開示の「侵入期間」も明らかに

村田グループの従業員向け保険を取り扱う機関代理店・株式会社村田-mlb(ムラタメイク、京都府長岡京市)は2026年7月10日、親会社である村田製作所のIT環境への不正アクセスに伴い、同社の顧客に関する個人情報の一部も外部に漏えいしたことが判明したと公表しました。対象となるのは過去3時点の自動車保険契約情報で、直近の契約情報は含まれていません。今回の漏えいは、村田製作所が2月から公表してきた一連の不正アクセス事案の影響が、グループ会社の保険代理店業務にまで及んでいたことを示すものです。

サマリー

  • 株式会社村田-mlb(ムラタメイク)は2026年7月10日、親会社・村田製作所のIT環境への不正アクセスにより、同社が扱う自動車保険契約者の個人情報の一部が外部に漏えいしたことが判明したと公表した
  • 漏えいした可能性がある情報は、2015年3月末・2020年1月末・2021年7月末の3時点における自動車保険契約に関する氏名、証券番号、車両番号、契約保険会社、保険始期日・満期日。直近の契約情報は対象外とされている
  • 住所・電話番号・メールアドレス等の連絡先、および口座情報・クレジットカード情報は漏えいしていないとしている
  • 本件は、村田製作所が2026年2月28日に認識した不正アクセスに起因するもので、村田製作所は3月6日の第一報、4月27日の第三報を経て、約8.8万件の個人情報が不正取得された恐れがあると公表していた
  • 村田製作所は、危機対策本部の設置、外部のサイバーセキュリティ専門機関との連携、不正アクセス経路の遮断、外部アクセス制限の強化等を実施し、認証方式の強化や権限管理強化、セキュリティ監視範囲の拡充等を再発防止策として掲げている。今回の漏えいによる二次被害・情報の不正利用は現段階では確認されていないとしている
  • ムラタメイクは、保険契約に関する手続きや同社へ通知が必要な事項は特にないとしつつ、心当たりのない連絡があった場合は同社へ相談するよう案内している
  • なお、村田製作所本体のIT環境への不正アクセスは、米州地域統括会社Murata Electronics North America, Inc.の従業員情報にも及んでおり、同社が米ニューハンプシャー州司法長官へ提出した法定届出には、日本国内の一連の公表では明らかにされていない「侵入期間(2025年3月〜2026年2月28日、約12カ月)」が明記されていることが分かっている
項目 内容
公表日 2026年7月10日
公表主体 株式会社村田-mlb(ムラタメイク、村田グループの機関代理店)
原因 親会社・村田製作所のIT環境への不正アクセス
漏えいした可能性がある情報 2015年3月末・2020年1月末・2021年7月末時点の自動車保険契約に関する氏名、証券番号、車両番号、契約保険会社、保険始期日・満期日
漏えいしていない情報 住所・電話番号・メールアドレス、口座情報・クレジットカード情報
村田製作所側の経緯 2026年2月28日認識、3月6日第一報、4月27日第三報で約8.8万件の可能性を公表
二次被害の有無 現段階で確認されていない
問い合わせ先 ムラタメイク(Email:[email protected]、TEL:0120-157-756)

何が起きたか

ムラタメイクの公表によれば、親会社である村田製作所のIT環境への不正アクセスにより、同社が扱う自動車保険の顧客に関する個人情報の一部も外部に漏えいしたことが判明しました。漏えいした可能性がある情報は、2015年3月末、2020年1月末、2021年7月末という3つの時点における自動車保険契約に関する、氏名、証券番号、車両番号、契約保険会社、保険始期日・満期日です。同社は、これら過去3時点の情報が対象であり、直近の契約情報は漏えい対象に含まれていないと説明しています。また、住所・電話番号・メールアドレス等の連絡先、および金融機関口座情報・クレジットカード情報については漏えいしていないことも明記しています。

ムラタメイクは、今回の漏えいによる二次被害・情報の不正利用は現段階では確認されていないとしたうえで、対象となる可能性のあるお客様には特別な対応(保険契約に関する手続きや同社への通知)は必要ないとしています。一方で、本件に関連すると思われる心当たりのない連絡があった場合には、同社へ相談するよう呼びかけています。

