今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしている五月病のような本連載、今月も無気力連載である。
●インシデント原因内訳
さて、先月 2026 年 4 月に本誌が取り上げた事故・インシデント記事は 2026 年 3 月の 96 本から 23 本減となる全 73 本だった。事故原因最多は「不正アクセス」で 47 件( 64.4 %)を占め、「システム管理上のミス」が 8 件( 11.0% )、「不正持ち出し」が 5 件( 6.8% )で続いた。3ヶ月連続で「不正持ち出し」が上位に顔を出している結果に、日本の先行きにぼんやりとした不安を感じてしまう。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
● 被害規模ワースト
4 月に最も件数換算の被害規模が大きかったのは、株式会社ウエーブによる「ウエーブへの不正アクセス、最大 176,810 件の顧客情報が漏えいの可能性」の最大 176,810 件だった。100 万件単位の漏えいをスナック感覚で消費しているSCAN読者には、最大 176,810 件というのは物足りない数字に感じるかもしれないが、かつては幕府が置かれた鎌倉市の人口 168,977 人をも上回る、源頼朝も落馬してしまう驚きの数字である。
【 2026 年 4 月 被害規模ワーストトップ 3 】
3 位:東急リゾーツ&ステイで宛先誤り協力会社の従業員1名に顧客情報を含むCSVファイルを送信
原因:誤送信ほか操作ミス
件数:95,986 名
https://scan.netsecurity.ne.jp/article/2026/04/16/55076.html
2 位:マイナビが利用するクラウドサービスへの不正アクセス、一般ユーザー74,224件の個人情報が流出した可能性
原因:不正アクセス
件数:111,505 件
https://scan.netsecurity.ne.jp/article/2026/04/16/55073.html
1 位:ウエーブへの不正アクセス、最大 176,810 件の顧客情報が漏えいの可能性
原因:不正アクセス
件数:最大 176,810 件
https://scan.netsecurity.ne.jp/article/2026/04/20/55094.html
3 位となった「東急リゾーツ&ステイで宛先誤り協力会社の従業員1名に顧客情報を含むCSVファイルを送信」は、1・2 位の不正アクセスと異なり「誤送信ほか操作ミス」が原因の漏えいである。原因が不正アクセスの場合は、最終的に攻撃されるかどうか運次第なところもあるが、誤送信は基本的にメール送信者のミスが決定打となるため、ある意味、誰でも引き起こせる身近な漏えいと言え、誤送信が発生しにくい体制づくりが急がれる。
因みに本件であるが、東急リゾーツ&ステイ株式会社の社員が社内関連部署宛に送信すべきメールの宛先を誤り、当該メールに添付していた顧客情報を含むCSVファイルが、委託先である協力会社の従業員 1 名宛に送信されたというものだ。社内とは言え、いや、社内であるからこそ、顧客情報を含む CSV ファイルをメールで送信するという行為自体が誤りであったのではなかろうか。なお、同社では再発防止策として「個人データの送信に関して、社外と連絡可能なメールツール(Outlook 等)の利用を避け、社内限定ツール(Teams 等)へ運用を限定する」を挙げている。
● よく読まれた記事
4 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて掲載している。
【 2026 年 4 月閲覧数ベスト 3】
3 位:村田製作所への不正アクセス 第2報 ~ 顧客・取引先・従業員の個人情報不正取得を確認
4,470 ページビュー
https://scan.netsecurity.ne.jp/article/2026/04/23/55127.html
2 位:受託業務で受領したデータの様式を同意なく別業務へ流用、非表示設定となっていたワークシート内に顧客情報が残存
7,442 ページビュー
https://scan.netsecurity.ne.jp/article/2026/04/21/55105.html
1 位:町役場へ「USBメモリを拾得したのでお返しします」と綴った手紙(ただし USB は同封されず)
51,405 ページビュー
https://scan.netsecurity.ne.jp/article/2026/04/07/54994.html
1 位となったのは、宮崎県門川町の「町役場へ「USBメモリを拾得したのでお返しします」と綴った手紙(ただし USB は同封されず)」の 51,405 ページビューであった。先月も同じことを言った気がするが、1 月から 2 月にSCANを席巻した「通行中の市民がごみステーションで生活保護受給者の申請書を発見」が "歴史" だけは長い SCAN のトップ 5 に入るようなページビューだったので、影に隠れてしまうが、SCAN で 51,405 ページビューというのは、ゴルフにおけるホールインワンのような確率でしか起こりえない奇跡で、本来ならパーティを開催するくらいのお目出度い数字で、さすが天孫降臨の県である。
さて、肝心の内容であるが、2 月 25 日に門川町立保育所の職員が業務で使用するUSBメモリを自宅に持ち帰り、私物のプリンタで印刷を行った後、3 月 3 日午後にUSBメモリを使用しようとした際に紛失に気づいたというものだ。3 月 10 日に匿名で役場こども課宛に「USBメモリを拾得したのでお返しします」という内容の手紙が届いたが、肝心のUSBメモリは同封されていなかったそうだ。恐らく親切な方が拾って送ってくれたのであろうが、よりによってUSBメモリの同封を忘れてしまうとは、ヒューマンエラーの玉突き事故である。結局、USBメモリは今、何処(いずこ)にあるのだろうか?
2 位となったのは、SocioFuture株式会社による「受託業務で受領したデータの様式を同意なく別業務へ流用、非表示設定となっていたワークシート内に顧客情報が残存」であるが、これは SocioFutureが、委託元である GMOあおぞらネット銀行から受領したデータの様式を、同意なく別の業務へ流用し、複数回にわたり他行に送付していたが、その際に表面上のデータは削除されていたものの、非表示設定となっていたワークシート内に委託元の顧客情報が残存しており、意図しない情報流出が発生したというものだ。GMOあおぞらネット銀行にとっては、まさか渡したデータの様式が流用され、あまつさえ他行にばら撒かれているとは思わず、寝耳に水であったであろう。そもそも何故、GMOあおぞらネット銀行は顧客情報を保存したワークシートを非表示設定にしたのか、非表示にされているシートは、非表示にされれている列以上に気づきにくいものである、そしてもともとはどんなファイルであったのか、気になって夜も眠れない。
● 4 月のカード情報漏えい
4 月は クレジットカード情報漏えい事故が 2026 年 1 月以来の 0 件で、日頃から「情報漏えいの花形はカード情報」と言って憚らない筆者にとっては寂しい月となった。
● 4 月の逮捕・懲戒案件
4 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 1 件だった。
