Egidio
ドッシエ・2026年

日本の情報漏えい:詐欺の原材料

情報漏えいは、漏えいした企業だけの問題では終わりません。流出した氏名や 電話番号は、詐欺グループにとって「誰に何を信じ込ませれば効果的か」を教える原材料に なります。日本でも、その規模は決して小さくありません。

個人情報保護委員会が伝える全体像

個人情報保護委員会は毎年度、企業や行政機関から寄せられた個人情報の漏えい・滅失・毀損の 報告件数を集計し、年次報告として公表しています。2025年度の報告件数は前年度比8%減の 1万9417件でしたが、これは過去2番目に多い水準です。内訳を見ると、民間企業からの報告は 1万7139件で前年度より10%減少した一方、行政機関からの報告は1951件から2278件へと増加し、 過去最多を更新しました。要配慮個人情報(人種、病歴など特に機微な情報)を含む報告は 1万2269件で前年度の1.2倍に達し、全体の6割を占めています。

出典:個人情報保護委員会、2025年度年次報告(日本経済新聞、時事通信の報道による)。2026年7月16日閲覧。

2025〜2026年の主要な漏えい事例

約1420万件
KDDIが管理するメールシステムを経由し、同社を含む国内6社の顧客のメールアドレス・パスワード情報が流出したとされる事案。
複数の海外セキュリティ報道による。2026年7月16日閲覧。
約438万人
アフラック生命保険への不正アクセスで漏えいした顧客情報の人数。うち約23万人は保険料振替口座情報も対象。
アフラック生命保険、2026年6月30日発表(日本経済新聞ほか報道)。2026年7月16日閲覧。
約74万件
アスクルへのランサムウェア攻撃で流出が確認された個人情報。事業所向け顧客情報約59万件、個人向け顧客情報約13万2000件を含む。
アスクル株式会社、2025年12月12日発表。2026年7月16日閲覧。
約729万件
インターネットカフェ大手「快活CLUB」の会員データベースへの不正アクセスで流出した会員情報(氏名、住所、電話番号、メールアドレスなど)。
複数の報道による。2026年7月16日閲覧。

いくつかの事案は、発生から公表、そして被害の全容判明までの時系列でも教訓的です:

2025年6月〜10月
アスクル — 業務委託先の認証情報を悪用した侵入が 6月に発生。10月19日にランサムウェア感染によるシステム障害を公表し、12月12日に約74万件の 個人情報漏えいの確定値を発表。初期侵入から公表まで数か月を要した典型例。
2026年6月〜7月
アフラック生命保険 — 6月15日に最初の不正アクセスが 発生し、6月25日に複数回の侵入を確認、6月30日に約438万人の顧客情報漏えいを公表。 約23万人分は保険料振替口座情報も含まれていた。

医療機関を狙う攻撃:確定値は変わりうる

医療データの漏えいは、他の漏えいと同列には扱えません。パスワードやカード番号と違い、 病歴や受診歴は「無効化」して再発行することができないからです。いったん流出すれば、その 情報は無期限に悪用され得る——だからこそ闇市場で特に狙われる対象になります。正確な相場は 出典によって大きく異なり、単一の金額として断定できるものではありませんが、「有効期限がない データ」という性質そのものが価値の源泉です。

🏥日本医科大学武蔵小杉病院

2026年2月9日未明、ナースコール端末の不具合をきっかけにランサムウェア攻撃が発覚。 侵入経路は医療機器保守用のVPN装置だった。病院は2月13日の第1報で「患者約1万人」の 個人情報漏えいの可能性を公表したが、調査が進んだ2月27日の続報では、対象が外来・入院 患者約13万人、職員・実習生約1700人にまで拡大したことを認めた。氏名、性別、住所、 電話番号、生年月日、患者IDが対象で、3月時点でカルテ本体やマイナンバーカード情報の 流出は確認されていない。

日本医科大学武蔵小杉病院、公式発表(第1〜5報、2026年2〜3月)/INTERNET Watch。2026年7月16日閲覧。

📌 方法論メモ:この事案は、発覚直後の暫定値 (約1万人)と、調査が進んだ後の確定値(約13万人)が13倍も異なった例です。攻撃発覚から 数日以内に出る最初の数字は、被害の全容を反映していないことが多く、常に最新の公式発表を 優先して参照すべきというのが、Egidioがこの分野の報道を扱う際の原則です。

スポーツ団体を経由した漏えい:日本サッカー協会(JFA)

JFAクラウドファンディング(CAMPFIRE経由)

