株式会社ゼットンは2026年3月27日、同社が運営する店舗 forty three 岐阜県岐阜市 で、過去に使用していた旧メールシステムのアカウントに対する外部からの不正アクセスにより、個人情報が流出した可能性を否定できないと公表しました。対象アカウントは2件で、流出の可能性が否定できない個人情報は合計1万8553件に上ります。クレジットカードなどの決済情報とマイナンバー情報は対象に含まれておらず、現時点で個人情報が公開された事実も確認されていません。
概要
公表によると、2025年9月18日に該当店舗で利用していたPC端末1台がマルウェアに感染し、その端末で使用していた旧メールシステムのアカウント認証情報が窃取されました。その後、2025年11月27日から海外からの継続的な不正ログインが行われ、さらに該当アカウントから複数の宛先へメールが送信されていたことが判明しています。
流出の可能性がある情報
ゼットンによると、流出の可能性が否定できないのは、氏名、住所、電話番号、メールアドレス、アレルギー情報、予約内容などです。
対象となるのは、2018年6月から2025年9月までに予約サイト経由で該当店舗を予約した顧客、店舗や従業員へメールで予約依頼をした顧客、店舗従業員とメール連絡をしていた取引先、旧メールシステムを利用していた従業員です。加えて、2022年12月から2025年9月までに同店舗でのパーティーを依頼した顧客と参加予定者も含まれます。
情報システム部門が学ぶべき点
今回の事案でまず注目すべきなのは、旧システムが侵害起点になった点です。現行環境の防御を強化していても、過去に利用していたメール基盤やアカウントが残っていれば、そこが侵入口になる可能性があります。情シス部門としては、システム更改時に新環境へ移行して終わりではなく、旧環境の停止、アカウント削除、監視解除の確認まで含めて完了管理する必要があります。








