関彰商事の関連企業、個人情報漏洩約 不正アクセスで最大約1万6000件 – 日本経済新聞

また他社で情報漏洩?自分のサイトは大丈夫？

2025年10月、茨城県を拠点とする関彰商事の関連企業で、最大約1万6000件の個人情報が漏洩する事件が発表されました。不正アクセスによって顧客情報が外部流出した可能性があるというニュースを見て、「うちは関係ない」と思っていないでしょうか。

実は、この事件から学ぶべきポイントは、自社がWebサイトやメディアを運営している限り、決して他人事ではありません。特に注目すべきは「委託先での情報管理」と「漏洩時の法的対応義務」です。

この記事では、今回の事件の概要を簡潔に整理したうえで、Webサイト運営者が今すぐ確認すべきセキュリティ対策と、万が一の際の初動フローを実務的に解説します。

何が起きた?関彰商事グループの情報漏洩事件の概要

漏洩した情報と被害規模

今回の事件で漏洩した可能性がある個人情報は、最大約1万6000件にのぼります。流出した情報には以下が含まれています。

• 氏名
• 住所
• 電話番号
• メールアドレス
• その他の顧客情報

不正アクセスの発覚経緯

関彰商事の発表によると、2025年9月に外部からの指摘を受けて調査を開始し、不正アクセスの事実が判明しました。現時点で情報の悪用は確認されていないものの、外部への流出の可能性を否定できない状況です。

注目すべきポイント:委託先が運用していたシステム

この事件で特に注目すべきは、ベトナムの現地法人が顧客管理システムを運用していたという点です。つまり、本体企業ではなく委託先でのセキュリティ管理が問題になった可能性があります。

多くのWebサイト運営者も、サーバー管理やシステム開発を外部に委託しているはず。この事例は「委託先任せ」のリスクを如実に示しています。

※関連記事: 第三者提供とは？外部サービス利用時の個人情報保護対応

個人情報漏洩が起きたら?法律上の対応義務を知る

個人情報保護法で定められた報告義務

個人情報が漏洩した場合、令和4年4月から、個人の権利利益を害するおそれがあるときは個人情報保護委員会への報告と本人への通知が義務化されています 漏えい等報告・本人への通知の義務化について ｜個人情報保護委員会。これはWebサイト運営者にも当然適用されます。

主な義務は以下の2つです。

• 個人情報保護委員会への速報:漏洩を知った日から速やかに(概ね3〜5日以内に)報告 漏えい等報告・本人への通知の義務化について ｜個人情報保護委員会
• 本人への通知:情報が漏洩した可能性のある本人に対して、事態の状況に応じて速やかに事実関係と対応策を通知 個人情報保護委員会への漏えい報告義務があるのはどんな場合？ – BUSINESS LAWYERS

どんな場合に報告義務が発生する?

すべての情報漏洩が報告対象になるわけではありません。以下のような場合に報告義務が生じます。

• 要配慮個人情報(病歴、犯罪歴、健康診断結果など)が含まれる漏洩
• 財産的被害が生じるおそれがある情報(クレジットカード番号、ログインIDとパスワードの組み合わせなど)の漏洩
• 不正の目的で行われたおそれがある漏洩(不正アクセス、ランサムウェア、盗難など)
• 漏洩した個人データが1,000人以上

今回の関彰商事の事例では、最大1万6000件という規模から、明確に報告義務の対象になります。

根拠法令

• 個人情報保護法施行規則第7条

報告しないとどうなる?

報告義務を怠った場合、個人情報保護委員会から改善命令を受ける可能性があります。この命令に従わなかった場合、1年以下の懲役または100万円以下の罰金が科され、法人に対しては1億円以下の罰金が科される可能性があります 個人情報保護法に違反した場合の罰則は？企業や従業員個人へのペナルティを解説 | 電子契約サービス「マネーフォワード クラウド契約」。

また、報告義務違反に対しては50万円以下の罰金刑が科されます AuthenseAuthense。

「バレなければいい」という考えは通用しません。むしろ迅速な開示と対応が、企業やサイトの信頼を守る最善策です。

参考資料:

• 個人情報保護法第148条、第178条、第182条
• 個人情報保護委員会「個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか」: https://www.ppc.go.jp/all_faq_index/faq1-q11-1/

この事例から学ぶ、情報漏洩時の初動フロー

関彰商事はどう対応したか

今回の事例では、以下のような対応が取られました。

1. 外部からの指摘を受けて調査開始(2025年9月)
2. 不正アクセスの事実を確認
3. 個人情報保護委員会への報告
4. 対象となる顧客への個別通知を開始
5. 公式サイトでの事実公表

この流れ自体は、個人情報保護法のガイドラインに沿った標準的な対応と言えます。

あなたのサイトで漏洩が起きたら?初動の5ステップ

万が一、自社が運営するWebサイトで情報漏洩が疑われる事態が発生したら、以下の手順で動きましょう。

1. 事実確認と原因調査:システムログの確認、外部専門家への相談
2. 被害範囲の特定:何件の情報が、どの範囲で漏洩したか
3. 個人情報保護委員会への速報(該当する場合):概ね3〜5日以内に報告
4. 本人への通知:メール、郵送、サイト上での公表
5. 確報と再発防止策の実施:発覚日から30日以内(不正目的の場合は60日以内)に確報、脆弱性の修正

