元従業員が取引先など約1万人分の情報を持ち出し│ユナイテッドアローズ

出典: Cybersecurity JP – https://cybersecurity-jp.com/news/112672

ユナイテッドアローズにおける元従業員による個人情報持ち出し事件の概要

アパレルブランドのユナイテッドアローズは、元従業員による取引先関係者など約1万人分の個人情報の持ち出しが判明したと発表しました。本記事では事件の詳細とその影響、今後の対策について解説します。

主要なポイント

• 元従業員による情報持ち出しの経緯
  2025年12月31日に退職した元従業員が、2026年1月4日にクラウドサーバーの外部連携機能を悪用し、取引先リストや広報資料をダウンロードして持ち出しました。
• 漏えいした情報の内容
  持ち出されたデータには、約1万人分の氏名、勤務先企業名、所属部署、電話番号、メールアドレスなどの個人情報が含まれていました。
• 調査結果と二次被害の可能性
  外部調査機関の調査により、持ち出されたデータがパソコン上で使用された形跡はなく、元従業員以外が閲覧した可能性も低いと報告されています。
• 企業の対応と再発防止策
  ユナイテッドアローズはアクセス制限の強化、監視体制の見直し、社員教育の徹底などを進め、情報持ち出し防止に努める方針を示しています。

技術的な詳細や背景情報

今回の事件では、クラウドサーバーの「外部連携機能」が悪用されました。これは通常、業務効率化のために外部システムとのデータ連携を可能にする機能ですが、適切なアクセス制御や監視がなければ、退職者などの不正アクセスに繋がるリスクがあります。

また、元従業員が業務用パソコンと個人パソコンの両方を調査対象としたことから、持ち出し行為が社内外の複数環境で行われた可能性が考えられます。こうしたケースでは、端末管理やログ監視の強化が重要です。

影響や重要性

約1万人分の個人情報が持ち出されたことは、取引先との信頼関係に大きな影響を及ぼす可能性があります。個人情報漏えいは企業の信用低下や法的リスクを伴い、場合によっては損害賠償請求や行政処分の対象となることもあります。

さらに、元従業員による情報持ち出しは、退職後のアクセス権管理の不備を示しており、企業の情報セキュリティ体制の根本的な見直しが求められます。

まとめ

ユナイテッドアローズの個人情報持ち出し事件は、クラウド環境におけるアクセス管理の重要性を再認識させる事例です。退職者のアクセス権限の速やかな剥奪や、外部連携機能の厳格な管理、継続的な監視体制の構築が不可欠です。企業は今回の教訓を活かし、情報漏えい防止に向けた対策を強化する必要があります。