スターバックスコーヒージャパン株式会社は、2025年9月19日、同社が利用する業務システムを提供する委託先企業に対して不正アクセスが発生し、一部の従業員情報が外部に漏えいした可能性があることを公表しました。顧客情報や金融情報は含まれていないと説明しています。
本記事では、スターバックスの公式発表をもとに、不正アクセスの発生経緯、影響が確認された範囲、そして同社の対応と再発防止策について詳しく解説します。
目次
スターバックスコーヒージャパンが委託先の不正アクセスによる情報漏えいの可能性を公表
スターバックスコーヒージャパン株式会社は、2025年9月19日、同社が利用する業務システムの委託先であるBlue Yonder社のサービスに対して不正アクセスがあったことを公表しました。これにより、スターバックスの従業員および元従業員の個人情報の一部が外部に漏えいした可能性があるとしています。
今回の事案では、顧客情報やマイナンバー、金融情報などは漏えいの対象外であり、現時点で二次被害は確認されていないと説明しています。
2025年5月以降、段階的に調査と対象者の特定を進行
不正アクセスに関する最初の通知は、2025年5月29日、BY社からスターバックスに対して行われました。BY社によると、2024年12月に外部のハッカー集団からサイバー攻撃を受けた可能性があるというもので、スターバックス従業員に関する情報が含まれていたことが確認されました。
該当システムは、従業員のシフト管理などに用いられる「Work Force Management(WFM)」であり、スターバックスの直営店およびライセンス契約店舗の従業員情報が含まれていました。
初期段階で漏えいが確認された対象は約31,500名でしたが、調査が進む中で追加の約40,700名分の従業員IDの漏えいが確認され、合計約72,200名が影響を受けた可能性があると2025年10月3日に公表しています。
委託先システムを経由した不正アクセスが原因
スターバックス自身が直接攻撃を受けたわけではなく、委託先であるBY社が管理するサービスに対して不正アクセスが行われたことが原因です。
漏えいした情報には、従業員ID、氏名、一部の生年月日、雇用開始日、職位、店舗番号などが含まれていましたが、顧客情報、住所、電話番号、マイナンバー、金融情報などは含まれていないことが確認されています。
スターバックスによる対応と再発防止策
スターバックスコーヒージャパンは、以下のような対応策を講じています。
- 漏えいの可能性がある従業員・元従業員への個別通知と謝罪の実施
- 専用相談窓口の設置および不審な連絡等への注意喚起
- 委託先であるBY社へのセキュリティ体制強化の要請
- 委託先管理基準の見直しと監査体制の再構築
- 自社内で取り扱う個人情報システムの総点検と運用ルールの再確認
同社は引き続き、個人情報の保護とセキュリティ強化に努めるとしています。
不正アクセスを受けた場合はフォレンジック調査が有効
不正アクセスが発生した際は、被害範囲や侵入経路を正確に把握しなければ、適切な対応や再発防止策を講じることはできません。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
インシデントの内容によっては、個人情報保護委員会など特定の機関への報告義務が発生する場合があります。自社のみで調査を行うと、報告書が認められないケースもあるため、第三者機関による調査が一般的です。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
まとめ
本記事では、スターバックスコーヒージャパンが利用する外部委託先のサービスにおいて発生した不正アクセス事案について、同社の公式発表をもとに経緯と対応を整理しました。
この事案は、外部委託先に起因する情報漏えいリスクを浮き彫りにするものであり、企業にとっては自社のみならず、業務委託先のセキュリティ水準の確認と監査が不可欠であることを示しています。
不正アクセスや情報漏えいへの対応においては、被害の早期特定、速やかな公表、再発防止策の実施が重要です。スターバックスのように、関係者への丁寧な対応とシステム全体の見直しを行う姿勢が、信頼回復への第一歩となるでしょう。
関連記事
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
