2026年6月10日、IT系人材紹介事業を展開する「Kaizen Tech Agent」社で、元従業員による情報持ち出しが判明。
関係者9,721件分の個人情報が流出した可能性があるとのこと。
同社公表によると、流出した可能性がある個人情報は最大9,721件にのぼるとされており、対象となる情報には、氏名、生年月日、性別、住所、電話番号、メールアドレス、勤務先情報に加え、銀行口座情報や面談時の記録が含まれていたとのことで、面談時の記録ついては健康状態などに関する記載が含まれる可能性も懸念されている。
一方で、クレジットカード情報およびマイナンバーは流出対象外だった。
経緯として2025年10月16日、元従業員が社内システムへアクセスし、情報をダウンロードした履歴が確認されているが、この時点では会社側は当該行為を把握していない。
転機となったのは2026年3月、元従業員による社内規程違反の可能性がある行為を把握したことをきっかけに、同社は社内調査を開始。
同時に警視庁へ相談するとともに、外部専門機関と連携して影響範囲の特定や原因調査を進めた。
外部専門機関による調査から、元従業員による不正取得および持ち出しのおそれが判明。
その後、2026年5月14日に個人情報保護委員会へ報告した後、同年6月10日に本件を公表している。
対象者に対しては、2026年6月10日から電子メールによる個別通知を開始しており、再発防止策として社内規程の見直しと情報管理体制のさらなる強化を実施する方針を示している。
なお、当該事案に対し元従業員は、ヒアリングに対して情報の持ち出しを否認。
不正取得をしていない旨の誓約書を提出しており、公表時点で対象となる個人情報が不正に利用された事実は確認されていない。
内部不正の背景と対策の重要性
今回の事案は、IPA(独立行政法人情報処理推進機構)などが注意喚起している内部不正の事例として位置付けられるものだった。
退職予定者や退職者が業務上のアクセス権限を悪用し、情報を持ち出すリスクは、技術的な対策だけでは防ぎきれない課題とされている。
人材紹介やSES事業者は、求職者の個人情報や銀行口座情報、健康情報など機微性の高い情報を大量に取り扱うため、アクセス権限の最小化や退職時におけるアカウントの即時無効化、大量ダウンロード時のアラート設定など、多層的な内部不正対策の実施が重要となる。
【参考】
https://ameblo.jp/dotmoney/entry-12969255598.html
https://pc.moppy.jp/news/detail.php?news_id=3371
https://www.repo.ne.jp/notification/detail/21
https://dstyleweb.com/information/past/detail/234