岩手県は2025年12月、「物価高騰対策賃上げ支援金」事業の事務局が運営するポータルサイトにおいて、外部からの閲覧が可能な状態になっていたことを公表し、公式に謝罪を行いました。運営は株式会社東武トップツアーズを代表とする4社の共同事業体が担当しています。
本記事では、岩手県と関係事業者が公開した情報をもとに、発生の経緯や原因、企業の対応について、時系列を追って分かりやすく解説します。
出典:Yahoo!ニュース
目次
株式会社東武トップツアーズなどが運営するポータルサイトで個人情報漏えい被害を発表
岩手県は2025年12月6日、「物価高騰対策賃上げ支援金」事務局のポータルサイトにおいて、申請事業者に関する個人情報が外部から閲覧可能な状態となっていたと発表しました。
運営を担っていたのは、株式会社東武トップツアーズを代表企業とする4社の共同事業体。最大5,707件の個人情報が漏えいした可能性があり、県と事務局は謝罪し、再発防止を誓っています。
2025年2月に株式会社東武トップツアーズは情報共有サイトを設置
岩手県が委託した「物価高騰対策賃上げ支援金」事業では、2025年2月から事務局内の情報共有を目的としたポータルサイトが運用されていました。
しかし以下のような経緯で、外部からも閲覧可能な状態となっていたことが明らかになりました。
- サイト開設当初はアクセス制限(ID・パスワード)が設定されていた
- 一部職員がログインできない不具合が発生
- 事務局が利便性を優先し、認証を解除
- その結果、インターネット上に公開状態となる
- 11月28日、自治体職員が検索で発見し県に報告
- 同日中に県が事務局へ連絡し、サイトを閉鎖
アクセス制限の解除による設定ミス
今回の情報漏えいは、サイバー攻撃などによるものではなく、アクセス制御の設定ミスによって発生したものです。主に以下の2点が問題視されています。
- 認証機能を解除したこと(アクセス制限が外れ、外部からも閲覧可能に)
- Bingなど一部の検索エンジンにインデックスされたこと(検索経由で誰でもアクセス可能だった)
このような状態が約9か月間にわたり続いていたと見られています。
事務局は即日でサイトを閉鎖、県も謝罪
事務局と県は、11月28日の発覚当日に以下の対応を取りました。
- 問題のポータルサイトを閉鎖
- 関係事業者への状況説明と謝罪
- 被害内容の精査と今後の対応方針を策定
漏えいの可能性がある情報は以下のとおりです。
- 支援金申請事業者の担当者名
- 電話番号
- メールアドレス
- その他、申請に関する資料情報
ただし、マイナンバーや口座情報などの機微情報は含まれていなかったと県は説明しており、今後について、岩手県は以下の再発防止策を講じると発表しています。
- 委託事業者への情報管理体制の指導強化
- 情報公開リスクを想定した運用チェック体制の見直し
- 契約時におけるセキュリティ基準の明確化
出典:岩手県
個人情報漏えいによる企業へのリスク
今回の岩手県のように、外部からの不正アクセスではなく、社内システムのアクセス制限設定ミスによって、情報がインターネット上で外部から閲覧可能になるケースであっても、組織にとっては非常に重大なリスクとなります。
一度、情報が公開状態になれば、その内容が第三者に保存・共有・再配布される可能性があり、完全に回収することはできません。たとえ不正利用が確認されていなくても、「いつ」「どこで」「誰に」閲覧・悪用されるか分からない状態が続くことになります。
また、情報漏えいは申請事業者や関係機関との信頼関係を損ない、行政への苦情、説明責任、社会的信用の低下など、間接的な損失や reputational risk(評判リスク)を引き起こす可能性があります。
設定ミスの多くは、運用ルールの形骸化や管理体制の甘さに根本原因があるため、対応が遅れれば同様の問題が繰り返される恐れも否定できません。
漏えいの影響範囲や閲覧可能だった情報の内容を正確に把握しなければ、適切な対応策や再発防止策を講じることはできません。そのため、こうしたインシデントが確認された場合には、技術的な検証やログ分析を含む外部専門機関による調査が不可欠です。
個人情報漏洩した場合の報告義務
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
情報漏えいが発生した際に、企業は個人情報保護委員会へ2回報告する必要があります。それぞれ報告内容と報告期限が定められているため、注意しましょう。
- 漏えい等の事実が発覚したら、3〜5日以内に個人情報保護委員会へ通報
- 発覚から30日以内に被害を調査して個人情報保護委員会へ報告
データ漏えいが発生した場合は、外部の調査専門業者に調査を依頼することが重要です。
特にフォレンジック調査会社は、デジタル機器のデータ保全やアクセス調査に関する専門技術を保有しています。この技術により漏えいの原因や影響範囲を的確に把握し、再発防止策を十分に講じることができます。
また、調査報告書も作成してもらえるため、個人情報保護委員会へそのまま報告することも可能です。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが発生した場合、内容によっては特定の機関への報告義務が生じることがあります。自社のみで調査を行った場合、報告書の内容が認められないケースもあり、第三者機関による調査が一般的です。
私たちデジタルデータフォレンジック(DDF)は、官公庁、上場企業、捜査機関など、多様な組織のインシデント対応を行ってきた実績があります。
相談や見積もりは無料で、24時間365日体制でご依頼を受け付けています。早期対応が被害拡大防止の鍵となりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.9万件以上のフォレンジック調査サービスです
まとめ
今回の記事では、岩手県が委託した「物価高騰対策賃上げ支援金」事業において、東武トップツアーズなどが運営するポータルサイトで、最大5,707件の個人情報が外部から閲覧可能になっていた事案を取り上げました。
技術的な脆弱性ではなく、アクセス制御の解除という設定ミスによる情報漏えいであり、人的ミスによるリスク管理の重要性が改めて浮き彫りとなりました。
今後は、設定変更の手順管理や公開範囲の定期確認など、運用面でのセキュリティ対策強化が不可欠です。個人情報の漏えいや内部不備の対応については、以下の関連記事もぜひ参考にしてください。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
