生命保険大手のオリックス生命保険は2026年7月7日、業務上のメールで顧客の個人情報を含むファイルを、本来共有対象ではない保険代理店へ誤って送信していたと公表した。対象となったのは6,316名分の顧客情報で、氏名や生年月日、証券番号、契約内容などが含まれていた。外部からの不正アクセスやサイバー攻撃ではなく、日常業務のなかで起きた「メール誤送信」が原因である。同社は誤送信先の代理店にファイルの削除を依頼し、すべて削除済みであることを確認したとしている。
発端は6月18日、代理店へ送った1通のメール
オリックス生命の説明によると、事案が発生したのは2026年6月18日。社員が代理店に対し、顧客から寄せられた意見に関する資料をメールで共有しようとした際に、本来は送付すべきではない顧客情報を含むファイルを誤って添付してしまったという。
誤送信が明るみに出たきっかけは、メールを受け取った代理店側からの連絡だった。指摘を受けた同社が社内調査を実施したところ、同様の誤送信がほかの代理店2社に対しても行われていたことが判明。最終的に、契約する保険代理店あわせて3社に顧客情報が渡っていたことが確認された。
同社は今回の送付先について、システム運用などを担う「業務委託先」ではなく、保険販売を担う「保険代理店」であると明確に区別して説明している。委託先での漏えいとは性質が異なり、あくまで社内の担当者による添付ファイルの取り違えが直接の原因だった。
漏れた情報は「顧客の声」に付随するデータ
影響を受けたのは、2025年2月から2026年5月までの間に同社へ寄せられた顧客6,316名分の意見・問い合わせに関するデータである。含まれていた項目は、氏名、生年月日、性別、証券番号、契約内容、そして顧客から寄せられた意見・問い合わせの内容などだった。
ただし、記録されている項目は顧客ごとに異なり、全員について同じ情報がそろっていたわけではない。また、住所や電話番号、メールアドレスといった連絡先情報や、口座番号・クレジットカード番号などの決済情報は含まれていなかったと説明されている。連絡先や決済情報が含まれていなかった点は、二次被害のリスクを一定程度抑える要素と考えられる。
削除は確認済み、二次被害は現時点で確認されず
誤送信の判明後、オリックス生命は送信先となった代理店3社に対してファイルの削除を依頼し、すべて削除されたことを確認したとしている。あわせて社内調査と情報管理体制の見直し、再発防止策の検討を進めているという。
2026年7月13日時点で、本件に起因する個人情報の不正利用や二次被害は確認されていない。公表後、新たな被害や影響範囲の拡大に関する続報も発表されていない。同社は公式サイトで「メール誤送信による個人情報の漏えいに関するお詫び」と題した文書を掲出し、経緯を説明している。
メール誤送信という「古くて新しい」リスク
大規模な不正アクセス事件が相次ぐなかで、今回の事案はサイバー攻撃とは対照的に、担当者による添付ファイルの取り違えという極めて古典的な原因で起きた。しかし、影響が6,000名を超える規模に及んだ背景には、個人の意見データが数千件単位でまとめて管理・共有されていたという業務の実態がある。1通のメールに誤って付けたファイル1つが、数千人分の情報流出につながり得ることを、今回の事案は改めて示している。
生命保険会社は、契約や問い合わせを通じて膨大な個人情報を扱う。とりわけ「顧客の声」や意見データは、契約情報と結びつくことで個人を特定しやすい情報になる。こうしたデータを代理店など社外とやり取りする際には、送信前のダブルチェックや、宛先・添付ファイルの自動確認、そもそも不要な個人情報を共有ファイルに含めない運用設計といった、人的ミスを前提とした多層的な対策が欠かせない。攻撃対策に注目が集まりがちな昨今だが、内部の運用フローに潜む「誤送信」への備えもまた、企業のセキュリティ体制の実力を測る重要な指標といえる。
