カーシェア・つくば、委託先のランサム被害で利用者情報漏えいか

ユーピーアール株式会社が運営するカーシェアリングサービス「カーシェア・つくば」は4月22日、コールセンター業務の委託先である日本テレネット株式会社のサーバーがランサムウェア型サイバー攻撃を受け、利用者の氏名、電話番号、対応履歴が漏えいした可能性があると公表した。クレジットカード情報や運転免許証など決済・身分証明に関する情報は対象に含まれないとしている。現時点で情報の悪用は確認されていないという。

【重要】弊社委託先コールセンターへの不正アクセスに関するお詫びとご報告 | カーシェア・つくばより引用

3行要約

見出し

1 3行要約
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと
3 経緯
4 漏えいのおそれのある情報
5 同社の対応
6 背景
7 判断逆転の論点
8 タイムライン

・何が起きた：コールセンター業務委託先のサーバーがランサムウェア攻撃を受け、カーシェア・つくばの委託業務関連データが漏えいした可能性が浮上した。

・影響：過去にコールセンターへ電話した利用者の氏名、電話番号、対応履歴が閲覧されたおそれがある。

・対応：個人情報お問い合わせ窓口を設置し、対象者の特定に向けた調査を委託先と継続している。

わかっていること／わかっていないこと

わかっていること

・委託先である日本テレネット社のサーバーがランサムウェア型サイバー攻撃を受けたこと。

・漏えいのおそれがある情報は「氏名」「電話番号」「対応履歴」の3項目であること。

・クレジットカード情報や運転免許証は、委託先に保存できない仕組みであること。

・現時点で個人情報の漏えい・悪用の事実は確認されていないこと。

わかっていないこと

・漏えいの可能性がある対象者の範囲と件数。

・委託先サーバーへの侵入経路や攻撃の詳細。

・当初「漏えいのおそれなし」とした調査結果が、約3週間後に「漏えいのおそれあり」へと覆った具体的な根拠。

・流出データの公開・流通有無。

経緯

ユーピーアールによると、日本テレネットでは3月9日にシステム障害が発生した。日本テレネットは3月17日、攻撃を受けたサーバーとカーシェア・つくばの委託業務関連データは別サーバーで管理されていたとして、漏えいのおそれはないとユーピーアールに当初報告したという。

しかし、その後の調査で状況が一変。4月8日、委託業務関連データが漏えいしたおそれがあるとの新たな報告が日本テレネットからユーピーアールに寄せられた。ユーピーアールはこれを受け、4月22日に「カーシェア・つくば」公式サイトで利用者向けに公表した。

漏えいのおそれのある情報

漏えいした可能性がある情報は、過去にカーシェアリングサービスに関してコールセンターへ電話した利用者の「氏名」「電話番号」「対応履歴」の3項目。クレジットカード情報や運転免許証など決済・身分証明にかかわる情報については、委託先である日本テレネットの仕組み上、そもそも保存されない構成になっていると同社は説明している。

ただし、漏えいのおそれがある人数や具体的な件数については、現時点で公表されていない。

同社の対応

ユーピーアールは現在、日本テレネットとともに漏えいの可能性がある対象者および対象情報の特定を進めている。漏えいの可能性が確認された利用者には順次連絡するとし、個別連絡が困難な場合は今回の公表をもって連絡に代えるとしている。

問い合わせ窓口として「個人情報お問い合わせ窓口」（電話050-3207-1510、受付は平日午前9時～午後5時、土日祝を除く）を設けた。新たな事実が判明した場合は改めて報告するとしている。

背景

カーシェア・つくばは、ユーピーアールが茨城県つくば市周辺で展開するカーシェアリングサービス。今回のインシデントは、サービス提供事業者本体ではなく、業務委託先のコールセンター事業者が直接の被害者となったケースだ。委託元として顧客対応や情報開示を担う構図で、委託先で発生したセキュリティ事故が委託元の顧客情報にまで波及した形となる。

業務委託先で発生したサイバー攻撃により委託元の顧客情報が影響を受ける事案は、近年のサプライチェーン型リスクの典型例として相次いでおり、委託先のセキュリティ管理と契約上の通知義務のあり方が改めて問われそうだ。

判断逆転の論点

注目されるのは、当初の「漏えいのおそれなし」から「漏えいのおそれあり」へと、約3週間で報告内容が覆った点である。委託先側の当初説明は「攻撃を受けたサーバーと当社業務関連データは別サーバー」という趣旨だったが、その後の追加調査でなぜ判断が変わったのか、現時点では公表されていない。委託元・委託先双方による続報が求められる。

タイムライン

2026年3月9日（月）：日本テレネット社でシステム障害が発生。

2026年3月17日（火）：日本テレネット社が当初の調査結果として「別サーバー管理のため漏えいのおそれなし」とユーピーアールへ報告。

2026年4月8日（水）：日本テレネット社が「委託業務関連データが漏えいしたおそれあり」との新たな調査結果をユーピーアールへ報告。

2026年4月22日（水）：ユーピーアール株式会社が「カーシェア・つくば」公式サイトで公表。問い合わせ窓口を設置。