ユナイテッドアローズ約1万人情報漏えいの全容と被害が広がった背景

ユナイテッドアローズ約1万人情報漏えいの全容と被害が広がった背景

2026年3月16日、セレクトショップ大手のユナイテッドアローズが、広報・PR活動に使用していた取引先関係者約1万人分の個人情報が漏えいしたと公表しました。原因は元従業員による退職後のデータ持ち出しであり、外部からのサイバー攻撃ではなく内部者による情報持ち出しという点が大きな特徴です。漏えいした情報には氏名や勤務先企業名、メールアドレスなどが含まれており、同社は個人情報保護委員会への報告と再発防止策の策定を進めています。本記事では事件の全容から法的責任、実務的な再発防止策までを体系的に解説します。

広報・PR用取引先リスト約1万人分が外部PCへ流出した事件の概要

ユナイテッドアローズが2026年3月16日に発表した内容によると、2025年12月31日付で退職した元従業員が、退職後の2026年1月4日に同社が使用するクラウドサーバーシステム上の外部連携機能を利用し、個人情報を含む取引先リストや広報・PR活動に関する取引資料の一部を外部PCにダウンロードしました。この持ち出しは1月6日に社内で発覚し、翌7日には元従業員への対面での事情聴取が行われています。

漏えいの対象となったのは、同社の広報・PR活動に関わるメディア関係者や取引先担当者など約1万人分の個人情報です。具体的には氏名、勤務先の企業名、所属部署、所属部署の電話番号、メールアドレス、事業場の住所、事業用電話番号の7項目が含まれています。ただし、一般顧客の購買情報やクレジットカード情報は含まれていません。同社は2026年1月9日付で個人情報保護委員会に報告を行い（日本経済新聞の報道による）、外部機関による調査を経て3月16日に一般公表へと至りました。

セレクトショップ最大手で起きた内部不正が業界に与えた3つの衝撃

ユナイテッドアローズは、BEAMS・SHIPSと並ぶセレクトショップ御三家の一角であり、東証プライム市場に上場する業界最大手です。そのような企業で内部不正による情報漏えいが起きたことは、アパレル・小売業界に対して3つの衝撃を与えています。

第一に、サイバー攻撃ではなく元従業員の持ち出しという原因が、外部脅威だけでなく内部者リスクへの備えの重要性を改めて突きつけました。第二に、漏えいした情報が広報・PR部門の取引先リストであり、これまで比較的セキュリティ対策の優先度が低かった部門の情報管理体制に注目が集まっています。第三に、退職後わずか4日で不正アクセスが実行された事実は、退職時のアカウント無効化やアクセス権限管理の即時性がいかに重要であるかを示しています。上場企業として社会的信用への影響も大きく、同業他社が自社の情報管理体制を見直す契機となっています。特にアパレル業界ではDX推進に伴いクラウドサービスの利用が急速に広がっており、便利さの裏に潜む退職者リスクへの対策が急務であることを本件は如実に示しました。

顧客購買情報ではなく取引先連絡網が狙われた点で異なるリスク構造

情報漏えい事件と聞くと、ECサイトからのクレジットカード番号流出や、顧客の住所・電話番号の流出を想像する方が多いかもしれません。しかし本件で流出したのは、広報・PR活動で使用していた取引先担当者の連絡先情報です。これは一般的な顧客情報漏えいとはリスクの構造が大きく異なります。

取引先リストには、メディア関係者や広告代理店、スタイリスト、ライターなど、ファッション業界の専門職の連絡先が集約されています。これらの情報は競合他社にとって営業活動に直結する価値を持つだけでなく、なりすましメールや標的型攻撃の起点として悪用されるリスクもあります。取引先という信頼関係のある相手からのメールは受信者が警戒しにくく、フィッシング詐欺の成功率が高まる傾向にあります。財産的被害に直結するクレジットカード情報とは異なりますが、業界全体のサプライチェーンに波及するリスクがある点で、軽視できない漏えい事案です。情報漏えい対策を顧客データだけに限定している企業は、取引先情報という別のリスク領域にも目を向ける必要があります。

2026年3月16日公表までに約2か月半を要した調査プロセスの全体像

持ち出しが判明した2026年1月6日から公表日の3月16日まで、約2か月半の期間が空いています。この間、ユナイテッドアローズは段階的な調査と確認を進めました。まず1月7日に元従業員に対面で事情聴取を行い、データ持ち出しの事実確認と未使用の確認を実施しています。

続いて、外部の専門機関に依頼して元従業員に貸与していた業務用PCと個人所有PC計2台のフォレンジック調査を開始しました。1月9日には元従業員の転職先企業との面談を行い、転職先が漏えいに関与していないことと、転職先で貸与されたPCの挙動調査への協力の承諾を得ています。2月27日に外部機関の調査結果が出揃い、持ち出しデータの使用実績がないこと、元従業員以外の閲覧可能性がないことが確認されました。こうした調査を経て、二次被害やそのおそれはないとの判断のもと、3月16日に一般公表に至っています。迅速な初動と慎重な調査の両立が求められた事例といえます。

個人情報保護委員会への報告が2026年1月9日付で行われた経緯と意味

日本経済新聞の報道によると、ユナイテッドアローズは持ち出し発覚からわずか3日後の2026年1月9日付で個人情報保護委員会へ報告を行いました。これは2022年4月施行の改正個人情報保護法で義務化された漏えい等報告の「速報」に該当するものと考えられます。速報は事態を知った日からおおむね3〜5日以内に行うことが求められており、同社の対応は期限内に収まっています。

本件が報告義務の対象となった根拠は、主に2つの類型に該当するためです。第一に、約1万人という件数が「1,000人を超える漏えい等」の要件を満たしています。第二に、元従業員が退職後にデータを持ち出した行為が「不正の目的をもって行われたおそれがある」事態に該当する可能性があります。不正目的に該当する場合は確報の期限が30日ではなく60日以内に延長される点も、その後の調査期間の確保において実務上重要な意味を持ちます。報告義務を適切に履行することは、行政処分リスクの低減だけでなく、社会的信用の維持にも直結しています。

