ゲームソフトを手掛ける株式会社ビジュアルアーツは2026年6月4日、第三者の不正アクセスにより、社内ポータルで利用するクラウドストレージから個人情報を含む社内情報が外部に持ち出された可能性があると発表した。発覚の契機は、発売前のゲーム「anemoi」のマスターデータが海外Webサイトに無断で公開されているのを4月19日に確認したこと。漏えいの可能性がある個人情報は顧客や取引先、採用応募者、従業員などあわせて約1万3千件超に及ぶ。マイナンバーや本人確認書類の画像データも一部含まれるという。同社は個人情報保護委員会へ速報を提出し、公式通販サイト「VA STORE」の新規注文受付を一時停止した。
3行で見る本件
見出し
何が起きた/クラウドストレージの認証情報が第三者に窃取され、社内情報と個人情報が外部に持ち出された可能性がある。
影響/顧客・取引先・採用応募者・従業員ら約1万3千件超の個人情報が漏えい可能性。マイナンバーを含む個人取引先に関する情報が約484件、従業員(退職者含む)約114件にもマイナンバーが含まれ、従業員分には本人確認書類画像の一部も含まれる。
対応/個人情報保護委員会へ速報報告、VA STOREの新規注文を一時停止。認証方式の抜本見直しと24時間監視体制の整備に着手する。
わかっていること/わかっていないこと
わかっていること
・2026年4月19日、発売前のゲーム「anemoi」のマスターデータが海外Webサイトに無断アップロードされているのを同社が確認した。
・社内ポータルで利用するクラウドストレージの認証情報が第三者に窃取された痕跡がある。
・漏えい可能性のある個人情報は計約1万3千件超で、マイナンバーを含む個人取引先に関する情報が約484件、従業員約114件にもマイナンバーが含まれ、従業員分には本人確認書類画像の一部も含まれる。
・2026年5月11日、個人情報保護委員会へ速報を提出した。
・公式通販「VA STORE」の新規注文受付を一時停止した。
わかっていないこと
・認証情報の窃取手段や具体的な侵入経路は調査中。
・漏えい件数・対象者数の最終確定。同社は「現在も調査中」としている。
・マスターデータ以外の情報が外部サイトで公開・拡散されているかは現時点で確認されていないが、否定もされていない。
・流出情報の悪用による二次被害は現時点で確認されていない。
クラウドの認証情報窃取が発端
同社の発表によると、4月19日に発売前のゲーム「anemoi」のマスターデータが許諾なく海外サイトに公開されているのを確認した。原因を調べる過程で、社内ポータルで利用するクラウドストレージの認証情報が第三者に窃取され、保存されていたマスターデータを含む社内情報が外部に持ち出された可能性が高いと判明したという。
同社は本件を不正アクセスによる情報漏えい事案と認識し、5月11日に個人情報保護委員会へ速報を提出した。今後も関係省庁への報告を続ける方針だとしている。
個人取引先と従業員のマイナンバーが対象、本人確認書類画像も含む
漏えいの可能性がある情報の内訳は次のとおり。
個人客に関する情報は、氏名(ハンドルネーム含む)とメールアドレスが約6,017件、氏名・住所・電話番号・メールアドレスが約2,626件。個人取引先に関する情報は約1,859件、マイナンバーを含む個人取引先に関する情報は約484件。法人取引先の担当者情報が約1,452件、採用応募者が約1,007件、退職者を含む従業員が約114件で、従業員分にもマイナンバーが含まれるほか、生年月日や本人確認書類画像の一部も対象に含まれる。
合計で約1万3千件超に上るが、同社は「件数・対象者数については現在も調査中」とし、判明次第改めて公表するとしている。
VA STORE新規注文を停止、二次被害は確認なし
現時点で、マスターデータ以外の情報が外部サイトに公開・拡散された事実や、流出情報を利用した二次被害は確認されていないという。同社は監視を継続するとしている。
公式通販サイト「VA STORE」(va-store.jp)は、新たに顧客の個人情報を預かることになるため、安全性が確認されるまで新規注文の受付を停止する。再開はセキュリティ監視体制の整備と従業員教育の完了後に改めて案内するとした。
再発防止策に認証方式の抜本見直し
同社は再発防止策として、社内システムへのアクセス権限と認証方式の抜本的な見直し、外部専門機関による24時間監視体制の確保、クラウドサービスを含む社内システム全体の不審アクセス検知・監視体制の整備、全従業員を対象とした情報セキュリティ教育の強化を挙げた。
問い合わせ窓口としてフリーダイヤル「0120-82-7085」(平日10〜18時)とメールアドレス「contact.privacy@visual-arts.jp」を設けた。対象となる可能性がある人には個別通知を順次送付するとしている。
背景 クラウド認証情報の窃取が拡大
SaaSやクラウドストレージの認証情報を狙う攻撃は国内外で増加している。情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威」でも、クラウドサービスを狙った攻撃や認証情報の不正利用は組織向けの主要脅威として継続的に挙げられている。
ゲーム業界では、開発中タイトルのデータや内部資料が攻撃者の標的になりやすい。今回は、開発タイトルの先行流出が侵入発覚の契機となった点で、開発資産と個人情報の双方が同時に侵害される構造的リスクを改めて浮き彫りにした形だ。
タイムライン
不正アクセス発生日:未公表(調査中)
2026年4月19日(検知):海外Webサイトに発売前のゲーム「anemoi」のマスターデータが無断公開されているのを確認。
2026年5月11日(通報):個人情報保護委員会へ速報報告を提出。
2026年6月4日(公表):不正アクセスによる情報漏えいの可能性についてプレスリリースを公開。