2026年4月2日早朝、山形新聞・山形放送グループに属するシステムインテグレーター株式会社YCC情報システム(山形市、富士通グループが少額出資)のファイルサーバーがランサムウェアによるサイバー攻撃を受け、同社に業務を委託していた自治体・大学・民間企業の個人情報が漏洩したおそれがあることが明らかになりました。
山形県内の自治体・大学・交通事業者にとどまらず、埼玉県幸手市・関東信越税理士国民健康保険組合など山形県外の組織にも影響が及んでいます。本記事では各組織の1次ソースに基づき、被害組織・公表日・漏洩のおそれがある情報の詳細を横断的にまとめます。新たな公表が確認され次第、随時更新します。
▶ 詳細記事①:山形市委託のYCC情報システム、サイバー攻撃で約50万件の個人情報漏洩の恐れ、マイナンバーも漏洩
▶ 詳細記事②:山形大学、YCC情報システムへのサイバー攻撃で8万件超の個人情報漏洩の恐れ
この記事のサマリー
- 2026年4月2日早朝、YCC情報システムのファイルサーバーがランサムウェア攻撃を受けました。同社は4月3日に第1報を公表し、4月14日の第4報でデータ漏洩のおそれが否定できない旨を発表しています。
- 現時点で公表している被害組織は9組織以上(山形市・山形県・山形大学・山形交通・庄内町・高畠町・幸手市・山形新聞社・関東信越税理士国民健康保険組合等)。さらに拡大する可能性があります。
- 山形市では健康情報システム約50万件(氏名・住所・電話番号・保険者番号・検診年月日等)・人事給与システム約6,000件(マイナンバー含む)・児童相談システム2,520件など極めて機微性の高い情報が対象です。
- 本件は1社のシステムインテグレーターへの攻撃が、その委託元組織の情報を連鎖的に危険にさらす「サプライチェーン型ランサムウェア攻撃」の典型事例です。
目次
YCC情報システムとは
株式会社YCC情報システムは山形県山形市を拠点とするシステムインテグレーター(SI)企業です。山形新聞社・山形放送(YBC)グループの一員であり、富士通グループが少額出資しています。自治体向けの高額医療費管理システム・医療機関向けの電子カルテシステム・医療会計システムなどを幅広く提供しており、山形県内において複数の自治体・医療機関・民間企業のITシステムを長年にわたって手がけてきました。
攻撃の経緯——YCC情報システム公表タイムライン
| 日付 | 内容 |
|---|---|
| 2026年4月2日(早朝) | ファイルサーバーへのサイバー攻撃による不正アクセスを確認 |
| 2026年4月3日 | 第1報公表。影響範囲の特定・復旧作業を開始 |
| 2026年4月6日 | 第2報公表。ランサムウェア攻撃であることを公表 |
| 2026年4月7日 | 第3報公表。外部専門機関と連携した調査を継続中 |
| 2026年4月14日 | 第4報公表。取引先から受託・管理していた情報の一部についてデータ漏洩のおそれが否定できないことが判明。感染したランサムウェアの種類は特定済みだが、セキュリティ上の理由から非公表。侵入経路は特定に至っておらず調査継続中 |
被害組織・漏洩件数まとめ表
| 組織名 | 公表日 | 漏洩のおそれがある情報・件数 | 主な情報の種別 | 1次ソース |
|---|---|---|---|---|
| 山形市 | 2026年4月16日 | 約558,387件(重複含む) | マイナンバー(人事給与)・健康情報・児童相談 | 山形市公式 |
| 山形県 | 2026年4月17日 | 約26,800件 | 県職員健康管理・看護師等業務従事者届・こども医療療育センター・移住定住相談等 | 山形県プレスリリース |
| 庄内町 | 2026年4月17日 | 12,996件(図書館9,257件+コメっちわくわくクラブ3,739件) | 図書管理利用者情報・トレーニングルーム利用者情報 | 庄内町公式 |
| 幸手市(埼玉県) | 2026年4月17日 | 調査中 | 国民健康保険高額療養費システム関連情報 | 幸手市公式 |
| 山形交通株式会社 | 2026年4月17日 | 121,880件(バス基幹1,307件・ハイヤー基幹120,573件、重複含む) | 個人顧客の氏名・住所・電話番号、バス部門は社員氏名等も含む | 山形交通プレスリリース(2026年4月17日) |
| 山形大学 | 2026年4月20日 | 延べ80,091件 | 学生氏名・性別・生年月日・住所・連絡先・健康診断結果等 | 山形大学公式 |
| 高畠町 | 2026年4月20日頃 | 2,354名分 | 転作水田管理システム(氏名・住所・電話番号・共済組合員等コード・口座情報) | 高畠町公式 |