退職4日後のクラウドからのデータ持ち出しが判明するまでの時系列と初動対応

情報漏えい事件では、発覚の経緯と初動対応の速度が被害の大小を左右します。ユナイテッドアローズの事案では、退職から持ち出しまでわずか4日、発覚から事情聴取まで1日という比較的迅速な検知と対応が行われました。なお、同社の公式発表では元従業員の行為を「不正アクセス」とは表現しておらず、クラウドサーバーシステムの外部連携機能を利用したデータのダウンロードとしています。ここでは時系列に沿って、各段階で何が起き、どのような判断がなされたのかを詳しく見ていきます。

2025年12月31日退職から2026年1月4日ダウンロードまでの空白期間

元従業員は2025年12月31日付でユナイテッドアローズを退職しました。通常であれば、退職日をもって社内システムへのアクセス権限は無効化されるべきですが、退職後もクラウドサーバーシステムの外部連携機能が利用可能な状態にあったとみられます。年末年始という時期的な要因も重なり、退職から4日間の空白期間が生じました。

この空白期間に元従業員は、2026年1月4日にクラウドサーバーシステム上の外部連携機能を使い、取引先リストや広報関連資料を外部PCにダウンロードしています。同社の公式発表では「クラウドサーバーシステム上の外部連携機能を利用して」ダウンロードしたとされている一方、日本経済新聞の報道では、在職中の12月末に取得した個人情報をクラウド上にアップロードし、退職後に個人PCにダウンロードしたとも伝えられており、持ち出しの具体的な経路については情報に差異があります。いずれにしても、年末年始休暇中はシステム管理者の監視が手薄になりやすく、退職予定者のアカウント処理が後回しになりがちな時期です。この空白期間の発生は、退職日と権限無効化のタイムラグという多くの企業が抱える構造的な課題を浮き彫りにしています。

1月6日にアクセス痕跡を発見した社員の監視行動と検知の仕組み

ダウンロードが行われた2日後の2026年1月6日、ユナイテッドアローズの社員が元従業員によるアクセス痕跡を発見しました。発見の経緯について同社の公式発表では詳細に触れられていませんが、クラウドサーバーのアクセスログやファイル操作履歴を通じて検知された可能性が高いと考えられます。

クラウドサービスには通常、ファイルのダウンロードやアクセスの履歴がログとして記録される仕組みがあります。退職済みのアカウントによる異常なアクセスが記録に残ったことで、社員が不審な動きに気づいたと推測されます。年始の業務再開直後というタイミングは、休暇中の異常を点検する最初の機会でもあります。仮にアクセスログの定期監視や異常検知アラートが設定されていなかったとすれば、発見がさらに遅れていた可能性もありました。本件は結果的に2日後に発覚しましたが、ログ監視体制の有無が検知速度に直結することを示しています。自動アラートを導入していれば、ダウンロード直後にリアルタイムで検知できた可能性もあり、検知手段の高度化は今後の課題といえます。

翌7日の対面事情聴取で持ち出しを認めさせた初動対応の判断基準

アクセス痕跡の発見から翌日の1月7日、ユナイテッドアローズは元従業員に対して対面での事情聴取を実施しました。この迅速な対応は、証拠の保全と事実確認を最優先した判断として評価できます。持ち出しの事実は聴取の場で元従業員本人が認めており、初動における重要な確認事項が早期にクリアされました。

対面での事情聴取を選択した点も注目に値します。メールや電話ではなく対面で行うことにより、非言語的な反応の観察や詳細な質問が可能になるほか、元従業員が証拠を隠滅する時間を与えないという効果もあります。情報持ち出し事案では、発覚から聴取までの間にPCの初期化やデータ削除が行われるケースも報告されています。同社の場合は発覚から聴取まで1日というスピードが、事実関係の早期確定に寄与しました。初動の遅れは法的対応の選択肢を狭めるだけでなく、二次被害のリスクも高めるため、この判断は情報漏えい対応の基本に忠実なものといえます。

外部機関によるフォレンジック調査で確認された事実と継続調査の範囲

ユナイテッドアローズは外部の専門機関に依頼し、元従業員が使用していたPCを対象にフォレンジック調査を実施しました。まず同社が元従業員に貸与していた業務用PCと、元従業員の個人所有PCの計2台について調査が行われました。

2月27日に出揃った調査結果により、この2台について次の事実が確認されています。第一に、持ち出しデータの使用実績がないこと。第二に、元従業員以外の第三者がデータを閲覧した可能性がないこと。第三に、元従業員がデータを外部に開示・譲渡・漏えいした形跡がないことです。また、転職先企業との面談を通じて、転職先は今回の漏えいに関与しておらず、持ち出した情報を使用していないことも確認されています。一方、転職先が元従業員に貸与したPCについては、外部流出の可能性は低いとしつつも、引き続き調査を実施する予定とされています。これらの調査結果をもとに、同社は二次被害のおそれはないと判断しました。フォレンジック調査は専門性の高い作業であるため、インシデント発生時に依頼できる外部機関を事前に選定しておくことが、調査のスピードと精度を左右する重要なポイントです。

転職先企業への面談と貸与PC調査で非関与を確認した連携の手順

元従業員の転職先企業への対応も、本件の初動対応における重要な要素です。ユナイテッドアローズは2026年1月9日に転職先企業との面談を実施し、漏えいの事実を伝えるとともに、転職先の関与の有無と今後の調査への協力について確認を行いました。

面談の結果、転職先企業は今回の情報漏えいに関与しておらず、元従業員が持ち出した情報を使用した事実もないことが確認されました。さらに、転職先が元従業員に貸与したPCの挙動調査とデータ調査に協力する旨の承諾を得ています。退職者の情報持ち出し事案では、転職先企業が持ち出された情報を営業活動に利用するケースも過去に報告されているため、転職先との早期連携は極めて重要です。同社の対応は発覚からわずか3日後に転職先との面談を実現しており、このスピード感は他社の参考事例となります。転職先との関係悪化を避けつつ事実確認と調査協力を取り付けるためには、法務部門や弁護士を交えた慎重なコミュニケーション設計が求められます。

