ソフトバンク、委託先で個人情報漏えいの疑い 約14万件の可能性

　ソフトバンクは11日、氏名などを含む個人契約者の情報が、業務委託先から流出した可能性があると発表した。流出の可能性がある個人情報は約14万件に上る。なお、クレジットカード情報や口座情報、マイナンバーカード関連の情報は含まれていないと説明。また、現時点でユーザーの被害は確認されていないとしている。 ■ 流出した可能性のある情報と規模 　これまでの調査で、2件の事象により合計13万7156件の個人情報が流出した可能性が判明。さらに、ソフトバンクの社内システム以外で個人を特定できない「社内の顧客管理番号」も16万1132件流出したことが確認された。 　流出の可能性がある個人情報は、氏名、住所、生年月日、電話番号、性別、年齢、契約内容（料金プランなど）、サービス利用に関する情報、社内の顧客管理番号など。なお、クレジットカード情報、口座情報、マイナンバーカード関連の情報は含まれていない。 ■ 概要と経緯 　2025年3月下旬、社外の第三者から「業務委託先企業のUFジャパンの事業所内で、契約者の個人情報が不適切に扱われ、他社の通信事業者による勧誘に使用されている可能性がある」とソフトバンクに申告があり、発覚した。調査の結果、複数の不適切な事案が判明。 　UFジャパンの協力会社を退職した元従業員A氏が2024年12月、事業所に不正に立ち入り、情報管理端末にUSBメモリーを接続し、個人情報を持ち出した可能性が監視カメラの映像で確認された。A氏は持ち出しを否定しているものの、この件で約13万5022件の個人情報が流出した可能性がある。 　さらに、UFジャパンの協力会社従業員B氏が、個人情報を含むファイルをクラウドサービスにアップロードし、ソフトバンクの業務に関わらない3名が閲覧可能な状態にしていたことも判明。現時点で3名がデータをダウンロードした形跡は確認されていないが、2134件の個人情報が流出した可能性がある。 　加えて、UFジャパンがソフトバンクの許可を得ず協力会社と契約し、契約上のルールに反した情報取り扱いを行っていたことも明らかになった。 　ソフトバンクは、委託先に対してセキュリティールールを定めていたが、UFジャパンでは、個人情報を扱うフロアへの社外関係者の入退室を許可したり、警備員を配置していなかったなど、基本的な対策が欠如していた。また、セキュリティー監査に対しても虚偽の報告を行っていたことが判明している。 ■ 対応と再発防止策 　ソフトバンクは、6月3日に監督官庁および関係機関への報告を実施し、警察にも相談。さらに、UFジャパンの全パソコンのフォレンジック調査や関係者への聞き取りを進め、事案の全容解明を急ぐとともに、流出の可能性がある情報の特定も継続している。 　なお、ソフトバンクは5月20日付でUFジャパンへの委託業務を停止し、6月9日付で業務委託契約を解除した。 　再発防止策として、個人ユーザー情報を取り扱う業務や環境の全面見直しを行い、今後は「ソフトバンク」「ワイモバイル」の取扱店およびソフトバンクのコールセンター以外から、営業目的で個人ユーザーに電話をかける行為を原則禁止。やむを得ず行う場合は、必ずユーザーの事前承諾を得る方針とした。 　また、契約サポートなど営業目的以外の架電業務を行う委託先についても、個人情報を取り扱う設備や運用環境をソフトバンクが用意し、常時監視する体制を構築。さらに、個人情報を扱うすべての委託先を対象に緊急監査を実施している。 ■ 問い合わせ窓口 　ソフトバンクでは、今回の件に関する専用の問い合わせ窓口も設置。電話番号は「0800-111-6636」で、受付時間は午前10時から午後7時まで。 【追記 2025/06/11 17:50】 　同社広報によれば、UFジャパンには電話によるブロードバンドの営業業務などを委託していたという。