2025年6月11日、ソフトバンクは、携帯電話業務を委託していた「ufジャパン」から約14万件の個人情報が不正に持ち出され流出した可能性があると発表しました。
筆者も個人情報を扱う仕事に10年以上携わった経験がある為、今回の事案での「業務委託構造のリスクや問題点」と、これからの対応方針を整理してお伝えします。
【速報 JUST IN 】ソフトバンク 業務委託先から個人情報13万件余流出かhttps://t.co/oNFZNGdwQz #nhk_news
— NHKニュース (@nhk_news) June 11, 2025
ソフトバンク、個人情報14万件流出の恐れ 協力会社の元従業員が無断で顧客名簿持ち出しhttps://t.co/uBQNlDQGtw
— 産経ニュース (@Sankei_news) June 11, 2025
協力会社の元従業員が2024年12月、会社の事業所に不正に立ち入り、USBメモリーで約13万5000件分の顧客情報を持ち出した。
見たいとこをクリック
「ufジャパン」が起こした事件まとめ
協力会社の元従業員が「個人情報持ち出し」
ソフトバンクの委託先で個人情報流出。
— All About Truth (@AllAboutTruth4) June 11, 2025
委託先のUFジャパンの協力会社の元従業員が、不正に立ち入り個人情報管理端末にUSBを接続。https://t.co/MOSnJOuVGghttps://t.co/pAco8anHlI
ここ数年で、SBの子会社のLINEヤフーでも個人情報流出。https://t.co/XTrcuZEqV7https://t.co/nYVrro3Kai https://t.co/aMsYzeeSZi pic.twitter.com/Ui5de2PF6S
- 2025年3月下旬、ufジャパン事業所内での不適切な個人情報取り扱いと、他社の通信事業者のサービス勧誘に利用されている可能性があると社外からの申告があり、ソフトバンクが調査を実施。
- 2024年12月、ufジャパン協力会社退職の元従業員A氏がUFジャパンの事業所に不正侵入。USBメモリを通じた情報持ち出しの疑いが監視映像などで確認された 。
- →A氏は個人情報の持ち出しに対して、記憶にないと主張。
- 加えて、協力会社従業員B氏が社外クラウドにファイルをアップロードし、ソフトバンク業務に携わっていない3名が閲覧可能状態になっていたと判明。現時点では閲覧実績はこの3名のみ。
「ufジャパン」の杜撰な情報管理とは?
弊社は業務委託先に対してセキュリティールールを定めていましたが、UFジャパンは、個人情報を取り扱うフロアへの社外の第三者の入退室の許容や警備員の未配置など、ずさんな運用を行っていました。さらに、弊社が実施したセキュリティー監査に対して虚偽の報告を行っていたことが判明しています。
ソフトバンク
ソフトバンクの発表によると、今回の事案での問題点は大きくまとめて以下の2点。
①ソフトバンクが定めるセキュリティルールの違反
- 個人情報取り扱いフロアへの「第三者の入室管理と規制」
- 入室管理は「入室管理簿」「入室許可証」など、社外の人間が該当フロアに立ち入る際に記入・携行するもの。
- 入室規制は該当エリアの立ち入り等の規制(セキュリティシステム・警備員など人員配置も)
一般的には入室管理で対応しているパターンが多いと感じます。ですが、仮に大量の個人情報を取得・保管しているとなると入室規制も同時に行う必要性が高い。今回のパターンだと、第三者が容易に重要エリアに立ち入れたという管理体制が問題になっています。
②ソフトバンクが実施するセキュリティ調査への虚偽報告
上記のような杜撰な管理をチェック・改善させる為に、個人情報取り扱い業者では定期的に調査を抜き打ちで行っている可能性が高いです。ソフトバンクの発表だと、その調査に対して虚偽の報告や不正を行い管理体制に問題がなかったように偽装していた疑惑も出ています。
流出した可能性のある個人情報
- 件数:判明分で13万7,156件(内訳:USB経由13万5,022件、クラウド経由2,134件) 。
- 情報の中身:氏名、住所、生年月日、電話番号、性別、年齢、契約内容(料金プランなど)、サービス利用情報、顧客管理番号など。
- 含まれない情報:金融情報(クレジットカード番号、銀行口座)、マイナンバーなどは流出していないと明言 。
情報漏洩に金融情報は含まれていないようですが、個人を特定できる情報は多数漏洩している為、今後の対応にも注視が必要です。