漏えい対象の個人情報7項目と取引先担当者が警戒すべき二次被害リスク

漏えいした情報がどのような性質を持ち、どのようなリスクにつながり得るかを正確に理解することは、被害を受けた可能性のある取引先担当者にとって不可欠です。ここでは流出した個人情報の詳細と、現時点で想定される二次被害のシナリオ、そして取引先が自衛のために講じるべき具体的な対応を整理します。

氏名・企業名・部署・電話番号・メールアドレス・住所・事業用電話の内訳

ユナイテッドアローズの公式発表によると、漏えいの対象となった個人情報は7項目です。氏名、勤務先の企業名、所属部署、所属部署の電話番号、メールアドレス、事業場の住所、事業用電話番号がこれに該当します。ただし、対象者によって漏えいした項目の組み合わせは異なるとされています。

注目すべき点は、これらがすべて業務上の連絡先情報であるということです。自宅住所や個人の携帯電話番号、生年月日、銀行口座番号、クレジットカード情報といったプライベートな情報は含まれていません。広報・PR活動における外部との連絡に使用される情報であるため、名刺に記載される範囲の内容と重なる部分が多いといえます。しかし、約1万人分の情報がリストとして体系的にまとまっている点が個別の名刺情報とは大きく異なります。体系化された連絡先リストは、標的型攻撃やソーシャルエンジニアリングの材料として高い利用価値を持つため、項目単体の機微性が低くても油断は禁物です。

クレジットカード情報や購買履歴を含まない場合でも油断できない理由

情報漏えいのニュースに接した際、クレジットカード番号や購買履歴が含まれていなければ「自分への直接的な被害は小さい」と考える方もいるかもしれません。しかし、業務用の連絡先情報がまとまった形で流出した場合のリスクは、財産的被害とは異なる形で顕在化します。

まず、メールアドレスと氏名・所属部署がセットで流出することにより、特定の個人を名指しした精度の高いフィッシングメールの作成が可能になります。「○○部の△△様」と正確に宛名を記載したメールは、一般的なばらまき型のスパムよりも開封率が格段に高くなる傾向があります。さらに、ユナイテッドアローズとの取引関係を前提とした内容で偽装すれば、受信者が不審に思う確率はさらに低下します。加えて、事業場の住所や電話番号が含まれていることで、電話やFAXを使ったなりすまし行為にも悪用されるおそれがあります。金融情報が含まれないからといって安心できるわけではなく、情報の組み合わせがもたらすリスクを正しく認識することが重要です。

広報担当者リストの流出がなりすましメール攻撃の起点になる想定シナリオ

本件で漏えいしたのは広報・PR活動に関わる取引先のリストであり、メディア関係者、スタイリスト、フリーランスのライター、広告代理店の担当者などが含まれていると推定されます。こうした属性の情報が第三者に渡った場合、どのような攻撃シナリオが考えられるかを想定しておくことは、防御の第一歩です。

最も現実的なシナリオは、ユナイテッドアローズの広報担当者を装ったなりすましメールです。たとえば「新シーズンのプレスリリースを先行でお送りします」といった件名で、マルウェアが仕込まれた添付ファイルや偽のログインページへのリンクを送信する手口が考えられます。リスト上の担当者はユナイテッドアローズからのメールを日常的に受信しているため、不審に感じにくい心理的条件が揃っています。また、メディア関係者のメールアドレスが流出した場合、そのメディア自体が攻撃の二次的な標的にされるおそれもあります。ファッション業界に限らず、広報部門のリストは業界横断的なサプライチェーン攻撃の入口となり得るのです。

標的型攻撃メールに悪用される場合の被害額と過去事例との比較

標的型攻撃メールによる被害は年々増加しており、独立行政法人情報処理推進機構（IPA）が毎年発表する「情報セキュリティ10大脅威」においても常に上位にランクインしています。実際に標的型メールが成功した場合の被害額は、企業の規模や漏えいした情報の性質によって大きく異なりますが、数千万円から数億円に達するケースも珍しくありません。

過去の事例では、日本航空（JAL）が2017年に取引先を装ったビジネスメール詐欺（BEC）で約3億8,000万円の被害を受けたケースが広く知られています。JALの事案はメールの盗み見やアカウント侵害が原因であり、本件のような連絡先リストの流出とは直接の因果関係は異なりますが、取引先との信頼関係を悪用するという攻撃の本質は共通しています。本件で漏えいした約1万人分のリストが悪意ある第三者に渡った場合、受信者が実在する取引関係を前提に警戒を緩めやすい点で、BECと類似のリスクが生じ得ます。ただし、ユナイテッドアローズの発表では現時点で二次被害は確認されておらず、元従業員以外によるデータ閲覧の可能性もないとされています。しかし、転職先の貸与PCの調査は継続中であるため、油断なく警戒を維持する姿勢が求められます。

漏えい通知を受けた取引先担当者が48時間以内に実施すべき5つの確認

ユナイテッドアローズから漏えい通知を受けた取引先の担当者が、速やかに実施すべき自衛策があります。通知を受けてから48時間以内を目安に、次の5つの項目を確認することを推奨します。

1. ユナイテッドアローズを名乗る不審なメールが届いていないか、受信ボックスと迷惑メールフォルダの両方を過去1か月分さかのぼって確認する
2. 漏えい対象に含まれるメールアドレスのパスワードを速やかに変更し、二段階認証が未設定であれば有効化する
3. 同じメールアドレスを使い回しているサービスがないかを確認し、該当するサービスのパスワードも個別に変更する
4. 所属部署の電話番号宛てに不審な電話やFAXがなかったか、総務や受付部門に確認する
5. 自社の情報セキュリティ担当者やIT部門に本件の情報を共有し、社内での注意喚起を依頼する

