農林中央金庫、JAさっぽろ利用者3,176件の個人情報を関係団体と委託先へ誤提供し個人情報漏洩

セキュリティニュース

投稿日時: 更新日時:

農林中央金庫、JAさっぽろ利用者3,176件の個人情報を関係団体と委託先へ誤提供し個人情報漏洩

農林中央金庫は2026年6月30日、同金庫が取り扱うJAさっぽろの組合員・利用者の個人情報を、JAグループの関係団体および同団体の業務委託先へ誤って提供する事案が発生したと発表しました。

対象となった個人情報は3,176件で、JAの組合員・利用者の利用状況を確認するためのシステムツール改修テストを行った際に、誤って提供されたものです。

漏洩した情報には、顧客番号、住所情報のうちマンション名・部屋番号等、貯金残高・貸出残高・口座開設日等の取引情報が含まれます。一方で、氏名、市区町村等の住所情報、電話番号、生年月日、マイナンバー、クレジットカード情報などは含まれていないと説明されています。

サマリー

  • 農林中央金庫で、JAさっぽろの組合員・利用者3,176件の個人情報漏洩が発生
  • システムツールの改修テスト時に、JAグループ関係団体と同団体の業務委託先へ誤提供
  • 判明日は2026年5月27日
  • 漏洩した情報は、顧客番号、マンション名・部屋番号等、貯金残高、貸出残高、口座開設日等
  • 氏名、市区町村等の住所情報、電話番号、生年月日、マイナンバー、クレジットカード情報は含まれていない
  • 漏洩先では、データ提供を受けた者を特定し、データ削除を確認
  • 上記以外の第三者への情報流出は確認されていない
  • 対象は、JAさっぽろ本店営業部で2020年1月31日時点に取引があった個人の組合員・利用者
  • 農林中央金庫は、対象者へ個別にお詫びと説明の書面を送付予定

概要

農林中央金庫は、全国の信用農業協同組合連合会および農業協同組合、JAから、JAバンクに関する事務を受託しています。

今回の事案は、JAの組合員・利用者の利用状況を確認するためのシステムツール改修テスト時に発生しました。農林中央金庫が、JAさっぽろを利用している組合員・利用者に関する個人情報3,176件を含むデータを、JAグループ関係団体および同団体からシステムツール作成を受託する業務委託先へ誤って提供していたことが、2026年5月27日に判明しました。

本件は、外部からの不正アクセスやサイバー攻撃ではなく、システム開発・テスト作業におけるデータ提供範囲の誤りによる個人情報漏洩です。

漏洩した個人情報

農林中央金庫が公表している漏洩情報は以下の通りです。

区分 漏洩した情報
識別情報 顧客番号
住所情報の一部 マンション名、部屋番号等
取引情報 貯金残高、貸出残高、口座開設日等

一方で、農林中央金庫は、氏名、市区町村等の住所情報、電話番号、生年月日、マイナンバー、クレジットカード情報など、財産的被害につながる情報は含まれていないと説明しています。

ただし、貯金残高や貸出残高、口座開設日などの取引情報は、金融機関の利用実態に関わる機微な情報です。氏名が含まれていない場合でも、顧客番号や住所の一部、取引情報が組み合わされることで、情報管理上は慎重な取り扱いが必要です。

対象となる利用者

対象となるのは、JAさっぽろ本店営業部で、2020年1月31日時点に取引があった個人の組合員・利用者です。

農林中央金庫は、対象者に対して、今回の事象に関するお詫びと説明の書面を別途送付するとしています。

対象となる可能性がある方は、農林中央金庫やJAさっぽろからの正式な書面を確認してください。一方で、電話やメールで暗証番号、キャッシュカード、取引印、通帳の提出を求める連絡には応じないことが重要です。

注意すべき不審連絡

農林中央金庫は、本件に関連して、JAさっぽろおよび同金庫の職員や委託業者が、組合員・利用者の貯金通帳、取引印、キャッシュカードを預かることや、キャッシュカードの暗証番号を対面または電話で尋ねることは一切ないと注意喚起しています。

金融機関の情報漏洩では、漏洩した情報そのものを使った不正出金だけでなく、金融機関や関係団体を装った電話、郵送物、SMS、メールによる詐欺が問題になります。

特に、今回のようにJAバンクやJAさっぽろの名称が関係する事案では、利用者に対して「漏洩確認のため」「口座保護のため」「再登録が必要」などと説明し、暗証番号やキャッシュカードをだまし取ろうとする連絡に注意が必要です。

金融機関・委託元が確認すべきポイント

金融機関や業務委託元では、システム改修やツール開発のテスト時に、実データをどこまで使用するかを明確にする必要があります。

まず、テストデータには原則としてダミーデータやマスキング済みデータを使用する運用を徹底してください。やむを得ず実データを使う場合は、利用目的、対象範囲、提供先、保存期間、削除方法、アクセス権限、ログ確認までを事前に承認する必要があります。

次に、委託先や関係団体へデータを提供する場合は、提供前のダブルチェックが必要です。顧客番号、口座関連情報、残高情報、貸出情報など、金融取引に関わる項目が含まれる場合は、氏名が含まれていなくても、個人に紐づく情報として厳格に扱うべきです。

また、テスト環境では本番環境よりも権限管理やログ監視が緩くなりがちです。金融機関では、本番環境だけでなく、開発・検証・分析・レポート用のデータ基盤も個人情報管理の対象として棚卸しする必要があります。

利用者が確認すべきポイント

対象者は、農林中央金庫から送付される説明書面を確認してください。

今回の発表では、氏名、電話番号、生年月日、マイナンバー、クレジットカード情報は含まれていないとされています。また、漏洩先でデータ削除を確認し、上記以外の第三者への情報流出は確認されていないと説明されています。

一方で、金融機関を装う不審な連絡には注意が必要です。JAさっぽろ、農林中央金庫、JAバンク、委託業者を名乗る相手から、キャッシュカード、通帳、取引印、暗証番号、インターネットバンキングのID・パスワード、認証コードを求められても、絶対に伝えないでください。

不審な電話や郵送物、SMS、メールを受け取った場合は、記載された連絡先ではなく、農林中央金庫やJAさっぽろの公式サイトに掲載された正規の問い合わせ先を確認することが重要です。

関連記事

西京信用金庫がイセトーのウイルス感染(ランサムウェア感染)で個人情報漏洩の可能性

医療機器販売業協会の委託業務で誤送信により個人情報漏えい

2026年5月 個人情報漏洩の事例 まとめ

2026年3月 個人情報漏洩の事例 まとめ

出典

農林中央金庫:当金庫が取り扱うJAさっぽろの組合員・利用者の皆様の個人情報漏えい事案の発生について(お詫び) (ノチュバンク)