2025年10月、総合ディスカウントストア「ドン・キホーテ」などを展開するパン・パシフィック・インターナショナルホールディングス社(PPIH)は、業務委託先企業が不正アクセスを受けたと発表。
一部データが暗号化された可能性があるとして、調査対応が続いている状況とのこと。
被害を受けたのはPPIHが伝票処理などを委託している「アクリーティブ」社で、同社のサーバーがランサムウェアによる不正アクセスを受けたというもの。
攻撃は2025年8月下旬、委託先でファイアウォール(外部からの通信を監視・遮断する仕組み)の交換作業を行った直後に発覚。
監視システムが異常を検知し、調査の結果、外部からの侵入による被害が確認された。
暗号化されたデータの中には、取引先や従業員に関する情報が含まれていた可能性がある。想定される情報項目として、氏名・住所・電話番号・口座情報・部署名などが挙げられている。
PPIHは「現時点で流出の事実は確認されていないが、可能性を完全には否定できない」と説明している。
同社は外部専門機関と連携して被害の全容を調査中で、再発防止策を含むセキュリティ強化を進める方針。
また、影響を受けた可能性のある関係先への連絡や個人情報保護委員会への報告も検討しているとみられる。
SNS上では、Xなどで「ドン・キホーテの関連会社が不正アクセス被害」といった投稿が広がり、情報セキュリティ業界の専門アカウントからも注意喚起が行われている。
PPIHグループは2023年に情報セキュリティ基本方針を策定し、グループ全体および委託先を含む対策を掲げていた。
今回の事案はその方針の下で対応が進められており、調査の結果と今後の再発防止策が注目される。
【参考記事】
https://ppih.co.jp/
