損保ジャパン、システムに対する不正アクセス発生、情報漏えいの可能性について（第2報）

損保ジャパンは、同社システムに対する不正アクセスの発生およびお客さまの情報の一部が外部に漏えいした可能性について4月25日に公表した。その後、調査を進め、現時点で判明している内容を公表した。
専門業者によるフォレンジック調査の結果、2025年4月17日から4月21日までの期間、損保ジャパンのシステムに侵入した第三者がお客さまに関する情報にアクセスできる状態になっていたと推測され、情報が外部に漏えいした可能性が否定できないことが判明した。
なお、現時点では、本件によりお客さまの情報が外部に漏えいした事実および不正利用された事実は確認されていない。
SOMPOホールディングスおよび損保ジャパンでは、お客さまの大切な情報を預かる責任ある企業として本件を重く受け止め、セキュリティ対策の徹底を図り再発防止に全力を尽くしていく。
【損保ジャパン】
■システム不正アクセスの発生及び情報漏えいの可能性について（第2報）
1．概要
同社内のWebシステム（各種指標管理を主としたサブシステムである。）が第三者により不正にアクセスされたことを、4月21日に確認した。第1報で案内のとおり、すでに外部からのアクセスを遮断する措置を実施済みである。
専門業者によるフォレンジック調査の結果、4月17日から4月21日までの期間、外部から侵入した第三者がお客さまに関する情報にアクセスできる状態になっていたと推測され、外部に漏えいした可能性が否定できないことが判明した。
本件については、すでに所管警察署へ不正アクセスの発生を申告し、事件相談として受理されている。なお、現時点では、本件によるお客さまの情報が外部に漏えいした事実及び不正利用された事実は確認されていない。
2．外部から閲覧されたおそれ、または漏えいの可能性があるデータ件数
外部から閲覧されたおそれ、または漏えいの可能性のあるデータ件数は以下のとおりである。当該件数には重複している可能性のあるデータも含まれる。
（1）お客さま関連のデータ
・「氏名」及び「連絡先（住所や電話番号、メールアドレス）」及び「証券番号（事故番号が含まれている場合がある。以下同じ）」が記載されたデータ　約337万件
・「氏名」及び「証券番号」が記載されたデータ（「連絡先」は無し）　約187万件
・「連絡先」及び「証券番号」が記載されたデータ（「氏名」は無し）　約119万件
・上記以外（氏名のみ、住所のみなど）が記載されたデータ※　約83万件
（2）代理店関連のデータ※：約178万件
上記の他、同社のデータベースと照合しなければ個人を特定することができない、証券番号や事故番号（お客さまが保険金請求手続き等に利用される番号）のみのデータが約844万件ある。
※外部から閲覧されたおそれ、または漏えいの可能性のある情報の項目は次のとおりである（すべての情報が同一ファイルで閲覧可能な状態となっていたものはない）。
・お客さま関連：氏名、生年月日、性別、住所、電話番号、メールアドレス、保険料支払口座情報（1,638件）、証券番号・事故番号、被保険者名
・代理店関連：保険募集人氏名、募集人ID、生年月日（9,366件）
（注）マイナンバーカード及びクレジットカード情報は含まれていない。
3．再発防止策
不正侵入の検知後は、Webシステムを停止し、ネットワーク遮断等の初動対応を即座に実施している。当該システムは独立して稼働するWebシステムであり、他システムへの影響はないことを確認した。
また、以下の確認、対策を既に実施している。
・他システムに同様の脆弱性がないこと
・Webサイトの不正アクセスの監視強化
同社は、お客さまの大切な情報を預かる責任ある企業として本件を重く受け止め、セキュリティ対策の徹底を図り再発防止に全力を尽くしていく。
4．対象のお客さまへの案内について
情報が漏えいした可能性のあるお客さまに対しては、順次、個別に連絡する。