「ヨプの王豚塩焼 赤坂店」従業員がスキミング機器でカード情報284件を窃取-発覚から公表まで約1年9カ月

セキュリティニュース

投稿日時: 更新日時:

「ヨプの王豚塩焼 赤坂店」従業員がスキミング機器でカード情報284件を窃取-発覚から公表まで約1年9カ月

韓国料理チェーン「ヨプの王豚塩焼」を運営する株式会社YOPUは2026年7月13日、赤坂店の従業員がクレジットカード情報をスキミングする機械を使用し、顧客284名分のカード情報を不正に取得していた可能性があると公表しました。当該従業員は解雇され、警察による捜査も進められていますが、カード会社からの最初の連絡から今回の公表まで、約1年9カ月を要している点が特徴的な事案です。

サマリー

  • 株式会社YOPUが運営する「ヨプの王豚塩焼 赤坂店」において、従業員がクレジットカード情報をスキミングする機械を利用し、顧客のカード情報を不正に取得していたことが判明した
  • 対象となるのは、2024年7月1日から同年10月7日の間に同店でクレジットカード決済を行った顧客284名で、漏えいした可能性のある情報はカード名義人名・クレジットカード番号・有効期限・セキュリティコードという、不正利用に直結しうる全項目
  • 発覚のきっかけは2024年10月7日、複数のカード会社から漏えい懸念の連絡を受けたこと。YOPUは翌10月8日に警視庁赤坂警察署へ報告し捜査を依頼、10月9日には当該従業員を解雇するとともに個人情報保護委員会へ速報を提出した
  • 原因は当該従業員の故意によるもので、犯罪行為による解雇に加え、その後の無断欠勤も理由に解雇処分としている
  • 公表は2026年7月13日で、2024年10月の発覚から公表まで約1年9カ月を要している。YOPUはこの遅れについて、不確定な情報の公開が混乱を招くことを避け、警察への調査依頼およびカード会社との連携を待ってから告知することを判断したためと説明している
  • 再発防止策として、カード決済時に従業員がカードを客から預からず、必ず客自身に決済端末機へ差し込んでもらうよう、全店舗の店長会議で代表者が直接注意喚起・教育を行ったとしている
  • カードの再発行手数料はYOPUが負担するとしており、利用明細に身に覚えのない請求がないか確認するよう呼びかけている
項目 内容
公表日 2026年7月13日
対象店舗 ヨプの王豚塩焼 赤坂店(運営:株式会社YOPU)
原因 従業員によるスキミング機器を使ったカード情報の不正取得(故意)
対象期間 2024年7月1日〜2024年10月7日
対象人数 284名
漏えいした可能性のある情報 カード名義人名、カード番号、有効期限、セキュリティコード
発覚日 2024年10月7日(カード会社からの連絡)
警察への報告日 2024年10月8日(警視庁赤坂警察署)
従業員の解雇日 2024年10月9日
個人情報保護委員会への速報 2024年10月9日
公表日までの期間 発覚から約1年9カ月

何が起きたか

YOPUの発表によれば、2024年10月7日、一部のクレジットカード会社から、「ヨプの王豚塩焼 赤坂店」を利用した顧客のクレジットカード情報の漏えい懸念について連絡がありました。

これを受けYOPUは翌10月8日、当該従業員の勤務期間であった2024年7月1日から10月7日の間に同店を利用した顧客のクレジットカード情報が漏えいし、一部の不正利用の可能性があることを警察に報告し、捜査を依頼しています。

調査の結果、原因は同店の従業員がクレジットカード情報をスキミングする機械を利用したことによるものと判明しました。

対象となるのは、この期間中に同店でクレジットカード決済を行った顧客284名で、漏えいした可能性のある情報はカード名義人名、クレジットカード番号、有効期限、セキュリティコードです。これらはいずれも、カードを不正利用する際に必要となる情報一式にあたります。YOPUは当該従業員を、犯罪行為および無断欠勤を理由に2024年10月9日付で解雇し、同日、個人情報保護委員会へ速報を提出しています。

公表までに約1年9カ月を要した経緯

今回の事案で特に目を引くのは、カード会社からの最初の連絡(2024年10月7日)から公表(2026年7月13日)まで、約1年9カ月という長期間を要している点です。YOPUはこの点について、疑いがある時点で注意喚起・お詫びをすべきところではあったものの、不確定な情報の公開はいたずらに混乱を招くとして、顧客への迷惑を最小限に食い止める対応・準備を整えたうえで、警察への調査依頼およびカード会社との連携を待ってから告知することを判断したと説明しています。

もっとも、今回の事案は原因究明そのものは比較的早期に完了しており、発覚から2日後の10月9日には当該従業員の解雇に至っています。

捜査への影響やカード会社との調整に一定の時間を要した可能性はありますが、少なくとも本稿執筆時点で公表されている情報からは、約1年9カ月という期間の内訳(警察捜査の進捗、カード会社との協議内容等)の詳細は明らかにされていません。

情報システム部門・店舗運営者への示唆

今回の事案は、サイバー攻撃によるシステムへの不正アクセスではなく、従業員という「内部の人間」が物理的なスキミング機器を使って顧客のカード情報を盗み取った、極めて古典的な手口です。ECサイトの決済フォーム改ざんによるWebスキミングとは異なり、対策の基本は技術的な防御ではなく、店舗オペレーションそのものの見直しにあります。YOPUが再発防止策として掲げた「カードを従業員が預からず、必ず客自身に決済端末機へ差し込んでもらう」という運用は、この種の内部不正を防ぐうえで最も基本的かつ効果的な対策の一つです。

飲食店・小売店等、対面でのカード決済を扱う事業者は、決済端末の運用ルール(顧客自身による操作の徹底、カードの受け渡しを伴わない決済フローの設計)を今一度点検することをお勧めします。あわせて、店舗にスキミング機器や不審な機器が設置・使用されていないかを定期的に確認する体制、そして万が一カード会社から漏えい懸念の連絡を受けた際の初動対応フロー(警察への報告、個人情報保護委員会への速報、顧客への告知タイミングの判断基準)を、平時のうちに整備しておくことも重要です。特に、内部の人間による不正行為は外部からの攻撃と異なり、通常のセキュリティ監視だけでは検知しにくいため、店舗スタッフの行動を含めた包括的なリスク管理の視点が求められます。

出典