ユナイテッドアローズ 元従業員の退職時データ持ち出しで取引先約1万人の個人情報が漏えい
ユナイテッドアローズ 元従業員の退職時データ持ち出しで取引先約1万人の個人情報が漏えい
見出し
アパレル大手の株式会社ユナイテッドアローズ(東京都渋谷区)は2026年3月16日、2025年12月末に退職した元従業員が、社内クラウドシステムの外部連携機能を利用して広報・PR活動に関わる取引先の個人情報約1万件を持ち出したと発表した。漏えいを確認したのは同年1月6日で、外部機関による調査の結果、第三者への流出や当該情報の不正利用は確認されていないとしている。
一次情報:株式会社ユナイテッドアローズ公式発表(https://www.united-arrows.co.jp/news/15175/)
【3行要約】
何が起きた:2025年12月退職の元従業員が、クラウドサーバーの外部連携機能を利用して取引先リスト等を個人端末に持ち出した
影響:広報・PR取引先約1万人分の氏名・勤務先・メールアドレス等が漏えい
対応:外部機関による端末調査、警察への相談、個人情報保護委員会への報告を実施。情報削除対応中
わかっていること・わかっていないこと
✓ わかっていること
- 元従業員(2025年12月31日付退社)が退職前にクラウドサーバーの外部連携機能でデータをアップロードし、個人メールへのリンクを送付した
- 退職後の2026年1月4日、元従業員が外部PCに当該データをダウンロードした
- 漏えいした情報は氏名、勤務先企業名、所属部署、部署電話番号、メールアドレス、事業場住所、事業用電話番号(約1万人分)
- 元従業員への事情聴取で事実を認めた
- 外部機関の調査により、貸与PCおよび元従業員個人PCでの情報使用実績がないことを確認
- 転職先は漏えいへの関与なし、持ち出し情報の使用もなしと確認
- 2026年1月19日に警察へ相談済み
- 2026年3月9日付で個人情報保護委員会へ報告済み
わかっていないこと
- 転職先PCからの外部流出の有無(調査継続中)
- 情報持ち出しの目的・動機の詳細
- 漏えい対象者ごとの具体的な情報項目(氏名以外は個人により異なるとされている)
発覚の経緯と調査の流れ
ユナイテッドアローズによると、2025年12月31日付で退職した元従業員が、在職中に社内のクラウドサーバーシステムが持つ外部連携機能を利用して電子データを外部にアップロードし、退職直前に個人のメールアドレス宛てにそのリンクを送付していたことが2026年1月6日に判明した。データのダウンロード自体は退職後の1月4日に実行されており、持ち出しは退職処理の完了後に行われていた。
翌7日、同社は元従業員と直接面談して事情を聴取し、行為の事実を本人が認めた。同社はその後、元従業員に貸与していたPCと元従業員の個人PCの計2台を外部機関に提出して調査を実施した。1月9日には転職先と面談を行い、転職先に支給されたPCの挙動調査とデータ調査への協力を取り付けた。転職先については漏えいへの関与がないことを確認した。
漏えい情報の内容と規模
持ち出されたのは、同社の広報・PR活動に係る取引先リストや関連資料の一部で、含まれる個人情報は氏名、勤務先企業名、所属部署、所属部署の電話番号、メールアドレス、事業場の住所、事業用電話番号とされる。対象者は約1万人で、氏名以外の項目については個人によって内容が異なるという。
外部機関による調査は2026年2月27日に結果が出て、貸与PCおよび個人PCのいずれにおいても元従業員が当該データを使用した実績はなく、元従業員以外の第三者がデータを閲覧できる状態にもなかったことが確認された。転職先のPCについても外部への流出可能性は低いとの見解が示されたが、調査は継続中だとしている。
原因と再発防止策
同社は今回の原因として、元従業員が取引情報と個人情報の重要性を十分に認識していなかったこと、加えて同社側で情報の外部持ち出しを防ぐシステム上の措置が不十分だったことを挙げた。今後はアクセス制限を含むセキュリティ強化、監視体制の見直し、従業員教育の徹底によって再発防止を図るとしている。
問い合わせ窓口として専用メールアドレス(privacy-support@united-arrows.co.jp)を設置しており、影響を受ける取引先からの連絡に対応する。同社は現在、該当PCを含む全端末から当該情報の削除対応を進めている。
タイムライン
| 日付 | 出来事 |
|---|---|
| 2025年12月31日 | 元従業員が退職。退職前にクラウドサーバーからデータをアップロードし、個人メールにリンクを送付 |
| 2026年1月4日 | 元従業員が退職後に外部PCへデータをダウンロード(持ち出し実行) |
| 2026年1月6日 | 不正持ち出しが判明 |
| 2026年1月7日 | 元従業員への対面事情聴取を実施、事実を確認。貸与PCと個人PCの計2台を外部機関に調査依頼 |
| 2026年1月9日 | 転職先と面談、転職先PCの調査協力を取り付け。転職先の無関与を確認 |
| 2026年1月19日 | 警察へ相談(3月17日の情報更新で公表) |
| 2026年2月27日 | 外部機関による調査結果が判明。対象PCでの情報使用実績なし、第三者閲覧の可能性なしを確認 |
| 2026年3月9日 | 個人情報保護委員会へ報告 |
| 2026年3月16日 | 公式発表 |
| 2026年3月17日 | 情報更新(警察相談日の追記) |
関連記事
ギター・マガジンWEB 不正アクセスで記事ページ改ざん 外部サイトへ…
ネクストエナジー・アンド・リソース ウェブサイトに第三者攻撃 ページ…
道路工業 ファイル共有サーバーに不正アクセス 取引先担当者情報が漏洩…
BEENOS子会社「セカイモン」に不正アクセス 2007年以降の全会…
マイナビ 利用クラウドサービスに不正アクセス ユーザーと取引先情報が…
ガーラ湯沢 不正アクセスで最大1,518人の氏名流出の可能性 ネット…
ワシントンホテル ランサムウェア被害で業務データに不正アクセス 情報…
日本医科大学武蔵小杉病院 ランサムウェア攻撃で患者約1万人分の個人情…
資生堂オンラインストア 第三者による不正ログインの疑い 問い合わせ増…
ロジックベイン FW脆弱性突かれVPN経由で不正侵入 顧客のIPアド…
ジーオーティー 読者アンケートから個人情報流出の可能性 約9年分のデ…
インテグラル ホームページに不正アクセス 最大5,441件の個人情報…
新光商事の米国現地法人がランサムウェア被害 日常業務への支障なし 情…
パッケージショップJP運営の山元紙包装社 約4千件の個人情報漏洩か …
新横浜グレイスホテル Booking.com経由で不正アクセス Wh…
ジャストカーテン運営インテリックス 不正アクセスで約6万件の個人情報…
カテゴリ:セキュリティニュース
タグ:
クレジットカード情報詐取狙うフィッシングサイト、13社共同で閉鎖拡大へ 報告件数半減目指す
日本のメール暗号化市場、2030年までに約5億6,340万米ドル規模に拡大か――規制強化と技術革新が牽引