2026年4月25日、公益財団法人日本サッカー協会(JFA)は、利用していたクラウドファンディング サービスの運営元である株式会社CAMPFIREのシステムが不正アクセスを受け、ユーザーの個人情報が 外部に漏えいした可能性があると公表した。対象はユニーク件数で22万5846件——2021年2月以降に プロジェクトを立ち上げたオーナー12万929件、2021年1月以降にPayPal決済を利用した支援者 13万155件などを含み、氏名、住所、電話番号、メールアドレス、口座情報が対象(クレジット カード情報は含まれない)。JFAという著名な団体を支援した人の情報という性質上、狙われる 側にとっては「スポーツ協会からの通知」を装った二次的なフィッシングの標的になりやすい 点が懸念される。

日本サッカー協会(JFA)公式発表、2026年4月25日・28日追記/FOOTBALL ZONE。2026年7月16日閲覧。

旅行・宿泊業:小規模な漏えいでも実害に直結する

🏨京都ガーデンパレス

2025年10月23日、京都市内のホテル「京都ガーデンパレス」の宿泊予約情報管理システムに 第三者が不正アクセス。対象は10月22日以降に宿泊予約をしていた顧客、延べ約2800人。氏名、 性別、住所、電話番号、メールアドレス、宿泊に関する情報が漏えいした(クレジットカード 情報は対象外)。11月14日の公表とあわせて、ホテル側は流出した情報を悪用し、予約客に フィッシングサイトへ誘導するメールが実際に送信されていたことも確認している——漏えいから 実際の詐欺行為までの期間が3週間足らずという、時間的な近さを示す事例。

京都ガーデンパレス、公式発表(2025年11月14日)/株式会社アクト。2026年7月16日閲覧。
🔒 スポーツ協会の支援者リストやホテルの宿泊予約——銀行や 通信会社と関係のない漏えいに見えても、詐欺グループが会話の信ぴょう性を高めるために使う 材料としては十分です。仕組みの詳細は「漏えいから 詐欺へ」のレポートで解説しています。

覚えておきたい用語

クレデンシャルスタッフィング

過去の漏えいで盗まれたID・パスワードの組み合わせを、別のサービスに大量に試す攻撃手法。同じパスワードを使い回していると突破されやすい。

パスワードスプレー攻撃

逆に、よく使われる単純なパスワードを、大量のアカウントに対して少しずつ試す手法。検知システムの目をかいくぐりやすい。

MFA疲労攻撃

すでにパスワードを入手した攻撃者が、多要素認証の承認通知を連続して送りつけ、利用者が根負けして誤って承認してしまうことを狙う手口。

SIMスワップ

漏えいした個人情報をもとに携帯電話会社を欺き、被害者名義のSIMを攻撃者側の端末に切り替えさせ、SMS認証コードを乗っ取る手口。

🔒 情報が漏えいしたこと自体は、多くの場合あなたの落ち度では ありません——しかしその後の詐欺電話やSMSは防ぐことができます。Egidioは、漏えいした個人情報を 元に組み立てられた「本物らしい」着信やメッセージのパターンを見抜くことを目指しています。 詳しくはMedusaの仕組みをご覧ください。

よくある質問

日本の情報漏えいの件数はどこが公表していますか?

個人情報保護委員会が毎年度、企業や行政機関からの漏えい報告件数をまとめて公表しています。 2025年度は1万9417件で、過去2番目に多い件数でした。

自分の情報が漏えいしたかどうかはどうすれば分かりますか?

Have I Been Pwned(haveibeenpwned.com)は、セキュリティ研究者Troy Hunt氏が運営する 無料サービスで、メールアドレスを入力すると既知の漏えいに含まれていないか確認できます。 ただし日本語のサービス単体の漏えいは掲載されていない場合もあります。

情報漏えいがなぜ詐欺電話やSMSにつながるのですか?

漏えいした情報には氏名、電話番号、時には保険契約や口座に関する情報まで含まれることが あり、詐欺グループはこれを使って本物らしく個人に合わせたニセ警察詐欺やフィッシングSMSを 組み立てます。ランダムな相手にかけるより成功率が高くなります。

なぜ医療データの漏えいは特に危険なのですか?

パスワードやカード番号と違い、病歴や受診歴は漏えい後に「無効化」して再発行することが できません。いったん流出した情報は無期限に悪用され得るため、闇市場で特に狙われる対象に なります。正確な相場は出典によって大きく異なるため単一の金額として断定はできませんが、 「有効期限がないデータ」であること自体が価値の源泉です。

関連レポート