| 関東信越税理士国民健康保険組合 | 2026年4月 | 調査中 | 平成25〜30年の高額療養費管理システム関連情報(マイナンバー含まず) | 組合公式 |
| 山形新聞社 | 事前公表(3月) | 3月クレジットカード決済購読者分 | 氏名・住所・電話番号・取扱販売店名・決済額(クレジットカード情報は含まず) | — |
山形市の被害詳細—マイナンバーを含む複数システムが対象
山形市からは2026年4月16日に公式発表が行われており、複数のシステムにまたがる高感度な個人情報が漏洩のおそれとして明示されています。
| システム名 | 件数 | 主な漏洩のおそれがある情報 |
|---|---|---|
| 人事給与システム | 約6,000件 | 氏名・住所・生年月日・マイナンバー・給料・手当等(2018〜2019年度時点) |
| 健康情報システム(旧データ) | 1,867件 | カナ氏名・生年月日・性別・受診年月日等(2012年6月時点) |
| 児童相談システム | 2,520件 | カナ氏名・漢字氏名・現住所・生年月日・性別・住民日等(2023年7月) |
| 健康情報システム(主要) | 約50万件 | 氏名・住所・電話番号・保険者番号・被保険者記号・被保険者番号・検診年月日等(2002〜2025年) |
特にマイナンバーが対象に含まれる人事給与システムの漏洩は深刻です。マイナンバーはそれ単体での悪用は困難ですが、氏名・住所・生年月日と組み合わさることで高精度ななりすまし詐欺の素材になります。
山形県の被害詳細—看護師等業務従事者届・こども医療療育センター等
山形県のプレスリリース(2026年4月17日)によれば、約26,800件(2026年4月16日時点判明分)の個人情報が対象となっています。
| 種別 | 件数 |
|---|---|
| 県職員健康管理関係 | 約7,700件 |
| 退職手当支給に係る債権者登録関係 | 約300件 |
| 看護師等業務従事者届関係 | 約15,000件 |
| 新庄病院在院患者リスト関係 | 約300件 |
| こども医療療育センター医療情報関係 | 約1,000件 |
| 移住定住相談データベース関係 | 約2,500件 |
| 合計 | 約26,800件 |
なお山形県は、給与等システム・県立図書館情報システム・税務総合電算システムなど複数の業務システムの運用をYCC情報システムに委託しており、これらへの影響についても引き続き確認が進められています。
山形交通の被害詳細——ハイヤー部門だけで12万件超
山形交通株式会社は2026年4月17日付のプレスリリースで、バス・ハイヤー2つの基幹システムにわたる個人情報の漏洩のおそれを公表しました。
| システム名 | 件数 | 主な漏洩のおそれがある情報 |
|---|---|---|
| バス基幹システム | 1,307件 | 個人顧客の氏名・住所・電話番号・社員氏名等 |
| ハイヤー基幹システム | 120,573件 | 個人顧客の氏名・住所・電話番号等 |
| 合計 | 121,880件(重複含む) |
YCC情報システムに構築を委託したシステムに関わるデータであり、契約終了分を含む点が他組織と同様のパターンです。山形交通は個人情報保護委員会への報告を完了しており、対象者への通知を順次行う方針としています。問い合わせは山形交通総務課(023-647-5171、平日8:30〜17:30)またはYCC情報システム相談窓口(023-641-4727)まで。
庄内町・高畠町・幸手市・関東信越税理士国保組合
庄内町では図書館情報システム構築時のデータ(2017年7月時点、9,257件)と、コメっちわくわくクラブのトレーニングルーム利用者情報(2020年時点、3,739件)の合計12,996件が対象です。
高畠町では農林課が所管する転作水田管理システムに登録されていたデータ(氏名・住所・電話番号・共済組合員等コード・口座情報)2,354名分が対象です。口座情報が含まれている点に注意が必要です。
幸手市(埼玉県)は山形県外として初の公表となりました。同市が使用している国民健康保険の高額療養費システムに関連するシステム会社がYCC情報システムであることから、影響の可能性があると公表しています。具体的な件数は調査中としています。
関東信越税理士国民健康保険組合は、2013年(平成25年)から2018年(平成30年)の間に使用していた高額療養費管理システムの開発担当がYCC情報システムであったことから、影響のおそれを公表しています。マイナンバーは含まれていないことを確認済みとしています。
本件の本質——サプライチェーン型ランサムウェア攻撃の典型事例
本件が示す最も重大な教訓は、1社のSIへの攻撃が、そのSIに業務を委託していた複数の自治体・大学・民間企業の個人情報を連鎖的に危険にさらす「サプライチェーン型ランサムウェア攻撃」の構造が現実に機能したという点です。
