ユナイテッドアローズは2026年3月16日、元従業員によるデータ持ち出しにより、広報・PR活動に関係する取引先の個人情報が漏えいしたと公表しました。対象となったのは、氏名、勤務先企業名、所属部署、所属部署の電話番号、メールアドレス、事業場の住所、事業用電話番号などで、件数は約1万人です。対象者によって漏えいした項目は異なるとしています。
概要
同社によると、元従業員は2025年12月31日付で退職しており、2026年1月4日にクラウドサーバー上の外部連携機能を利用してデータを外部PCへ保存していました。この事実は1月6日に判明しています。
その後、1月7日に本人への事情聴取を実施し、元従業員は持ち出しの事実を認めました。これを受けて、元従業員に貸与していたPCと個人PCの計2台について、外部機関による調査が行われました。さらに1月9日には、元従業員の転職先とも面談を実施し、転職先で貸与されたPCについても挙動調査やデータ調査への協力を取り付けています。
2月27日には、外部機関の調査結果として、元従業員の使用していた端末上で当該データが利用された実績はなく、元従業員以外に閲覧された可能性も確認されなかったとしています。転職先PCから外部へ流出した可能性も低いとの見解が示されている一方で、同社は転職先PCの継続調査を進めるとしています。
漏えいした情報と対象範囲
漏えいした情報は、広報・PR活動に関連する取引先担当者の連絡先情報が中心です。
氏名に加え、勤務先企業名、所属部署、電話番号、メールアドレス、事業場住所など、業務上の連絡に用いられる情報が含まれていました。件数は約1万人に上ります。
クレジットカード情報や顧客の購買情報といった性質のものではありませんが、企業の広報窓口や担当者の連絡先がまとまって持ち出された点は軽視できません。これらの情報がさらに漏洩した場合、なりすましメール、標的型攻撃メール、取引先を装った連絡などに悪用されるおそれがあるためです。
二次被害の有無
現時点で同社は、元従業員や転職先による持ち出し情報の使用は確認されておらず、第三者への開示、譲渡、漏えいも確認されていないとしています。このため、二次被害またはそのおそれはないと判断しています。
対策
企業としては、退職前後の権限管理、重要データの持ち出し制御、DLPの導入、クラウドログ監視、内部不正を前提にした運用整備をどこまで進められるかが問われます。今回の公表は、内部者リスク対策の不備がそのまま個人情報漏えいにつながることを改めて示した事例といえます。
関連記事
東京都立高校学校が個人情報 漏洩に関しての第二報を発表|セキュリティインシデント 事例
@costcojapan.jpドメインでなりすましメール(フィッシングメール)が大量送信されている
@gilt.jpドメインでなりすましメール(フィッシングメール)が大量送信されている
肥後銀行が東京海上日動火災保険、第一生命保険、損害保険ジャパンからの出向者による情報漏洩事案を発表
ジブラルタ生命、元営業社員が顧客情報を不正に持ち出しさらに闇金へ提供-個人情報流出も
株式会社ベル・データ、2024年9月のランサムウェアで約4万7千件個人情報漏洩の可能性
熊本市教委、進学支援金申請者562人分の個人情報が誤設定により漏洩
ローレルバンクマシンのAI-OCR Jijilla 不正アクセスで情報流出の可能性-第一フロンティア生命保険や野村證券、NRIフィナンシャル・グラフィックスもインシデント 発表
警視庁元警部補がトクリュウ「ナチュラル」へ捜査 情報漏洩-初公判で起訴内容認める