これらの確認は、二次被害がまだ確認されていない段階だからこそ効果があります。被害が顕在化してからでは対応が後手に回るため、通知を受けた時点で予防的に行動することが、自社を守る最善策です。

元従業員の認識不足と持ち出し防止策の欠如が重なった構造的要因

なぜ情報漏えいは起きたのか。ユナイテッドアローズは公式発表において、原因を「元従業員に取引情報及び個人情報の重要性に対する認識に不足があったこと」と「弊社において情報の外部持ち出しを防止する措置が十分とは言えなかったこと」の2点に集約しています。ここでは、この2つの要因が具体的にどのような形で重なり合い、漏えいを許す構造を作ったのかを掘り下げます。

「取引情報の重要性に対する認識不足」と公式発表が示す教育上の失敗

ユナイテッドアローズの発表における「認識不足」という表現は、元従業員が悪意ではなく無知や無自覚のもとで情報を持ち出した可能性を示唆しています。実際に退職者による情報持ち出し事案では、「これくらいの情報なら問題ないだろう」「自分が関わった仕事の資料だから持っていてもよいはずだ」といった認識のもとで行われるケースが少なくありません。

こうした認識不足の背景には、企業側の情報セキュリティ教育の不備があります。入社時に情報管理規程の説明を受けたとしても、その後の定期的な研修や、退職時の改めての注意喚起が行われていなければ、時間の経過とともに意識は薄れていきます。特に広報・PR部門では、取引先リストを日常的に共有・更新する業務特性上、情報の取り扱いに対する緊張感が薄れやすい環境にあります。本件は単なる個人の問題ではなく、組織として情報の重要性を繰り返し周知する仕組みが不十分だったことを示す教育上の失敗例です。

退職後もクラウドの外部連携機能が使えた権限管理の具体的な盲点

本件で最も重大な技術的要因は、退職後もクラウドサーバーシステムの外部連携機能が利用可能だった点です。通常、退職者のアカウントは退職日当日または翌営業日に無効化されるべきですが、年末年始休暇と重なったことで処理が遅れたか、あるいはそもそも外部連携機能のアクセス制御が退職処理と連動していなかった可能性があります。

多くの企業が使用するクラウドサービスでは、メインアカウントの停止とは別に、API連携やOAuth認可トークン、共有リンクなど複数のアクセス経路が存在します。アカウント自体を無効化しても、過去に発行された認可トークンや外部連携の設定が残存していれば、それを通じてデータにアクセスできてしまう場合があります。本件における「外部連携機能」の具体的な仕様は公表されていませんが、こうした複合的なアクセス経路の管理漏れが盲点となった可能性は高いといえます。退職処理の際には、アカウントの無効化だけでなく、関連するすべての認可・共有設定を棚卸しして個別に無効化する手順が不可欠です。

不正のトライアングル理論で読み解く動機・機会・正当化の3条件

犯罪学者ドナルド・クレッシーが提唱した「不正のトライアングル」理論は、動機・機会・正当化の3要素が揃ったときに人は不正を行うとするモデルです。本件をこの枠組みで分析すると、3要素がいずれも成立していたことが見えてきます。

動機の面では、転職先で早期に成果を出すためにファッション業界の人脈情報を手元に持っておきたいという考えが想定されます。広報・PR活動で培った取引先ネットワークは、同業他社での業務開始時に大きな武器となるためです。機会の面では、退職後もクラウドサーバーにアクセスできる状態が維持されていたことが決定的でした。技術的に情報の持ち出しが容易であり、かつ年末年始で監視が手薄だったことが機会を提供しています。正当化の面では、「自分が業務で使っていた情報だから」「名刺レベルの情報に過ぎないから」という認識が行為を正当化する心理的根拠になったと推測されます。3要素のうち1つでも断ち切ることが再発防止の鍵となります。

アパレル業界の広報部門に特有の情報共有文化がリスクを高める構図

アパレル業界の広報・PR部門には、他の業界と比較して独特の情報共有文化があります。メディア関係者やスタイリスト、インフルエンサーとの関係構築が業務の中核であり、取引先リストは個人の人脈と重なる部分が大きいのが特徴です。このため、担当者が異動や退職の際に「自分の人脈リスト」という感覚で情報を持ち出すことへの心理的ハードルが低くなりがちです。

加えて、展示会やプレスイベントの際には取引先リストを広く共有するのが通常であり、厳格なアクセス制限を設けると業務効率が著しく低下するというジレンマも存在します。リストは頻繁に更新・追記されるため、バージョン管理やアクセス権限の設定が追いつかないケースも珍しくありません。こうした業務特性が、情報管理の厳格化を妨げる要因となっています。本件は、アパレル業界に限らず、広報・営業部門が大量の連絡先情報を扱う企業全般に対して、業務慣行とセキュリティのバランスを見直す必要性を示唆しています。

中途退職者による営業秘密漏えいが36.3%に達した統計と本件の位置づけ

独立行政法人情報処理推進機構（IPA）の調査によると、営業秘密の漏えいルートとして「中途退職者」が占める割合は2020年時点で36.3%に達しており、2016年の28.6%から増加傾向にあります。転職者数の増加に伴い、退職者による情報持ち出しリスクは年々高まっているのが実態です。

本件は、この統計が示すトレンドの延長線上に位置する典型的な事案といえます。元従業員が転職先への手土産として、あるいは業務立ち上げの効率化のために情報を持ち出すパターンは、業種を問わず発生しています。過去にはソフトバンクの元社員が楽天モバイルへの転職時にネットワーク技術情報を持ち出した事案で不正競争防止法違反として逮捕・起訴された例もあります。こうした事例と比較すると、本件は技術的な営業秘密ではなく連絡先情報の持ち出しである点で悪質性の程度は異なりますが、個人情報保護法上の報告義務の対象となる重大事案であることに変わりはありません。企業は退職者をリスク要因として認識し、人事・法務・IT部門が連携した対策を講じることが求められています。

