ファーストリテイリングの情報システムに不正アクセス、取引先と従業員の個人情報漏えいの可能性、顧客情報への影響なし

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

ファーストリテイリングは2025年3月18日、同社が管理する情報システムが第三者による不正アクセスを受け、取引先従業員および自社従業員の個人情報の一部が漏えいした可能性があると発表した。2024年9月13日に不正アクセスを検知後、直ちにシステムの稼働停止などの対策を実施している。^[1]

第三者機関による調査の結果、委託先事業者によるネットワーク設定変更時の不備が直接的な原因であることが判明した。不正アクセスによって漏えいの可能性がある情報には、取引先従業員の氏名や社名、電話番号、メールアドレスなどが含まれているが、ユニクロやジーユーの顧客情報は含まれていない。

個人情報保護委員会への報告など必要な対応を進めており、連絡先が確認できた対象者には電子メールで順次連絡を行っている。今回の事態を重く受け止め、セキュリティ体制の改善や情報システムの監視強化を含む再発防止策に取り組んでいくとしている。

対象者	影響を受けた期間	漏えいした可能性のある情報
取引先従業員	2018年1月～2021年5月	氏名、社名、電話番号、メールアドレス
店舗従業員	2023年4月～2024年9月	氏名、会社貸与メールアドレス、従業員番号
本部従業員	2018年5月～2023年9月	氏名、社名、所属部署、会社貸与電話番号、会社貸与メールアドレス、従業員番号

不正アクセスとは、情報システムに対して権限のない第三者が不正な手段でアクセスを試みる行為のことを指す。主な特徴として以下のような点が挙げられる。

今回のファーストリテイリングの事例では、委託先事業者によるネットワーク設定の不備が不正アクセスの原因となった。情報システムの運用管理においては、社内だけでなく外部委託先も含めた包括的なセキュリティ対策が必要不可欠である。

今回の事案で評価できる点は、不正アクセスを検知後に迅速なシステム停止措置を講じ、第三者機関による詳細な調査を実施したことである。また、影響を受けた可能性のある個人情報の範囲を明確に特定し、ユニクロやジーユーの顧客情報が含まれていないことを明確に示したことで、不要な混乱を防いでいる。

一方で、委託先事業者のネットワーク設定変更における不備が原因であったことは、外部委託管理の重要性を改めて浮き彫りにした。今後は委託先も含めたセキュリティ管理体制の強化や、定期的な設定確認プロセスの確立が必要となるだろう。

再発防止に向けては、セキュリティ体制の改善や監視強化だけでなく、委託先との連携強化や従業員教育の充実も重要となる。特に情報システムの設定変更時における確認プロセスの見直しや、インシデント発生時の対応手順の整備が急務となるだろう。

^ ファーストリテイリング. 「当社グループ情報システムへの不正アクセス発生に関するお詫びとご報告 | FAST RETAILING CO. LTD.」. https://www.fastretailing.com/jp/group/news/2503181100.html, (参照 25-03-20).
個人情報保護委員会. https://www.ppc.go.jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム