モビリティ関連サービス事業を展開する「モビリティプラットフォーム」社は2026年4月14日、同社が運営するカーシェアリングサービス「MaaS Car」において、個人情報が流出した可能性があると発表。
原因は、業務委託先のさらに再委託先で発生したランサムウェア被害だった。
今回の問題は、コールセンター業務の委託構造の中で発生。
同社は業務を「ユーピーアール」社に委託、ユーピーアール社がさらに「日本テレネット」社へ再委託していたという。
この再委託先のサーバーが2026年3月9日、ランサムウェアによるサイバー攻撃を受け、不正アクセスが発生。
攻撃の影響により、サーバー内のファイルの一部が暗号化されたほか、保存されていた情報について第三者が閲覧できた可能性がある。
対象となるのは、2024年5月9日から2026年3月8日までの期間に、会員専用フリーダイヤルを利用した利用者や一部会員のコールセンター対応履歴で、氏名、電話番号、問い合わせ内容などが含まれた。
問題発覚当初、日本テレネットからは「流出の可能性はない」と報告されていたが、その後の調査により、委託業務に関連するデータの流出可能性が発覚している。
日本テレネットによると、クレジットカード情報や運転免許証情報は当該サーバーには保存されておらず、情報流出をはじめ不正利用などの二次被害は確認されていないとしている。
対応状況として、被害対象となる利用者の特定作業が進められており、該当する可能性のある会員に対しては、順次個別連絡が進められている。
今回の事案は、直接の委託先ではなく再委託先で発生したサイバー攻撃により影響が及んだ形となり、複数の企業が関与する委託構造、サプライチェーン全体でのセキュリティ対策の重要性が改めて明らかになった。
【参考URL】