1,000人超の漏えいで発生する個人情報保護法の報告義務と罰則の実務

約1万人分の個人情報が漏えいした本件では、個人情報保護法に基づく複数の法的義務が発生しています。報告義務の対象となる4つの類型のうち少なくとも2つに該当する可能性があり、速報・確報の期限管理や本人通知の実務負荷も無視できません。ここでは、法的義務の内容と実務上の対応ポイント、さらに将来の法改正を見据えた留意点を整理します。

報告義務が生じる4類型と本件が該当する「不正の目的」要件の判定

2022年4月施行の改正個人情報保護法により、一定の個人データ漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が法的義務となりました。報告義務が生じるのは次の4つの類型のいずれかに該当する場合です。第一に要配慮個人情報が含まれる漏えい等、第二に不正利用により財産的被害が生じるおそれがある漏えい等、第三に不正の目的をもって行われたおそれがある漏えい等、第四に1,000人を超える漏えい等です。

本件に当てはめると、まず約1万人という件数が第四の類型に明確に該当します。加えて、退職後にクラウドシステムから意図的にデータをダウンロードした行為が、第三の「不正の目的をもって行われたおそれがある」事態に該当する可能性があります。元従業員が持ち出した情報を使用していないことは確認されていますが、不正の目的の有無は持ち出し時点の行為態様で判断されるため、退職後の無断ダウンロードという行為自体が不正目的と評価され得ます。この類型に該当する場合、確報の提出期限が通常の30日から60日に延長される点は実務上重要です。

速報3〜5日以内・確報60日以内の報告期限と提出先の選び方

個人情報保護委員会への漏えい等報告は、速報と確報の2段階で行います。速報は事態を知った日からおおむね3〜5日以内に、その時点で把握している事項を報告するものです。確報は原則として発覚日から30日以内ですが、不正の目的をもって行われたおそれがある場合は60日以内に全項目を報告する必要があります。

報告先は原則として個人情報保護委員会ですが、事業所管大臣に権限が委任されている業種の場合は委任先の省庁に報告します。ユナイテッドアローズのようなアパレル小売業の場合、経済産業大臣に権限が委任されているか否かを確認する必要があります。報告は個人情報保護委員会のウェブサイト上の漏えい等報告フォームから行うのが原則です。速報の段階では判明している事項のみの報告で足りますが、確報では漏えいの概要、発生原因、二次被害の有無、再発防止策などの全項目を記載しなければなりません。なお、速報の時点で全事項を報告できれば、1回の提出で速報と確報を兼ねることも可能です。期限の起算日は、法人の場合はいずれかの部署が事態を知った時点とされるため、社内の情報伝達体制も報告期限の遵守に影響します。

本人通知義務の範囲と約1万人への個別連絡にかかる実務コスト

個人情報保護委員会への報告義務と並行して、漏えい等の対象となった本人への通知義務も発生します。通知は原則として個別に行う必要があり、通知が困難な場合に限り代替措置が認められています。約1万人という規模の本人通知は、実務上かなりの負荷を伴います。

通知すべき内容は、漏えい等の概要、漏えいした個人データの項目、原因、二次被害のおそれの有無、本人が取り得る措置、問い合わせ先などです。メールアドレスが判明している対象者にはメールでの通知が効率的ですが、メールアドレス自体が漏えいしている場合には、別の連絡手段を確保する必要性も生じます。さらに、通知に対する問い合わせ対応のためのコールセンターの設置やFAQ作成なども考慮しなければなりません。企業規模にもよりますが、1万人規模の本人通知とその後の問い合わせ対応には、数百万円から1,000万円程度のコストが発生するケースもあります。こうした実務コストを事前に見積もっておくことは、インシデント対応計画の策定において不可欠な要素です。

命令違反時の1億円以下の罰金と改正法で検討中の課徴金制度の方向性

個人情報保護法に違反した場合、個人情報保護委員会は指導・助言、勧告、命令を段階的に行うことができます。命令に違反した場合は刑事罰の対象となり、法人に対しては1億円以下の罰金が科される可能性があります。また、報告徴収や立入検査に応じなかった場合にも罰則が適用されます。

さらに注目すべきは、2026年1月に個人情報保護委員会が公表した「いわゆる3年ごと見直しの制度改正方針」において、課徴金制度の導入が検討されている点です。この方針では、重大な違反行為により個人の権利利益が侵害された場合に、違反行為によって得られた財産的利益に相当する額の課徴金を命じる制度の創設が示されています。現行法では金銭的制裁が刑事罰としての罰金に限られていますが、課徴金制度が導入されれば、行政上の措置として機動的に金銭的制裁が科されることになります。2026年の通常国会への改正法案提出が見込まれており、今後の審議動向は情報管理担当者にとって注視すべき事項です。

不正競争防止法と個人情報保護法の両面から問われる法的責任の違い

退職者による情報持ち出しが発生した場合、法的責任は個人情報保護法だけでなく不正競争防止法の観点からも検討されます。両法の適用要件と保護の対象は異なるため、それぞれの違いを理解しておくことが重要です。

本件のような取引先リストが不正競争防止法上の「営業秘密」に該当するためには、企業がその情報を秘密として管理していたこと（秘密管理性）、事業活動に有用であること（有用性）、公然と知られていないこと（非公知性）の3要件を満たす必要があります。アクセス制限やマル秘表示の有無など、企業側の管理実態が問われるため、仮に法的措置を検討する場合は事前の準備が欠かせません。

退職予定者のアクセス権限から見直す情報持ち出し防止の技術的対策5選

ユナイテッドアローズの事案が示したのは、退職者のアクセス権限管理における技術的な対策の不足が、情報持ち出しを容易にするという事実です。ここでは、退職予定者の権限管理を起点として、企業が導入すべき5つの技術的対策を具体的に解説します。いずれも特定のツールに依存しない汎用的なアプローチであり、規模を問わず適用可能です。

