おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報流出の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に第三者による不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は、氏名、住所、電話番号の3項目となっている。^[1]

同社は3月4日および11日に個人情報保護委員会への報告を行い、外部調査機関による詳細な調査を進めている。現時点で情報の不正利用や二次被害は確認されていないものの、顧客の個人情報に加えて従業員450名分の勤怠管理システム内の情報も影響を受けた可能性があると明らかになった。

対応として専用のお問い合わせ窓口を設置し、平日9時から17時まで顧客からの問い合わせに対応する体制を整えている。クレジットカード情報は含まれていないことも確認されており、不審な電話やメールなどへの注意を呼びかけている。

不正アクセスとは、情報システムに対して正規の認証を回避して不正に侵入を試みる行為のことを指しており、主な特徴として以下のような点が挙げられる。

企業のシステムへの不正アクセスは個人情報や機密情報の流出につながる重大なセキュリティインシデントとなる。特にキャンペーン応募者の情報は名簿業者による悪用や標的型攻撃に利用される危険性があるため、適切な情報管理と迅速な対応が求められる。

おやつカンパニーの対応は素早く、発生から1日後には個人情報保護委員会への報告を行い、専用窓口の設置など具体的な対策を講じている点が評価できる。一方で13年分の顧客情報を一元管理していた点には改善の余地があり、保持期間の見直しや情報の分散管理などの対策が必要となるだろう。

今後は二次被害の防止が重要な課題となり、顧客への丁寧な説明と支援が求められる。特に高齢者などデジタル弱者を狙った詐欺への対策として、不審な連絡への注意喚起や相談窓口の周知を継続的に行う必要があるだろう。

長期的には、多層的な防御システムの構築やセキュリティ監査の強化が不可欠となる。情報セキュリティマネジメントシステム（ISMS）の認証取得なども検討し、より強固な情報管理体制の確立を目指すべきだ。

^ おやつカンパニー. 「不正アクセスによるシステム障害発生についてのお詫びとお知らせ | おやつカンパニー(-^〇^-)／」. https://www.oyatsu.co.jp/infos/view/622/, (参照 25-03-14).
個人情報保護委員会. https://www.ppc.go.jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム