気が付けば10月となり新しい四半期が始まりました。
通常、期替わりのタイミングは期末進行→期首のドタバタと何かあるものの、今回は久しぶりの２徹(３連勤)でした(泣)
３連勤の途中では懇親会にお誘いいただき、１時間ほど顔を出せたのがだいぶリフレッシュになったので乗り切れた感じです。
今四半期もまたがんばっていきたいと思います。

というわけで勤務明けでとりたてて書くことが思い浮かばない今日ですが、スターバックスジャパン社で発生した情報漏えい事故のPRが引っかかっています。
せっかくの休みなのでツラツラとまとめてみたいと思います。

 

• スターバックスジャパン社の情報漏えい事故
• 従業員IDは個人情報に該当するのか？
• スターバックスジャパン社はどうして２報を出したのか？
  • ①個人情報保護委員会へ報告済みであること
  • ②容易照合性の解釈
  • ③前回漏洩との関連性
  • ④リスク管理
• ３．想定される従業員IDを悪用されるリスク
  • ①なりすまし・ソーシャルエンジニアリング
  • ②内部情報の推測
  • ③他のシステムへの不正アクセス
  • ④まとめ
• 学ぶべきこと
  • ①「個人情報」の定義の拡大解釈が必要
  • ②サプライチェーンリスクの深刻さ
  • ③退職者データの管理方法
  • ④インシデント対応の長期化への備え
• まとめ

スターバックスジャパン社の情報漏えい事故

初報(2025年9月19日)に続き、昨日(2025年10月3日)に２報が発せられました。
2025年9月19日にスターバックスジャパンで個人情報漏えい事故の初報が発表され、さらに10月3日に続報が公開されました。
初報：Blue Yonder社の提供サービスへの不正アクセスによる弊社従業員の個人情報漏洩について | スターバックス コーヒー ジャパン

２報：【続報】 Blue Yonder社の提供サービスへの不正アクセスによる 弊社従業員の個人情報漏洩について | スターバックス コーヒー ジャパン

今回漏洩が明らかになったのは「約40,700名分の従業員ID」です。
２報では「従業員約40,700名分の従業員ID」が漏洩したとされていますが、果たして従業員IDは個人情報なのだろうか…と読んでいて疑問に思っていました。

従業員IDは個人情報に該当するのか？

従業員IDは、組織内で個人を特定するために一意に管理されている番号です。
個人情報保護法における「個人情報」の定義は「特定の個人を識別できる情報」です。
したがって従業員IDそれ単体では個人を特定できませんので広報する必要は無いように思えてしまいます。

スターバックスジャパン社はどうして２報を出したのか？

それ単体では個人情報とは言えない従業員IDですが、どうしてスターバックスジャパン社は２報を出したのかが引っかかっていました。
２報には「従業員IDは社内の識別番号ですが、他の情報と組み合わせることにより悪用される可能性がゼロではないことから、対象となる皆様への個別連絡を実施しております。」とある通り、保守的・慎重な判断が為されたものと考えられます。

①個人情報保護委員会へ報告済みであること

初報において、スターバックスジャパン社は個人情報保護委員会(PPC)へ報告した旨が明記されています。
つまり、２報を出す以前の段階で、本件は個人情報漏洩事故として法的に報告すべき事案となっていました。

②容易照合性の解釈

個人情報保護法では、それ単体で個人を識別できなくても、他の情報と容易に照合できる場合は個人情報とされます。
従業員IDはそれ単体では個人情報の要件を満たさないため容易照合性は低いものと思うところです。

③前回漏洩との関連性

9月19日の初報では、氏名、生年月日、職位、契約開始日が漏洩していました
今回の従業員IDは、初報で漏洩した情報との関係性は無いとされています。

④リスク管理

以上から考えると、必要性よりもリスク管理の一環としてPRを打ったと考えるのが妥当かと思いました。
個人情報漏洩事故の調査は徐々に事実が明らかになることが多く、事案によっては１年後に調査結果が出るものも存在します。
「個人情報ではない」として放置し、後で「やっぱり個人情報でした」と判明した場合のリスクを考慮し、保守的に「個人情報漏洩として扱った方が適切だ」と判断されたものと考えるのが妥当かと思います。

３．想定される従業員IDを悪用されるリスク

従業員IDと他の情報を組み合わせた場合、次のような悪用が考えられます。
くどいようですが従業員IDそのものは個人情報では無いため、無理くり結び付けているものもありますが…

①なりすまし・ソーシャルエンジニアリング

従業員IDを使って社内の人間を装い、他の従業員から追加情報を引き出そうとすることが考えられます。
たとえば「従業員番号○○の者ですが...」と信頼性を演出した詐欺的行為が考えられます←これはホントによくある

②内部情報の推測

従業員IDの体系を元に、組織構造や就業形態、採用時期などの内部情報が推測可能になります。
たとえば正社員は若番から連番で、アルバイトはプレフィクス●で、協力企業は…など読み取ることができれば、将来的には正社員のＩＤをターゲットとした新たな探索を開始しやすくなります。

③他のシステムへの不正アクセス

従業員IDが他の社内システムのログインIDとして使用されている場合では、辞書攻撃やブルートフォースによる不正アクセスや、パスワードリセットによるアカウント奪取のリスクが生じます。

④まとめ

スターバックスジャパン社が「可能性がゼロではない」という慎重な表現を使っているのは、直接的な被害は限定的でも、組み合わせ次第でリスクが生じ得るという認識を示しているものと考えられます。

学ぶべきこと

外資系企業はリスク管理に長けていますので、たった１枚の個人情報漏洩のPRですが、改めて考えながら読んでみると学ぶべきことは多いと感じました。

①「個人情報」の定義の拡大解釈が必要

従業員ID単体では「ただの数字」でも、容易照合性があれば個人情報となり得ること。
「これは個人情報じゃない」という安易な判断は危険だと感じ、法的観点だけでなく技術的・社会的観点での判断も必要になっていくのかな…と感じました。

②サプライチェーンリスクの深刻さ

BY社という外部サービスの脆弱性が原因でも、最終的な責任は自社が負うことになります。
SaaS、クラウドサービス、業務委託先の選定時には、セキュリティ監査を徹底する必要性を感じました。

③退職者データの管理方法

個人情報保護法上、個人データの漏えい等により本人の権利利益を害するおそれがある場合、事業者は本人に通知する義務があります。
実際、当該事案は2025年5月に発生していたものが、初報は9月となっています。
タイミング的に「職者データ等も含まれるため、全員と直接連絡を取ることが困難と判断」とありますので、これをもって社外公表したと考えられます。
退職者の情報を残さないような管理体制(たとえば退職者情報の定期的な棚卸しと削除)を検討していく必要があると感じます。

④インシデント対応の長期化への備え

個人情報漏洩事故の多くで、あれも・これもと次から次に事実が判明することを多く目にします。
逐次的に進む調査に対し、分かったものから順次公表していくことになるため仕方のないことではありますが、「一度公表したら終わり」ではないことに気を留める必要があります。
段階的な情報開示プロセス(続報の出し方)も準備しておく必要がありそうです。

まとめ

「従業員IDは個人情報か？」
この問いに対するスターバックスジャパン社の答えは、技術的定義よりも社会的責任を優先するものだったと思います。
僕はこの判断を支持したいと思います。
なぜなら、僕たちの仕事は「正しいか否か」を判定することではなく「関係者を守ること」にあると思うからです。
同時に、本件は外部依存リスクの現実も突きつけています。
信頼できるパートナーを選び、しかし盲信せず常に最悪を想定する、この緊張感こそが、これからの情報システム部門に求められる姿勢だと感じています。

うん。やっぱりまだまだ眠れない日が続きそうです(ノД`)・゜・。