特に重要なのはスピードです。発覚から報告・通知までの時間が長いほど、信頼損失は大きくなります。

参考資料

• 個人情報保護委員会「個人情報保護法に基づく権限の行使」: https://www.ppc.go.jp/all_faq_index/faq1-q11-1/

委託先管理が甘いと危険!今すぐ確認すべきこと

なぜ委託先でのトラブルが多いのか

今回の事例のように、委託先や海外拠点でのセキュリティ管理が原因で情報漏洩が起きるケースは少なくありません。

理由は明確です。

• 委託先のセキュリティ基準が本体企業より低い
• 日常的な監視や監督が行き届かない
• 契約上の責任範囲が曖昧

「委託しているから安心」ではなく、「委託しているからこそリスクがある」という認識が必要です。

委託先との契約で確認すべき項目

自社がサーバー管理やシステム開発を外部に委託している場合、以下の点を契約書で確認してください。

• 個人情報の取扱いに関する条項:具体的な管理方法、アクセス権限の範囲
• セキュリティ基準の明記:暗号化、アクセスログ保存などの技術的措置
• インシデント発生時の報告義務:いつ、誰に、どう報告するか
• 責任範囲と損害賠償:漏洩時の責任の所在と賠償範囲

これらが曖昧なまま委託している場合、今すぐ契約の見直しを検討したほうがよさそうです。

参考資料

• 個人情報保護委員会「委託先管理に関する着眼点」: https://www.ppc.go.jp/personalinfo/legal/leakAction/

定期的な監査とチェックを怠らない

契約だけでは不十分です。委託先が実際にセキュリティ対策を実施しているか、定期的な監査やレビューを行うことが重要です。

具体的には以下を実施しましょう。

• 年1回以上のセキュリティチェック
• アクセスログの定期的な確認
• 委託先担当者との定例ミーティング

「任せきり」は最大のリスクです。

Webサイト運営者が今日からできる対策

自社サイトの脆弱性を今すぐチェック

情報漏洩は「いつか起きるかもしれない」ではなく、「いつ起きてもおかしくない」リスクです。以下の項目を今すぐ確認してください。

• WordPressなどCMSのバージョンは最新か
• プラグインやテーマに脆弱性報告が出ていないか
• SSL証明書は有効か
• 管理画面へのアクセス制限(IP制限、二段階認証)は設定済みか
• バックアップは定期的に取得しているか

セキュリティプラグインの導入も検討

WordPressを使用している場合、以下のようなセキュリティプラグインの導入も有効です。

• Wordfence Security:ファイアウォールとマルウェアスキャン
• iThemes Security:ログイン試行回数制限、二段階認証
• All In One WP Security & Firewall:総合的なセキュリティ対策

無料版でも基本的な保護機能は十分に使えます。

個人情報の「最小化」を意識する

そもそも、保有する個人情報を最小限にすることも重要な対策です。

• 本当に必要な情報だけを収集する
• 不要になった情報は速やかに削除する
• 匿名化できる情報は匿名化する

「持っていない情報は漏洩しない」というシンプルな原則も忘れずに！

※参考記事：WordPressサイトの個人情報保護対応チェックリスト

まとめ:情報漏洩は「もしも」ではなく「いつか」の問題

今回の関彰商事グループの事例から学ぶべきポイントを整理します。

• 個人情報漏洩時には法的報告義務が発生:速報は概ね3〜5日以内、確報は30日以内に個人情報保護委員会への報告と本人通知が必須
• 報告義務違反には厳しい罰則:命令違反で最大1億円の罰金(法人)、報告義務違反で50万円以下の罰金
• 委託先管理が最大のリスク:契約内容の確認と定期的な監査が不可欠
• 初動の速さが信頼を左右する:発覚から報告・通知までのスピードが重要

情報漏洩は、大企業だけの問題ではありません。個人が運営する小規模サイトでも、顧客情報を扱う以上、同じ責任が発生します。

「うちは小さいから大丈夫」という油断が、取り返しのつかない信頼損失につながります。この記事をきっかけに、今日から自社サイトのセキュリティ体制を見直すことをおすすめします。

参考リンク

• 個人情報保護委員会「漏えい等報告・本人への通知の義務化について」: https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
• 個人情報保護委員会「漏えい等の対応とお役立ち資料」: https://www.ppc.go.jp/personalinfo/legal/leakAction/
• 個人情報保護委員会「個人情報保護法ガイドライン」: https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
• 日本経済新聞「関彰商事の関連企業で個人情報漏洩」: https://www.nikkei.com/nkd/industry/article/?DisplayType=1&n_m_code=154&ng=DGXZQOCC1071L0Q5A011C2000000