発端となった村田製作所の不正アクセス

今回のムラタメイクにおける漏えいは、親会社である村田製作所のIT環境への不正アクセスに起因するものです。村田製作所は2026年2月28日、IT環境への不正アクセスの可能性を認識し、3月1日から本格的な調査を開始しました。3月6日の第一報を経て、4月27日の第三報では、社外関係者に関する情報および同社に関する情報が不正に読み出された可能性があるとして、約8.8万件の個人情報が不正取得された恐れがあると公表しています。この中には金融機関口座情報や健康情報といった機微な情報も含まれるとされていました。

村田製作所は、不正アクセスの可能性を認識後、直ちに社内に危機対策本部を設置するとともに、外部のサイバーセキュリティ専門機関と連携し、不正アクセス経路の遮断、外部アクセス制限の強化、セキュリティ設定の見直しといった対応を実施しています。再発防止策としては、不正ログインやなりすましの防止を目的とした認証方式の強化、権限管理の強化、セキュリティ監視の対象範囲と検知ルールの拡充、外部専門機関による定期的な監査等を掲げています。

今回、ムラタメイクが自社の顧客情報にも影響が及んでいたことを公表した事実は、村田製作所という単一の企業への不正アクセスが、グループ内の保険代理店業務のように、一見すると独立した事業領域にまで波及しうることを示す事例です。村田グループのように、製造業本体と金融・保険関連のグループ会社が同一のIT基盤やアカウント体系を共有している場合、本体側のインシデントがグループ会社の顧客情報にまで連鎖的に影響することがあり、グループ全体でのIT資産・アクセス権限の分離状況を把握しておくことの重要性がうかがえます。

米国では開示されている「侵入期間」

村田製作所本体のIT環境への不正アクセスは、日本国内のグループ会社だけでなく、米州地域統括会社であるMurata Electronics North America, Inc.(本社:米ジョージア州アトランタ)の従業員情報にも及んでいました。同社は、米国の州法に基づき、2026年4月30日付でニューハンプシャー州司法長官へ法定の情報漏えい届出を提出しています。

この届出には、不正アクセスが2025年3月から2026年2月28日まで発生し、その期間は約12カ月に及んだことが明記されています。これは、日本国内でムラタメイクや村田製作所が公表してきた一連の発表には記載されていない情報です。

米国側の届出によれば、影響を受けたのは人事システムではなく、従業員本人がMurataアカウントに保存していた個人ファイルで、社会保障番号(SSN)・パスポート情報・医療情報・金融口座番号等が対象に含まれるとされています。対象者全員には、Kroll社による24カ月間の無償クレジットモニタリング・本人確認回復サービスが提供されており、この届出はニューハンプシャー州のほか、カリフォルニア州・アイオワ州・メイン州・マサチューセッツ州・モンタナ州・ネブラスカ州の司法長官等にも提出され、米国では各州司法長官のウェブサイト上で一般に公開されています。

日本で公表された約8.8万件・ムラタメイクの自動車保険契約者情報の対象範囲と、米国子会社の届出対象者が完全に一致するわけではありませんが、同一グループが経験した同一の不正アクセス事案について、開示される情報の詳細さに国によって明確な差があることが、一次資料の比較から確認できます。

この差は、米国の多くの州が通知内容(発生時期・影響情報・対策等)を法律で具体的に定めているのに対し、日本では侵入期間や影響システムの範囲まで一律に記載を求める制度になっていないことなど、日米の制度的な違いに起因すると考えられます。

情報システム部門への示唆

今回の事案は、グループ会社が親会社のITインフラ障害の影響を受け、自社の顧客情報についても後追いで漏えいの可能性を公表するという構図を示しています。グループ企業を持つ組織においては、親会社・中核企業でセキュリティインシデントが発生した際、グループ各社が自社の保有データが影響範囲に含まれていないかを速やかに確認し、対象がある場合には遅滞なく自ら開示する体制を整えておくことが重要です。ムラタメイクの今回の対応のように、本体の公表から一定期間を経てグループ会社が追加の開示を行うケースは珍しくなく、グループ内の情報連携と、各社が個別に負う開示義務の双方を平時から整理しておく必要があります。

また、侵入期間の特定は被害者が自身のリスクを評価するうえで重要な情報であり、日本国内では法的な開示義務が明確でない場合でも、可能な範囲で開示することが、被害者との信頼関係の維持につながります。複数国に拠点を持つ企業においては、対外開示基準を最も厳格な法域(米国の州法やGDPR等)に合わせて統一する「equalize up」の考え方や、要配慮情報・金融情報が漏えいした場合のクレジットモニタリング等の救済措置を、日本国内でも標準化することを検討する価値があります。

出典