海城中学高等学校(校長:大迫弘和氏)は6月8日、卒業アルバム制作を委託する株式会社トーコロから、写真販売の再委託先であるインターネット写真販売サービス「はいチーズ!」(千株式会社運営)で外部からの不正アクセスによる個人情報漏えいの可能性があるとの報告を受けたと発表した。今年3月に同校を卒業した卒業生と保護者が対象で、氏名や住所、電話番号、学校名が漏えいした恐れがある。現時点で二次被害は確認されていないという。
3行要約
見出し
何が起きた:千株式会社が運営する学校写真販売サービス「はいチーズ!」で外部からの不正アクセスが発生。海城中高は卒業アルバム委託先のトーコロを経由して該当サービスを利用していた。
影響:2026年3月の同校卒業生・保護者のうち、卒業式の写真を同サイトで購入した利用者の氏名、住所、電話番号、学校名が漏えいした可能性がある。クレジットカード情報、パスワード、メールアドレス、写真データは漏えいしていないと運営会社が説明。
対応:運営会社が漏えい可能性のある利用者に順次個別連絡。専用ダイヤルとFAQページを開設した。同校もウェブサイトで卒業生・保護者向けに注意喚起した。
わかっていること/わかっていないこと
わかっていること
・漏えいの可能性がある情報は、注文に紐づく購入者の氏名、住所、電話番号、学校名。
・クレジットカード情報、パスワード、メールアドレス、写真データの漏えいは確認されていない。
・現時点で本件に起因する二次被害は確認されていない。
・対象となる利用者には運営会社から順次個別連絡が届く。
・海城中高は卒業アルバム委託先のトーコロから報告を受けて事案を把握。
・運営会社は個人情報保護委員会および警察への報告を完了したと説明している。
・サービスは安全対策完了後に再開済み。
わかっていないこと
・不正アクセスの侵入経路と手口。
・漏えいした可能性のある件数と範囲。
・不正アクセスの発生・検知時期。
・海城中高以外で影響を受けた学校・利用者の範囲。
・サービスの停止期間の詳細。
二次再委託先で発覚した漏えい
同校の発表によると、卒業アルバムの制作はトーコロに委託している。トーコロはスナップ写真等の販売を「はいチーズ!」に委託しており、この「はいチーズ!」で不正アクセスが発生したという。同校は委託・再委託の関係から直接被害を受けたわけではないが、卒業生・保護者が同サイトで卒業式の写真を購入した可能性があるため、注意喚起の目的で公表に踏み切った。
運営する千株式会社の説明では、漏えいした可能性があるのは「一部の注文内容に紐づく」購入者の情報。一方、クレジットカード情報はサービス側で非保持のため安全とされ、パスワード、メールアドレス、写真データの漏えいも否定された。
二次被害は未確認も、なりすまし注意喚起
運営会社は現時点で本件に起因する二次被害は確認されていないとしている。ただ、漏えいした可能性のある情報には自宅住所と電話番号が含まれることから、本件に関係するように装った不審な電話、郵便物、SMS等に注意するよう呼びかけた。運営会社から金銭やカード情報を求めることは一切ないという。
また、他のインターネットサービスでパスワードを使い回している場合は、念のため他サービス側のパスワードを変更するよう推奨した。本件でパスワード自体は漏えいしていないが、一般的なリスト型攻撃への備えとして注意を促した形だ。
専用窓口を開設
千株式会社は「はいチーズ!フォト個人情報に関する専用ダイヤル」(電話050-1745-2468、受付時間10時〜17時)を開設した。よくある質問・お問い合わせフォーム(https://help.8122.jp/)も公開しており、自身の情報が対象かどうかの確認や会員登録の削除依頼を受け付けている。
学校写真販売、多段委託の経路で判明
「はいチーズ!」は千株式会社が運営する学校行事向け写真販売プラットフォームで、幼稚園・保育園・小中高校で広く利用されている。学校行事写真の販売事業は、撮影を担うカメラマン、印刷会社、卒業アルバム制作会社、販売プラットフォームなど多段の委託構造を取ることが多く、エンドの教育機関から見ると委託先・再委託先での事故が経路をたどって判明するケースが少なくない。
海城中高は今回、卒業アルバムの制作委託先であるトーコロから報告を受ける形で事案を把握した。卒業生・保護者に対しては運営会社が公開するFAQと専用窓口を案内するとともに、個別連絡が届いていない場合は対象外であるとの説明を加えている。
事案のタイムライン
発生日
公表されていない。「はいチーズ!」運営の千株式会社は不正アクセスの発生日時を明らかにしていない。
検知
公表されていない。検知日時および検知の経緯は明示されていない。
外部委託元への報告
具体的日付は非開示。千株式会社からトーコロ、トーコロから海城中高への一連の報告が6月8日の公表に先立って行われたとみられる。
関係者への報告・公表
2026年6月8日、海城中高が卒業生・保護者向けに本件を公表。
監督官庁への通報
運営の千株式会社は、個人情報保護委員会および警察へのしかるべき報告を完了したと公式FAQで説明している。