愛知県発注工事の請負業者「サンエイ株式会社」、ランサムウェアによりサイバー攻撃で個人情報漏えいの可能性

愛知県建設局は2025年5月2日、同局が発注した公共工事等を請け負っていたサンエイ株式会社（本社：愛知県刈谷市）のサーバーが第三者による不正アクセスを受け、県が提供した個人情報が漏えいした可能性があると発表しました。

本件は、4月28日付でサンエイ社からの報告を受けて明らかになったもので、愛知県は関係者への謝罪とともに、情報管理体制の見直しと再発防止策の強化に取り組むとしています。

発生の経緯

2025年4月5日、サンエイ社がサーバーに対する不正アクセスとランサムウェア感染を確認。ファイルが暗号化され、アクセス不能になっていることを発見しました。同日、社内に対策本部を設置し、外部専門家と共に調査と復旧を開始しています。

4月9日には、個人情報や秘密情報が漏えいした可能性があることを同社が公表。4月10日以降、建設局とサンエイ社による調査と報告が継続され、最終的に、県から提供された個人情報が被害サーバーに保管されていた可能性があると判断されました。

漏えいの可能性がある個人情報（計112名）

公共土木施設防災安全協定に関連し、協定を締結していた企業（サンエイ社含む）の連絡体制表に記載されていた以下の情報が対象とされています。

• 知立建設事務所：14名（氏名、電話番号）

• 知立建設事務所：89名（氏名のみ）

さらに、道路災害防除工事および道路施設維持管理業務において、地元関係者の以下の情報が漏えい対象とされる可能性があります。

• 大型ボックスカルバート補修工事（知立建設事務所）：5名（氏名、住所、電話番号、メールアドレス）

• 管清掃業務委託（西三河建設事務所）：4名（氏名、住所、電話番号）

なお、建設局は契約上不要な個人情報を提供していないことも明言しています。

サンエイ株式会社の対応

サンエイ社では、被害を受けた取引先等に対して連絡を行い、社内に設置した対策本部を通じて原因調査と再発防止に努めています。

代表窓口：サンエイ株式会社 総務部 中根氏（TEL：0566-21-4301）

愛知県の対応

愛知県建設局は、4月28日以降、対象となる112名のうち108名に電話または訪問により謝罪と注意喚起を実施（5月1日時点）。また、5月1日には県民文化局より全庁へ、個人情報提供の有無を確認し、必要な対応を取るよう通知が出されました。

建設局としては、今回の事案を踏まえ、請負業者に対する情報管理指導を強化し、再発防止策の徹底を図るとしています。

情報システム部門への示唆

この事案は、外部委託先の情報管理ミスが公共機関の個人情報漏えいに波及する典型例です。以下のような対策が求められます：

• 委託先の情報セキュリティ体制に関する契約前審査と定期監査

• 緊急時のインシデント報告義務の明文化

• ランサムウェア対応を含むBCP（事業継続計画）の策定支援

今後、類似事案の再発を防ぐため、地方自治体および関連事業者は、サプライチェーン全体を見据えたセキュリティ統制が必要不可欠です。