2025年6月13日 / 最終更新日 : 2025年6月13日 dataclasys インシデント

ソフトバンク、業務委託先から顧客情報14万件流出 契約だけでなくシステムで委託先を管理することは可能か

事件の概要

2025年6月11日、ソフトバンク株式会社は、同社の業務委託先である「株式会社UFジャパン」から最大約13万7,156件にのぼる個人情報が流出した可能性があることを公表しました。

対象となるのは「ソフトバンク」および「ワイモバイル」契約者の氏名、住所、電話番号、生年月日、性別、契約内容等の情報であり、クレジットカード情報や口座情報、マイナンバーカードに関する情報は含まれていないとしています。

同年3月下旬に社外の第三者からの通報により発覚しました。ソフトバンクの調査により、UFジャパンにおけるいくつかの情報管理上の問題が明らかになりました。

流出の原因と構造的問題

ソフトバンクのプレスリリースによれば、UFジャパンにおける情報管理上の問題は大きく2つ存在します。

  1. ソフトバンクの許諾を得ずに、UFジャパンが協力会社と契約していたこと。
  2. ソフトバンクが策定したセキュリティルールへの違反。
  • 個人情報を取り扱うフロアへの社外の第三者の入退室を許容していた、また警備員を配置していなかった。
  • ソフトバンクの実施したセキュリティ監査に対して虚偽の報告をしていた。

これらの管理体制の不備により、以下のような情報漏えいリスクが発生しました。

  • 協力会社を退職した元従業員A氏が、2024年12月にUFジャパンの事業所に不正に立ち入り、USBメモリーを情報端末に接続して個人情報を持ち出した可能性があることが監視カメラの映像で確認された(本人は持ち出しについて否認)。
  • 協力会社の従業員B氏が、ソフトバンクの個人情報を含むファイルをクラウドサービスにアップロードし、無関係の第三者3名がその内容を閲覧できる状態になっていたことが確認された。

これらの問題は、業務委託先によるセキュリティルールの形骸化や、委託元による統制の難しさを浮き彫りにしています。

ソフトバンクの対応と再発防止策

ソフトバンクは、問題発覚後の2025年5月20日にUFジャパンへの業務委託を停止し、6月9日付で契約を正式に解除しました。また、6月3日までに監督官庁および関係機関への報告を行い、警察への相談も進めているとしています。さらに、以下の対応を発表しています。

  • UFジャパンが業務で使用していたパソコン全台のフォレンジック調査の実施
  • 専用の問い合わせ窓口の設置
  • コールセンターや取扱店以外からの営業目的による架電業務の原則廃止
  • 営業目的以外の架電業務を行う委託先に対しては、個人情報を取り扱うための環境(設備・運用)をソフトバンク側が用意し、情報取り扱いを常時監視する体制へ移行
  • 個人情報を取り扱う委託先に対する緊急監査

委託先任せにしないセキュリティ対策の実践

企業が業務委託を進める際、以下のような委託先管理は一般的に行われています。

  • セキュリティ対策の実施を委託先に要求すること
  • データ取り扱いに関する事前の取り決めを契約で明確にすること
  • 定期的なセキュリティ監査を実施すること

しかし今回の事件では、UFジャパンがデータの取り扱いに関するルールに違反したり、セキュリティ監査に対し虚偽の報告を行っていたりしたことが明らかになりました。このような場合、委託先にセキュリティを“頼るだけ”では、漏えいリスクを否定できません。

そこで注目されるのが、IRM(Information Rights Management)です。委託先管理はどうしても「相手にセキュリティをしっかり実施してもらう」という依存的な手法になりがちですが、IRMは委託元が自らシステム的に制限をかけることができる点で、他のセキュリティ対策にはない非常に有効なアプローチです。

IRMは、ファイル自体に暗号化と権限制御を埋め込むことができる技術です。たとえば、ファイルを「閲覧のみ可能」「閲覧と編集・印刷も可能」など、用途に応じて取り扱い制御を設定できます。さらに、アクセス期間の制限や、復号ログの記録、アクセス権限の変更や取り消しといった操作も可能です。

このようなIRMを用いれば、委託先にデータを渡す前に、あらかじめ委託元の取り扱いルールをファイルに反映させ、技術的に強制できます。仮にファイルが流出した場合でも、IRMで保護されていれば、意図しない第三者による閲覧や利用を防ぐことができます。

おわりに

今回のソフトバンクの対応は、公表・調査・契約解除までを迅速に行った点で一定の評価ができます。しかし、それ以上に私たちが注目すべきは、業務委託先の管理における限界が明確になったという事実です。再委託の実態把握、セキュリティルールの形骸化、監査の限界——いずれも従来の「委託先に任せる」型の運用では十分に防げないことが浮き彫りになりました。

だからこそ今、委託元自らが関与し、技術的手段を使って情報を守るアプローチが必要とされています。とくにIRMのように、ファイルそのものに取り扱いルールを埋め込む技術は、「誰が、何を、どう扱えるか」をシステム的に制御する手段として、注目が高まっています。

実際、当社の開発するIRMソリューション「DataClasys(データクレシス)」にも、こうした委託先からの情報漏えいリスクに備えたいというお問い合わせが増加しており、ご紹介できる具体的な活用事例も増えてきています。

データは単なる業務情報ではなく、顧客との信頼そのものです。委託元・委託先の区別なく、その価値を守る責任をどう果たすかが、今あらためて問われています。

カタログ・資料ダウンロードはこちら

製品資料
製品説明資料
機密情報ファイル 保護・管理システム「DataClasys(データクレシス)」の資料です。
事例集
導入事例集
ランサムウェア対策の他、委託先からの漏洩対策についても複数掲載。ご興味のある方は資料をご確認ください。

参考

業務委託先企業による個人情報漏えいの可能性について | ソフトバンク株式会社 2025年6月11日

著者

データクレシス マーケティングチーム

セキュリティ分野における最新情報や重要なトピックスを発信するコラムです。企業の情報セキュリティに役立つ知識をお届けします。

セキュリティ最新情報をメールでお届け!登録はこちら

コラムカテゴリー
インシデント
カテゴリー
注目
セキュリティ

前の記事

技術流出対策ガイダンスとは?企業が知っておくべき対応策と実践ポイントを解説
2025年6月4日