大和リース、Dシェア専用フリーダイヤルへ電話した人の個人情報に漏えいの恐れ　再委託先が受けたサイバー攻撃で

大和リース株式会社は2026年4月23日、カーシェアリングサービス「Dシェア」専用フリーダイヤルへ電話した人の個人情報が漏えいした可能性があると発表した。コールセンター業務の委託先であるユーピーアール株式会社の再委託先、日本テレネット株式会社が外部からのサイバー攻撃を受けたためだ。対象はDシェア専用フリーダイヤルへ電話した人で、氏名・電話番号・対応履歴が流出した恐れがあるとしている。同社は、対象者を特定でき次第、順次連絡する方針だ。

＜重要＞Dシェア（カーシェアリングサービス）業務委託先に対する不正アクセスによる個人情報の漏えいの可能性に関するご報告とお詫びより引用

要点（3行要約）

見出し

1 要点（3行要約）
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと
3 委託の先で発覚した連鎖的な情報漏えい
4 漏えいの可能性がある情報
5 サプライチェーンのリスクが改めて浮き彫りに
6 問い合わせ窓口
7 タイムライン

何が起きたか：再委託先の日本テレネットへの不正アクセスにより、Dシェアの委託業務関連データが漏えいした可能性が判明した。

影響：Dシェア専用フリーダイヤルへ電話した人の氏名・電話番号・対応履歴が対象。クレジットカード情報や運転免許証情報は当該サーバーに保管されておらず、漏えいの可能性はないとしている。

対応：大和リースはユーピーアールとともに継続調査を進め、対象者へ順次連絡する。現時点で悪用事実は確認されていない。

わかっていること／わかっていないこと

わかっていること

・2026年3月9日に日本テレネットでシステム障害が発生し、外部からのランサムウェア型サイバー攻撃によるものと判明した。

・漏えいの可能性がある情報は、Dシェア専用フリーダイヤルへ電話した人の「氏名」「電話番号」「対応履歴」の3項目。

・クレジットカード情報および運転免許証情報は、当該サーバーに保管されておらず漏えいの可能性はないとしている。

・現時点で、個人情報が漏えい・悪用された事実は確認されていない。

・日本テレネットは、個人情報保護委員会および京都府警察等関係当局への報告を公表している。

わかっていないこと

・漏えいの可能性がある個人情報の具体的な件数。

・日本テレネットへの侵入経路、ランサムウェアの詳細、攻撃者の属性。

・当初「漏えいなし」としていた初期調査結果が、どの時点・どの証跡で覆ったのかという詳細な経緯。

・大和リースとしての個人情報保護委員会への報告や警察への通報の有無は、同社リリースでは明示されていない。

委託の先で発覚した連鎖的な情報漏えい

大和リースは、Dシェア運営に用いるカーシェアリング支援システムと、コールセンター業務をユーピーアールに委託している。そのユーピーアールは、関連業務の一部を日本テレネットに再委託していた。今回、攻撃を受けたのはその再委託先の日本テレネットだ。

ユーピーアールによれば、3月9日に日本テレネットで発生したシステム障害について、3月17日時点では「不正アクセスを受けたサーバーと委託業務関連データは別サーバーで管理されているため、データ漏えいはない」との報告を受けていたという。しかし継続的な調査の結果、「委託業務関連データが漏えいした可能性がある」との結論に変わり、同社は4月13日に大和リースへ報告した。大和リースはその後の整理を経て、4月23日に公表する形となった。

漏えいの可能性がある情報

大和リースが公表した漏えいの可能性がある情報は、Dシェア専用フリーダイヤルへ電話した人の「氏名」「電話番号」「対応履歴」の3項目だ。対象となる具体的な件数は、現時点で明らかにされていない。

一方、クレジットカード情報や運転免許証情報は該当サーバーに保管しておらず、漏えいの可能性はないとしている。また、個人情報が漏えい・悪用された事実も現時点で確認されていないという。

サプライチェーンのリスクが改めて浮き彫りに

今回の事案は、発注元（大和リース）→ 委託先（ユーピーアール）→ 再委託先（日本テレネット）という3層構造のサプライチェーンの末端が攻撃を受け、元請け側のデータにまで影響が及んだ構図だ。委託先が業務の一部を再委託するのは珍しくないが、再委託先のセキュリティ水準やインシデント対応の可視化は発注元から遠くなりがちで、今回のように初期調査では「漏えいなし」とされた判断が、継続調査で覆る例も目立つ。問い合わせ窓口のような外部接点の業務ほど、保有する情報が直接的な連絡手段につながるため、二次被害への警戒も欠かせない。