出典:中国電力株式会社 当社の社内ネットワークへの不正アクセスによる社員等の情報流出の可能性について(2025年4月25日)
こんにちは。今日は、中国電力グループの一部で発生した社内ネットワークへの不正アクセスと、1万5千人以上の個人情報流出の可能性について取り上げます。
このニュースを通じて、次のような疑問に答えていきます:
- なぜ「個人情報保護委員会」に報告するの?
- どうやって「不正アクセスされた」と判断できるの?
■ 何が起きたのか?
2025年4月21日、中国電力および中国電力ネットワークで使用されている社内接続機器に対し、不正なアクセスがあったことが検知されました。
その結果、次のような情報が外部に流出した可能性があると発表されています:
- 氏名
- 業務用メールアドレス
- ユーザーIDと高度に暗号化されたパスワード
流出の対象は、現職の社員だけでなく、退職者や委託先の関係者も含む約1万5千人にのぼります。
なお、一般の顧客情報や電力供給システムには影響はないとのことです。
■ どうして「個人情報保護委員会」に報告したの?
個人情報が漏えいした、あるいは漏えいした可能性がある場合、事業者には国の「個人情報保護委員会」に報告する義務があります(個人情報保護法第26条などに基づく)。
● 報告が必要なケースとは?
たとえば以下のような場合です:
- 漏えいした情報に氏名や連絡先、ログイン情報などが含まれている
- 不正アクセスや設定ミスなどの外部要因で情報が流出した可能性がある
- 15,000人規模以上のように、被害範囲が大きい
- 被害者にとって被害のリスクが高いと判断される場合
つまり今回のようなケースは、「報告すべき重大な事案」に該当するのです。
■ どうやって「不正アクセスされた」とわかるの?
企業が「不正アクセスがあった」と判断するためには、次のような技術的な痕跡(ログ)を確認しています。
● 主な見極めポイント
- 通常ではありえない接続元(海外など)からのアクセス
- 未承認のIPアドレスやアカウントからのログイン履歴
- 大量のデータが短時間でアクセス・転送された履歴
- 通常では実行されない設定変更やファイル操作の記録
今回も、「社外からの不正な接続」が検知された直後に、接続機器をネットワークから切り離し、調査を行った結果、個人情報が含まれるシステムが影響を受けていたことが判明しています。
■ 一般の私たちに関係あるの?
今回の事案では、対象は社員や委託先関係者で、一般の利用者の情報は含まれていません。
しかし、企業のこうした発表は、私たちにもセキュリティ意識を高めるヒントになります。
■ もし自分が関係者だったら、どうすれば?
- パスワード変更の案内が届いたら、すぐに変更を
- 同じパスワードを他のサービスでも使っていた場合は、そちらも変更を
- 不審なメールやSMS、なりすまし電話には応じない
「名前・メールアドレス・ID」という“連絡できる情報”が漏れていると、標的型メールやフィッシング詐欺のリスクが高まります。
■ まとめ:報告は義務、対応は責任、意識はあなたの防御力
今回のようなセキュリティインシデントが起きたとき、企業は国へ報告する義務を果たし、関係者への対応を進めます。
同時に、私たち自身も「なぜこうした情報が大切なのか」を理解し、万が一のときに備える心構えを持つことが大切です。
それでは、また次回の「Today’s Security」でお会いしましょう。正しい情報を味方にして、安全なデジタル生活を。
コメント