メールアドレスが漏れた、だけではない。銀行口座情報や健康情報まで外部に取得されたおそれがある。
電子部品大手の村田製作所は2026年4月27日、社内のIT環境への不正アクセスに関する第三報を公表し、顧客・仕入先など社外関係者や従業員、その家族、退職者などの個人情報を含むデータ約8万8000件が外部に取得された、または取得されたおそれがあると明らかにした。
村田製作所は東証プライム上場企業で、証券コードは6981。セラミックコンデンサなどを手がける電子部品メーカーとして、スマートフォンや自動車、電子機器のサプライチェーンにも関わる企業だ。今回の事案で同社は、生産・販売活動への影響はないとしている。一方で、情報の中身を見ると、単なる連絡先流出とは別の重さがある。
何が流出したおそれがあるのか
村田製作所の発表によると、不正アクセスにより取得された、または取得されたおそれがある個人情報は大きく2つに分かれる。
ひとつは、顧客や仕入先など社外関係者の情報だ。件数は約1万5000件で、氏名、メールアドレス、電話番号などの連絡先のほか、村田製作所との取引に関連して受領した情報が含まれる。
もうひとつは、従業員、その家族、退職者など会社関係者の情報だ。件数は約7万3000件で、氏名、生年月日、性別、住所、連絡先、銀行口座情報、健康情報、人事・労務・福利厚生に関する情報などが含まれる可能性がある。
ただし、約8万8000件は「人数」ではなくデータ件数だ。村田製作所は、同一人物の情報が複数回算入されている可能性があるとしている。また、列挙された情報のすべてが、対象者全員について取得されたわけではない。
個人情報以外にも、一部取引先との請求書、契約書、売上に関する情報が外部に取得されたおそれがある。同社は二次被害防止の観点から、詳細は公表していない。
銀行口座・健康情報が含まれる重さ
メールアドレスや電話番号だけでも、フィッシングメールや不審な電話の入口になり得る。しかし、銀行口座情報や健康情報が含まれる場合、被害の受け止め方はさらに重くなる。
村田製作所は、今回の事案に伴う影響として、第三者によるなりすまし、フィッシングメール、SMSを使った標的型攻撃などの可能性に注意を促している。銀行口座情報が含まれる対象者は、給与や支払い、手続きの確認を装う連絡に特に注意が必要となる。
健康情報は、本人の生活やプライバシーに深く関わる情報だ。具体的にどの種類の健康情報が対象になったかは公表されていないが、外部に知られること自体が心理的な負担になり得る。情報漏えいの深刻度は、件数だけでは測れない。
4月27日時点で、村田製作所は流出情報がインターネット上に公開された事実、二次被害、不正利用を確認していないとしている。ただ、情報がすぐに悪用されない場合でも、時間を置いて不審な連絡や標的型の詐欺に使われる可能性は残る。対象者への個別連絡と継続的な注意喚起が重要になる。
生産・販売活動への影響とは切り分けて見る必要がある
今回の事案では、村田製作所の事業活動への影響も注目された。村田製作所は4月6日の第二報で、不正アクセスを受けたのは社内の情報共有を主目的に使用しているシステムの一部だと説明している。
同社は、購買、生産、出荷の各業務を支える基幹システムや電子メールシステムへの被害は確認されていないとし、生産・販売活動に影響はないとしている。4月27日の第三報でも、システムは通常稼働しており、生産・販売活動への影響はないとの説明を続けている。
これはサプライチェーン上の安心材料ではある。電子部品メーカーの操業や出荷に支障が出れば、取引先や最終製品メーカーにも影響が広がりかねないためだ。
ただし、操業に支障がないことと、個人情報や取引関連情報が取得されたおそれがあることは別の問題だ。工場が動いていても、従業員、家族、退職者、顧客、仕入先にとっては、自分の情報が外部に出た可能性があるという事実は残る。
製造業にとっての情報管理リスク
今回の不正アクセスは、生産設備そのものを止める攻撃として公表されたものではない。村田製作所の説明では、被害を受けたのは社内の情報共有を主目的とするシステムの一部だ。
それでも、製造業にとって重要な示唆がある。製造業のリスクは、工場停止だけではない。従業員情報、顧客情報、仕入先情報、契約書、請求書、売上データなど、事業を支える情報そのものが攻撃対象になる。
特に部品メーカーは、多数の取引先と継続的に情報をやり取りする。今回のように取引関連情報が取得されたおそれがある場合、個人情報保護だけでなく、企業間の信頼や取引管理の問題にもつながる。
村田製作所は再発防止策として、不審なアクセス元の遮断、監視強化、社内ネットワークや主要クラウド環境へのアクセス制限、認証方式と権限管理の強化、検知ルールの拡充などを挙げている。情報共有システムであっても、外部から狙われ得る重要な管理対象であることが改めて示された。
当事者が確認すべきこと
村田製作所は、対象となる関係者へ個別に連絡するとしている。連絡を受けた場合は、まず自分の情報がどの範囲に含まれる可能性があるかを確認する必要がある。
銀行口座情報が含まれる可能性がある場合は、金融機関や会社の正規窓口を装う連絡に注意したい。メールやSMSに記載されたリンクから手続きを進めるのではなく、公式サイトや既知の連絡先から確認することが基本となる。
健康情報や住所、連絡先が含まれる可能性がある場合も、本人しか知らないはずの情報を使った連絡に警戒が必要だ。流出の可能性がある情報は、後から組み合わせて悪用されることがある。
サイバー攻撃の被害は、工場が止まるかどうかだけでは測れない。今回の事案が示しているのは、事業を支える情報そのものが狙われる現実だ。銀行口座情報も健康情報も、本来は慎重に扱われるべき個人情報である。約8万8000件という数字以上に、一人ひとりの生活に近い問題として見る必要がある。
(本稿は各種公開情報をもとに作成した。一部数値は記事掲載時点の情報である)