山形市・山形県・山形大学・山形交通はいずれも直接的なサイバー攻撃の被害者ではありません。YCC情報システムというSIに業務を委託し、そのSIのサーバーに自組織のデータが保管されていたことで、攻撃者がYCC情報システム1社を突破するだけで複数の委託元のデータを同時に危険にさらすことができました。
注目すべきは山形大学と山形交通のケースです。契約終了後もデータがYCC社のサーバーに残存していたことが判明しており、業務委託終了後のデータ消去確認という基本的なプロセスが機能していなかった可能性が浮き彫りになっています。
情シス・セキュリティ担当者が自組織の委託先管理(TPRM:サードパーティリスク管理)を見直す際のチェックポイントとして、委託先のセキュリティ評価の実施、委託終了後のデータ消去の契約への明文化、インシデント発生時の即時報告フローの整備の3点が本件から導き出せます。
関連
よくある質問(FAQ)
Q. YCC情報システムに委託していたかどうかわからない場合はどうすればいいですか? 各被害組織から個別の通知が届く予定です。通知が届いた場合は内容に従って対応してください。心当たりのある方はYCC情報システムの相談窓口(023-641-4727、平日8:30〜17:30 / [email protected])に問い合わせることもできます。
Q. ランサムウェアの種類・侵入経路は判明していますか? YCC情報システムの第4報(2026年4月14日)によれば、感染したランサムウェアの種類は特定済みですがセキュリティ上の理由から非公表とされています。侵入経路については特定に至っておらず、判明次第、恒久的な再発防止策を速やかに実施するとしています。
Q. 現時点で情報流出の事実は確認されていますか? 各組織の公表時点では「漏洩のおそれが否定できない」という表現が用いられており、実際の流出の確定には至っていません。YCC情報システムによる外部専門機関を交えた詳細調査が継続されています。
Q. マイナンバーが含まれる場合はどのようなリスクがありますか? マイナンバーは単体での直接的な金融被害のリスクは現時点では限定的ですが、氏名・住所・生年月日と組み合わさった場合に各種行政手続きへのなりすまし、フィッシング詐欺の材料として悪用される可能性があります。心当たりのない公的機関・金融機関からの連絡・手続き依頼には注意が必要です。
Q. 山形交通のバス・ハイヤーを利用したことがある場合はどうすればいいですか? 山形交通では対象者への通知を順次行うとしています。心当たりのある方は山形交通総務課(023-647-5171、平日8:30〜17:30)またはYCC情報システム相談窓口(023-641-4727)に問い合わせてください。
参考情報
- 株式会社YCC情報システム社に対するサイバー攻撃に係る山形市保有個人情報の漏えいのおそれがある事案について(山形市、2026年4月16日)
- 県委託事業者へのサイバー攻撃について(山形県、2026年4月17日)
- 株式会社YCC情報システムに対する不正アクセス発生に関する報告について(庄内町、2026年4月17日)
- サイバー攻撃による不正アクセスについて(第1報)(幸手市、2026年4月17日)
- 株式会社YCC情報システムに対する不正アクセス事案について(高畠町、2026年4月20日頃)
- 株式会社YCC情報システム社が保管する山形大学保有個人情報の漏えいのおそれがある事案について(山形大学、2026年4月20日)
- サーバー攻撃による不正アクセスについて(第1報)(関東信越税理士国民健康保険組合)
- 【詳細記事①】山形市委託のYCC情報システム、サイバー攻撃で約50万件の個人情報漏洩の恐れ、マイナンバーも漏洩
- 【詳細記事②】山形大学、YCC情報システムへのサイバー攻撃で8万件超の個人情報漏洩の恐れ
関連記事
山形市委託のYCC情報システム、ランサムウェア攻撃で約50万件・マイナンバーを含む個人情報が漏洩の恐れ-9組織以上に波及した攻撃の起点【2026年4月】
山形大学、YCC情報システムへのサイバー攻撃で8万件超の個人情報漏洩の恐れ-契約終了後のデータ残存が問題浮き彫りに
日本財託 グループが利用するいえらぶCLOUDで不正アクセス-顧客の個人情報漏洩の恐れ
いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】
山一電機、海外子会社でランサムウェアの被害
山形鉄道が山形銀行を装った ボイスフィッシングで1億円の被害
名古屋大学、サポート詐欺による不正アクセスの被害で個人情報漏洩の可能性
学悠出版、SQLインジェクションによるサイバー攻撃で 最大28万件超の個人情報漏洩の可能性
サイバー攻撃の事例 【2024年】