弊社は、UFジャパンが業務で使用していたパソコン全台のフォレンジック調査や、関係者への聞き取り調査、警察への相談などを進め、全容の解明に努めていきます。また、情報の流出の可能性の確認を継続的に行っていきます。
ソフトバンク
また、UFジャパンに対しては、委託してきた当該業務を5月20日に停止し、6月9日付で当該業務における業務委託契約を解除したと記載されています。
※本事案に関するお客さま専用の問い合わせ窓口→0800-111-6636(受付時間:10時から19時)
では、これだけ大きな個人情報流出事案を起こしてしまった「委託契約」とは何なのか事項から説明します。
ソフトバンクの契約形態とリスク構造
ソフトバンクショップ・コールセンターでは以下3つの形態で運営を行っています。
①委託契約「ufジャパン」など
- ソフトバンクが業務(コールセンター、事務処理等)を外部企業に委託。
- ufジャパンはこの形態で利用者情報を扱っており、今回の流出はおそらく「コールセンター(関東or九州)」から発生。また、監査・セキュリティ調査に対しての虚偽報告もあった 。
今回、ufジャパンの「14万件個人情報流出」事件に至った経緯がこの「委託契約」です。
コールセンターの他にも、外部イベント実施会社・ショップ応援・トップガンなど契約内容は多岐に渡ります。事項で説明する代理店契約をしている会社と比べると、比較的小規模の会社も多いことが特徴。
皆さんが外出した時に「イベントやってまーす」のようにキャッチされたり、自身の携帯にいきなり「ソフトバンクの〇〇を扱っているものですが」とかかってくる電話もこの「委託会社」が多いです。
②代理店契約「全国店舗の大半」
- 携帯ショップなどがソフトバンク製品を販売・契約代行。
- 情報はソフトバンクが管理。今回の流出には関与していないが、影響範囲として監督強化が必要。
「代理店契約」とはソフトバンクが自社サービスのショップを運営する権利を外部の会社に任せること。
「代理店契約」には様々な制約もあり、小規模の会社だと運営そのものが難しいのも特徴。主にショップ業務を担う事が多く、店舗業務ではソフトバンクが提供する『GINIE』というシステムを利用しています。
「GINIE」はソフトバンクが直接管理しているシステムの為、今回のように膨大な量の個人情報が外部の者に抜き出される事はなかったでしょう。
ソフトバンクは、「委託会社」「代理店」合わせると相当数の会社と契約をしています。更にこれ以外にも、個人事業主が下請け的に業務に携わっているパターンも多く、管理体制に問題があった可能性も指摘されるはず。
③直営「主に東京都に出店」
- 直営店舗やオンラインでの通信事業はこれに該当。
- 自社管理下で最もセキュリティが厳格。
ソフトバンク自体が管理・運営しているのが特徴です。ショップで例えると運営数は非常に少なく、全国で見ても数える程度しかない事で知られています。
今後の対応と再発防止策
以下は、これからソフトバンクが実施する対応と再発防止策です。
公表済み
- 警察・行政への対応:6月3日に報告済み、警察への相談も進行中
- 全委託先への緊急監査実施:個人情報取り扱い体制の再監査を全委託先に実施
- 環境改善策:外部架電廃止、委託先設備・運用はソフトバンクが常設監視、アクセス権限の制限強化など
他にも予想される対応
- 利用者への通知:流出の可能性がある対象者には個別連絡、フィッシング・なりすましにも注意を促す
- 個人情報管理方針の改訂:杜撰な管理体制を見逃さないようマニュアル・システム等の改訂
今回の重大事案を2度と起こさない為に、大手キャリアとして非常に厳しい対応を取ることが予想されます。
今後はショップ・コールセンター・外部イベントともに営業方針の転換が求められるでしょう。
まとめ
▶️ 個人情報流出件数
約13万7千件
▶️ 原因
UFジャパン元従業員による個人情報の不正持ち出しと不適切管理
▶️ 流出情報
氏名・住所・電話番号・契約内容等
▶️ 含まれない情報
クレジットカード情報・銀行口座・マイナンバーは含まれていない
▶️ 今後の対応
- 警察への相談
- 他委託先への緊急監査
- 対象者への個別
- 再発防止体制の強化
本件は、「業務委託構造の監督盲点と管理不備が重なった重大事件」と見なされます。今後の委託監督と業界全体の信頼回復に向けた対策が強く求められる事でしょう。
✅文春砲スクープ!他オススメ記事はこちら🔻
「とよことえつこ」って何者?「昭和の画質」の撮影方法は?クセになる無限ループで界隈流行の予感!
