2025年6月11日、ソフトバンク株式会社は、業務委託先である株式会社UFジャパンによる情報管理不備に起因し、同社の携帯電話サービス契約者の個人情報が約14万件にわたり漏洩した可能性があると公表しました。
目次
発覚の経緯と概要
本事案は、2025年3月下旬に社外からの通報により発覚しました。ソフトバンクの調査により、UFジャパンおよびその協力会社の元従業員による不正なデータ持ち出しや、クラウド経由での情報漏えいリスクが判明。さらに、同社の情報管理体制に構造的な問題があったことも明らかとなりました。
対象となったのは、「ソフトバンク」および「ワイモバイル」の携帯電話サービス契約者情報で、現時点での流出可能性がある件数は13万7,156件。
また、個人の特定に直結しない社内顧客番号データが約16万件確認されています。
流出の可能性がある情報の内訳
| 区分 | 件数 |
|---|---|
| 元従業員A氏による持ち出しの可能性 | 約13万5,022件 |
| クラウドアップロードで第三者が閲覧可能だった件数 | 約2,134件 |
| 合計 | 約13万7,156件 |
加えて、個人の識別には直結しない「社内顧客管理番号」のみのデータが約16万1,132件存在していたことも判明しています。
漏洩した可能性がある情報項目
-
氏名、住所、生年月日、電話番号、性別、年齢
-
契約内容(料金プランなど)
-
サービス利用に関する情報
-
顧客管理番号(社内用)
※ クレジットカード情報、銀行口座情報、マイナンバーは含まれていません。
発覚した3つの重大な問題点
協力会社元従業員による不正アクセス(物理侵入)
-
元従業員A氏が退職後の2024年12月にUFジャパンの事業所に不正侵入。
-
USBメモリを使用し、情報端末から個人情報を持ち出した疑い(監視カメラ映像で確認)。
-
A氏は関与を否定しているものの、ソフトバンク側はこの行為を重大視。
クラウド経由で第三者に閲覧可能な状態に
-
協力会社従業員B氏が、顧客情報ファイルをクラウドにアップロード。
-
非業務関係者3名が閲覧可能な状態にあったが、ダウンロードの形跡はなし。
情報管理体制の不備と虚偽報告
-
セキュリティルールに違反した入退室管理(第三者の立ち入り許容、警備員未配置等)。
-
ソフトバンクによるセキュリティ監査に対し、UFジャパンは虚偽の報告を行っていた。
まとめ
今回の情報漏えいは、「業務委託先の管理不備」による典型的な事例であり、特に「再委託管理の不在」「物理・クラウド両面でのガバナンス欠如」「虚偽報告」という複合的な問題が浮き彫りとなりました。
情報システム部門においては、委託先選定・契約管理・運用監視における三層の統制強化が急務です。
また、漏えいが未確定であっても、「閲覧可能だった」という事実をもってインシデントとして扱う点も重要な判断基準です。形式的な「漏えいなし」判断に逃げず、リスク視点での運用見直しが求められます。
参照
https://www.softbank.jp/corp/news/press/sbkk/2025/20250611_01/
関連記事
損保ジャパン、4月の不正アクセスによるサイバー攻撃で最大約1,748万件の情報漏洩の可能性
ランサムウェア 事例 【2023年】
ランサムウェアの事例 【2024年】
サイバー攻撃の事例 【2024年】
東京海上や三井住友海上など大手損保や保険会社の代理店 出向者による個人情報漏洩のまとめ
個人情報保護委員会、イセトーへのサイバー攻撃による約307万人の個人情報漏洩について行政指導を発表
Steamから約8,900万件の情報漏洩した疑惑を運営のValveが否定
Google・Facebook・Instagram含む1億8400万件のメールアドレスやパスワードなどの認証情報や個人情報流出
Lummaマルウェアネットワークを摘発、司法省とMicrosoftがドメインを押収
