2025年6月11日、ソフトバンク社は、業務委託先である「UFジャパン」において契約する個人利用者の情報が流出した可能性があると発表。
現時点で判明している情報流出件数は約13万7,000件に及ぶという。
この事案は、2025年3月下旬に外部からの通報を受けて発覚。
通報によると、UFジャパンの事業所内でソフトバンク利用者の個人情報が不適切に取り扱われ、他の通信事業者の勧誘活動に悪用されている可能性があるという内容だった。
その後の調査により、以下の事実が明らかとなっている:
・元協力会社社員A氏による不正行為
2024年12月、UFジャパンの元協力会社社員が無断で同社事業所へ侵入し、情報管理端末にUSBメモリーを接続。
ソフトバンク利用者の個人情報を外部に持ち出した可能性がある。
この様子は監視カメラに記録されていたが、本人は「記憶にない」と主張している。
・クラウド上での情報管理の不備
別の協力会社社員が、個人情報を含むファイルをクラウドサービスにアップロードし、ソフトバンクの業務に関与しない3名が閲覧できる状態にしていたことも判明。
現時点でダウンロードの痕跡は確認されていないという。
・ずさんな情報管理体制と虚偽報告
ソフトバンクが定めていたセキュリティールールに反し、UFジャパンは第三者の入退室を許可していたほか、警備員を配置せず、セキュリティ監査に対して虚偽の報告をしていたことも明らかとなっている。
・流出した可能性のある情報と影響
流出の可能性がある情報は、氏名、住所、生年月日、電話番号、性別、契約内容など。
該当件数は、元協力会社社員データ約13万5,000件と、クラウド上での閲覧可能状態にあったデータ約2,100件。
さらに、個人特定ができない社内の顧客管理番号のみが含まれる件数として、約16万1,000件も判明している。
ソフトバンクは、現在のところ流出情報を利用した被害は確認されていないとしているが、警察への相談および全台の業務用パソコンに対するフォレンジック調査、関係者への聞き取りなどを進めている。
またソフトバンクは、UFジャパンに委託していた該当業務を5月20日付で停止し、6月9日付で同社との業務委託契約を正式に解除した。
今後の対応と再発防止策としては、以下の対策を打ち出している。
・個人情報の取扱いに関する業務と環境の見直し
今後、同社のコールセンターや正規店舗以外からの営業目的の電話は、利用者の同意がない限り原則として廃止。やむを得ず実施する場合も、情報の取扱い環境をソフトバンクが整備・監視する方針とする。
・緊急監査の実施
個人情報を取り扱うすべての業務委託先に対して、緊急のセキュリティ監査を実施。管理体制の抜本的な見直しを図る。
ソフトバンクは、「このたびはお客さまに多大なご迷惑とご心配をおかけした」と謝罪。
「個人情報を取り扱う業務委託先の管理を一層強化し、再発防止に努めていく」としている。
【参考記事】
https://www.softbank.jp/