損保ジャパン、委託先のランサムウェアによるサイバー攻撃で約7.5万件の個人情報漏洩の可能性

2025年5月1日、損害保険ジャパン株式会社（以下、損保ジャパン）は、書類保管業務を委託している株式会社ギオンのサーバーがランサムウェアによるサイバー攻撃を受け、約7万5,000件の顧客氏名情報が漏えいした可能性があることを公表しました。

同社では、顧客のセンシティブ情報（事故内容、金融情報など）の漏えいはなく、現時点での外部流出や不正利用の事実も確認されていないとしていますが、氏名データが閲覧された可能性は否定できないため、公表に踏み切ったとしています。

発生の経緯と被害内容

2024年5月7日、ギオン社が保有するサーバーが第三者からの不正アクセスを受け、ランサムウェアによる攻撃が発生しました。これにより、損保ジャパンを含む取引先の情報が漏えいした可能性があることが判明しました。

ギオン社は、外部の専門業者に調査を依頼し、2025年4月2日に損保ジャパンへ報告を行いました。調査結果では、データファイルを外部へ送信するソフトウェア実行の痕跡や、共有ネットワークドライブへの接続は確認されておらず、外部への漏えいの可能性は低いと報告されています。

漏えいしたおそれがある情報は、ギオン社が倉庫に保管している書類を検索する際に必要となる顧客の氏名であり、事故の内容や金融情報などのセンシティブな情報は含まれていません。被害にあったシステムから閲覧されたおそれがある顧客情報の件数は約75,000件です。

サプライチェーンに潜む情報漏えいリスク

今回の損保ジャパンの事案に見られるように、自社ではなく業務委託先がサイバー攻撃の標的となることで、最終的に自社顧客情報が影響を受けるケースが近年相次いでいます。以下は同様の代表的な事例です。

高野総合会計事務所（2024年）

2024年6月、高野総合会計事務所のサーバーがランサムウェア攻撃を受け、元従業員や元勤務型代理店の氏名、住所、給与額、支払報酬額などの情報が漏えいした可能性があることが判明しました。通信機器の設定誤りが原因とされており、外部専門家と連携し、全容把握のための調査を継続しています。現時点で情報の不正利用は確認されていません。

イセトー（2024年）

2024年5月26日、株式会社イセトーがランサムウェア攻撃を受け、複数のサーバーやPC端末が暗号化されました。調査の結果、全国の自治体や企業から業務委託されていたデータが漏えいし、リークサイトに公開されたことが判明しました。特に漏えい件数の多い豊田市や徳島県は、それぞれ約15万件、約20万件の個人情報が漏えいしたことを公表しています。イセトーは、再発防止策としてVPNを使用しない体制とし、認証強化を図ることで不正アクセスが起こらない環境を構築する予定としています。

情報システム部門への示唆

今回の損保ジャパンの対応は、「自社の管理外にあるIT資産が引き起こすセキュリティリスク」への備えの重要性を示しています。委託先が保有・管理する環境であっても、エンドユーザーの個人情報を預けている以上、監督義務と技術的管理責任は免れないという現実があります。

特に注視すべきは以下の点です：

• EDRの導入とログ監視体制の社内外への展開

• 契約時だけでなく、運用フェーズにおける定期的なセキュリティレビュー

• サプライチェーン上の脆弱性スキャンやベンダーリスク評価の導入

• 万が一の際のインシデントレスポンスとCSIRT体制の明文化

「自社が直接攻撃されたわけではない」という油断が、重大なブランド毀損につながるリスクもある中、“委託して終わり”ではないセキュリティ運用と責任分担の明確化が今後一層求められます。

一部参照

https://www.sompo-japan.co.jp/announce/2025/202505_02/