退職日当日にクラウドアカウントを即時無効化する自動プロビジョニング

退職者による情報持ち出しを防ぐ最も基本的かつ効果的な対策は、退職日当日にすべてのアカウントを即時無効化することです。これを人手で行うとタイムラグやミスが生じるため、人事システムとID管理基盤を連携させた自動プロビジョニングの導入が推奨されます。

自動プロビジョニングとは、人事データベース上で退職処理が完了した時点で、連携するクラウドサービスのアカウントが自動的に無効化される仕組みです。Azure Active Directory（現Microsoft Entra ID）やOktaなどのID管理基盤では、SCIMプロトコルを利用して複数のSaaSアプリケーションのアカウントを一括管理できます。本件では年末年始休暇中にアカウントが有効なまま放置されたことが持ち出しの機会を提供しましたが、自動プロビジョニングを導入していれば退職日の到来と同時にアクセスが遮断されていた可能性があります。導入にあたっては、人事システム側の退職日データの正確性と、ID管理基盤との連携テストが重要な成功要因となります。

DLP導入でファイルダウンロードとクラウド転送を自動検知する仕組み

DLP（Data Loss Prevention）は、機密情報の外部への流出を自動で検知・ブロックするためのセキュリティ技術です。ファイルの内容やメタデータに基づいて機密情報を識別し、メール添付、クラウドストレージへのアップロード、USBメモリへのコピーなどの転送行為を監視します。

本件のように取引先リストがクラウド経由で持ち出されたケースでは、DLPが導入されていれば、ダウンロード行為の時点で検知アラートが発せられていた可能性があります。具体的には、個人情報を含むファイルの外部転送を検出するポリシーを設定し、氏名・メールアドレス・電話番号といった個人データのパターンを検知対象として登録します。検知時のアクションとしては、リアルタイムのブロック、管理者へのアラート通知、操作ログの記録などを段階的に設定できます。ただし、DLPの効果を最大化するためには、保護対象となるデータの定義と分類を事前に行うことが不可欠です。どのデータが機密に該当するかの基準が曖昧なままでは、誤検知の増加や検知漏れにつながります。

CASBによる私的クラウドサービス利用の制御と証明書認証の併用効果

CASB（Cloud Access Security Broker）は、企業が利用するクラウドサービスへのアクセスを可視化・制御するためのセキュリティソリューションです。従業員がDropboxやGoogleドライブなどの私的なクラウドストレージに業務データをアップロードする行為を検知し、ブロックする機能を持ちます。

本件では元従業員がクラウドサーバーの外部連携機能を使ってデータを持ち出していますが、CASBを導入していれば、承認されていないクラウドサービスへのデータ転送をポリシーレベルで禁止できた可能性があります。さらに、クライアント証明書による端末認証を併用することで、会社が管理する端末以外からのクラウドサービスへのアクセスを物理的に遮断できます。退職時に貸与PCを回収すれば、証明書がインストールされていない個人PCからのアクセスは自動的にブロックされる仕組みです。CASBと証明書認証の組み合わせは、退職者によるクラウド経由の情報持ち出しに対して特に有効な多層防御を実現します。導入コストは企業規模によって異なりますが、クラウドサービスの利用が進む企業ほど投資対効果が高いといえます。

退職予定者のアクセスログを重点監視するSIEM連携アラートの設計例

SIEM（Security Information and Event Management）は、複数のシステムやアプリケーションのログを一元的に収集・分析し、異常な挙動をリアルタイムで検知するためのプラットフォームです。退職予定者のアクセスを重点的に監視するアラートを設定することで、情報持ち出しの予兆を早期に捕捉できます。

具体的なアラート設計例としては、次のようなルールが考えられます。退職予定日の30日前から退職日以降にかけて、対象者による大量のファイルダウンロード（通常の業務量を超える閾値を設定）、業務時間外のアクセス、普段利用しないシステムやフォルダへのアクセス、外部ストレージへのデータ転送などをトリガーとしてアラートを発報する仕組みです。人事システムから退職予定者のリストを自動取得し、SIEMの監視対象リストに自動登録するワークフローを構築すれば、運用負荷を抑えつつ監視の抜け漏れを防止できます。本件のケースでは、退職後のアクセスに対して即時アラートが発報される設定があれば、1月4日のダウンロード時点で検知できた可能性が高いと考えられます。

USBポート無効化とメール転送ルール制限を組み合わせた多層防御の実務

クラウド経由の持ち出し対策と並行して、USBメモリやメール転送といった従来型の情報持ち出し手段に対する対策も不可欠です。IPAの調査では、退職者による情報持ち出しの手段としてUSBメモリへの保存、個人メールへの転送、クラウド経由の持ち出しが上位を占めています。

USBポートの無効化は、IT資産管理ツールやグループポリシーを使って端末単位で実施できます。業務上USBメモリの使用が必要な場合は、申請制にして一時的にロックを解除する運用とし、使用履歴をログとして記録します。メール転送については、業務用メールから外部の個人メールアドレスへの転送を禁止するルールをメールサーバー側で設定します。あわせて、添付ファイルの容量制限や送信先ドメインのホワイトリスト管理を導入することで、大量データのメール送信を制限できます。これらの対策を単独で導入するだけでは迂回される可能性があるため、DLPやCASBと組み合わせた多層防御として構築することが重要です。技術的対策はあくまでリスク低減策であり、完全な防止を保証するものではないため、次章で述べる運用・教育面の対策との組み合わせが求められます。

アパレル・小売企業の情報管理担当者が即日点検すべきクラウド運用3項目

ユナイテッドアローズの事案を受けて、同業のアパレル・小売企業が自社の情報管理体制を見直す動きが広がっています。大規模なセキュリティ投資は中長期的に計画すべきですが、まず即日から着手できる点検項目があります。ここでは、情報管理担当者が優先的に確認すべきクラウド運用に関する3つのポイントと、点検結果の活用方法を解説します。

外部連携機能の棚卸しで見落としやすいAPI連携とOAuth認可の確認手順

本件で情報持ち出しに利用された「外部連携機能」は、多くのクラウドサービスに標準搭載されている機能です。しかし、管理者が把握していないAPI連携やOAuth認可が存在するケースは珍しくありません。まず実施すべきは、自社で利用しているクラウドサービスのすべての外部連携設定を洗い出す棚卸し作業です。

具体的な確認手順としては、クラウドサービスの管理コンソールにログインし、外部アプリケーション連携やサードパーティアクセスの一覧を表示します。各連携について、いつ誰が設定したのか、現在も業務上必要なのか、アクセス範囲は適切かを確認していきます。特に注意すべきは、過去のプロジェクトで一時的に設定したまま放置されている連携や、退職済みの従業員が設定した連携です。OAuth認可の場合はトークンの有効期限が設定されているかも確認します。不要な連携が発見された場合は速やかに削除し、必要な連携についてはアクセス権限を最小限に設定し直します。この棚卸し作業は1回限りではなく、四半期に1回程度の定期実施が望ましいです。

共有リンクの有効期限とアクセス権限の最小化を30分で点検する方法

クラウドストレージ上のファイル共有設定は、利便性を優先するあまりセキュリティリスクが見落とされがちな項目です。「リンクを知っている全員がアクセスできる」設定で共有されたファイルは、リンクが外部に漏れた時点で誰でもアクセスできてしまいます。30分程度で実施可能な簡易点検の方法を紹介します。

まず、クラウドストレージの管理画面から「外部共有」または「リンク共有」が有効になっているファイルやフォルダの一覧を出力します。多くのサービスにはこの一覧を表示する管理機能が備わっています。次に、リストの中から個人情報を含むファイル（取引先リスト、顧客名簿、従業員情報など）を特定し、それぞれの共有設定を確認します。有効期限が設定されていない共有リンクは期限を追加し、アクセス権限が「編集可能」になっている場合は「閲覧のみ」に変更します。共有の必要性自体がなくなっているファイルについてはリンクを無効化します。この作業は管理者1名で30分程度あれば完了でき、即効性のあるリスク低減策として有効です。

退職済みアカウントの残存有無を一括チェックするスクリプト運用の実例

退職者のアカウントが有効なまま残存しているケースは、手作業での管理では見落としが発生しやすい領域です。人事システムの退職者リストとクラウドサービスのアカウントリストを定期的に突合し、不整合を検出する仕組みを自動化することが理想的です。

実務的には、人事システムから退職済み従業員のメールアドレスまたは社員番号のリストをCSV形式でエクスポートし、クラウドサービスの管理APIを使ってアクティブアカウントの一覧を取得し、両者を突合するスクリプトを作成します。PythonやPowerShellで数十行程度の簡易スクリプトとして実装でき、Google WorkspaceやMicrosoft 365では管理者用APIが公開されているため技術的なハードルは高くありません。突合の結果、退職者リストに含まれるにもかかわらずアクティブなアカウントが発見された場合は、即座に無効化します。このスクリプトを月次で自動実行し、結果をメールで通知する仕組みを構築すれば、退職者アカウントの残存リスクを継続的に管理できます。

広報・PR部門が保有する取引先リストの棚卸しと分類基準の再設定

本件の漏えい対象が広報・PR活動用の取引先リストであったことを踏まえると、同様のリストを保有する部門での棚卸しは急務です。広報部門が保有する取引先リストは、業務の性質上、更新頻度が高く管理者が曖昧になりやすい特徴があります。

棚卸しにあたっては、まず広報・PR部門が保有するすべてのリストの所在を洗い出します。クラウドストレージ上のファイル、メール管理ソフトの連絡先、プロジェクト管理ツール内の共有データなど、保存場所は多岐にわたる可能性があります。次に、各リストの内容を確認し、個人情報が含まれるものとそうでないものを分類します。個人情報を含むリストについては、アクセス権限を業務上必要な最小限のメンバーに絞り、ファイルレベルでのアクセスログを有効化します。さらに、リストの分類基準を「社外秘」「部門内限定」「関係者限定」などに整理し、分類に応じたアクセス権限と保管場所のルールを明文化します。この棚卸しと分類基準の再設定は、広報部門に限らず、営業やマーケティングなど大量の連絡先情報を扱うすべての部門で実施すべき作業です。

点検結果を経営層に報告する際のリスク評価シートの記載項目と優先度

点検作業で発見されたリスクや改善点は、情報管理担当者の中だけで完結させず、経営層に報告して意思決定を仰ぐことが重要です。経営層向けの報告では、技術的な詳細よりもビジネスインパクトと対応の優先度を明確に示すことが求められます。

リスク評価シートに記載すべき主な項目は、発見されたリスクの内容、リスクが顕在化した場合の影響範囲（対象データの件数、取引先への影響度、法的義務への抵触可能性）、現在の対策状況、推奨される追加対策、対策に必要なコストと期間、そして対応の優先度です。優先度は「即時対応（退職者アカウントの残存など、今日中に対処すべきもの）」「短期対応（1か月以内に完了すべきもの）」「中長期対応（予算化して計画的に進めるもの）」の3段階で整理すると、経営層にとって判断しやすい形になります。本件のような他社の事案を引き合いに出しながら、同様のリスクが自社にも存在する可能性を具体的に示すことで、対策の承認を得やすくなります。

不正のトライアングルを断つセキュリティ教育と退職時フローの再設計

技術的な対策だけでは情報持ち出しを完全に防ぐことはできません。不正のトライアングルにおける「正当化」を断ち切るためには、従業員の意識を変えるセキュリティ教育が不可欠であり、「機会」を物理的に排除するためには退職時のフローを再設計する必要があります。ここでは、人的・運用的な対策について、具体的なスケジュールやチェックリストを交えて解説します。

入社時と退職時の2回で秘密保持誓約書を取得する運用が抑止力になる根拠

秘密保持誓約書は、従業員が在職中および退職後に企業の機密情報を適切に取り扱うことを約束する文書です。多くの企業では入社時に取得していますが、退職時に改めて取得する運用を行っている企業はまだ少数派です。しかし、退職時の誓約書取得には明確な抑止効果があります。

入社時に署名した誓約書は、数年から十数年の在籍期間を経るうちにその存在が記憶から薄れていきます。退職時に改めて誓約書を取得することで、退職者に対して「持ち出してはいけない情報が何であるか」を明確に再認識させる効果があります。また、万が一持ち出しが発覚した場合に、「知らなかった」「認識がなかった」という言い逃れを封じる法的な意味も持ちます。誓約書には、保護対象となる情報の具体的な範囲、退職後の機密保持義務の期間、違反した場合の損害賠償責任について明記することが望ましいです。さらに、在職中に取り扱ったデータの返却・消去義務を記載し、退職者本人に署名させることで、心理的な抑止力として機能します。本件のユナイテッドアローズにおいても、退職時の誓約書取得が適切に行われていたかは、再発防止策を検討するうえでの重要な確認事項です。

年2回の情報セキュリティ研修で持ち出し事例と罰則を自分事化させる方法

情報セキュリティ研修は、入社時の1回きりではなく定期的に実施することで初めて効果を発揮します。年2回、たとえば上期と下期に1回ずつ実施するスケジュールが、頻度と負荷のバランスとして現実的です。研修内容を「自分事」として受け止めさせるための工夫がポイントとなります。

効果的な研修プログラムには、次の3つの要素を含めることが推奨されます。

• 実際に発生した情報持ち出し事案のケーススタディ：本件のような退職者による持ち出し事案のほか、ソフトバンクからの技術情報流出やNTT西日本子会社の顧客情報売却事件など、実名入りの事例を紹介することでリアリティが増す
• 法的な罰則の具体的な内容の提示：不正競争防止法違反で10年以下の拘禁刑や2,000万円以下の罰金が科される可能性があることを数字で示すと、抽象的な注意喚起よりも記憶に残る
• 自社の情報管理規程と違反時の懲戒処分内容の確認：参加者に確認テストを実施し、理解度を可視化することも有効な手法として活用できる

研修は一方通行の講義形式ではなく、グループディスカッションやケーススタディの分析を取り入れることで、参加者が主体的に考える機会を設けることが重要です。

退職日前14日間のアクセス権限段階的縮小スケジュールの設計例

退職日当日に一括してアクセス権限を無効化するのではなく、退職日の14日前から段階的に権限を縮小していくアプローチが、情報持ち出しの機会を物理的に減少させる効果的な方法です。業務の引き継ぎとの両立を考慮した現実的なスケジュール設計が必要になります。

設計例としては、退職日14日前の時点で、機密レベルの高いデータベースやファイルサーバーのフォルダへのアクセス権限を書き込みから読み取り専用に変更します。退職日7日前には、業務引き継ぎに直接必要のないシステムへのアクセスを停止します。退職日3日前には、クラウドストレージの個人フォルダからのダウンロード権限を停止し、外部連携機能も無効化します。退職日当日にはすべてのアカウントを無効化し、メール転送設定や共有リンクも一括で解除します。このスケジュールは業種や職種によって調整が必要ですが、段階的に権限を縮小することで、退職者が最後の数日間で大量のデータを持ち出すことを困難にします。人事部門とIT部門が連携し、退職日が確定した時点でこのスケジュールを自動的に起動する仕組みが理想です。

退職面談チェックリスト10項目でデータ返却と消去を確認する手順

退職時の面談は、情報セキュリティの観点から極めて重要な最後の関門です。人事部門が実施する退職面談において、データの返却と消去に関するチェックリストを活用することで、持ち出しリスクを体系的に低減できます。

1. 貸与PC・スマートフォン・タブレットなどのすべてのデバイスの返却を確認する
2. 貸与デバイス内に業務データが残存していないかをIT部門と連携して確認する
3. 個人所有デバイスに業務データを保存していないかを本人に確認し、消去を依頼する
4. 業務用クラウドサービスからのログアウトと、個人デバイスからのアプリ削除を確認する
5. 個人メールアドレスへの業務メール転送設定が存在しないかを確認する
6. USBメモリや外付けHDDなどの外部記憶媒体への業務データ保存の有無を確認する
7. 紙資料（取引先リスト、契約書コピーなど）の返却または廃棄を確認する
8. 入館証・セキュリティカード・鍵などの物理的なアクセス手段を回収する
9. 秘密保持誓約書の退職時版に署名を取得する
10. チェックリストの全項目確認後、退職者と確認担当者の双方が署名して記録を保管する

このチェックリストは形式的に運用するのではなく、各項目について退職者本人に口頭で確認し、不明点があればその場で解消することが重要です。確認結果を記録として残すことで、万が一持ち出しが発覚した場合の法的対応においても有力な証拠となります。

再発防止策の形骸化を防ぐためのPDCAサイクルと四半期レビューの進め方

情報漏えい事案が発生した直後は、対策への意識が組織全体で高まりますが、時間の経過とともに形骸化していくのが一般的なパターンです。ユナイテッドアローズも再発防止策として「セキュリティ体制の強化」「監視体制の見直し」「社員教育の徹底」を掲げていますが、これらを持続的に機能させるためにはPDCAサイクルの組み込みが不可欠です。

Plan（計画）の段階では、再発防止策の具体的な実施項目、担当者、完了期限、KPIを明文化します。たとえば「退職時チェックリストの運用率100%」「年2回のセキュリティ研修の受講率95%以上」「退職者アカウントの48時間以内無効化率100%」といった測定可能な指標を設定します。Do（実行）の段階では、計画に基づいて対策を実施し、実施状況を記録します。Check（評価）として四半期に1回のレビュー会議を設定し、KPIの達成状況を確認します。未達成の項目については原因を分析し、Act（改善）として対策の修正や追加を行います。このレビューには情報セキュリティ担当者だけでなく、人事部門・法務部門・各事業部門の代表者が参加することで、組織横断的な取り組みとして維持できます。再発防止策は策定して終わりではなく、継続的に運用・改善されて初めて意味を持つのです。