アフラック生命保険は2026年6月30日、契約者専用サイト「アフラック よりそうネット」などのシステムが第三者による不正アクセスを受け、顧客約438万人分の個人情報が漏えいしたと発表した。このうち約23万人分には、保険料を引き落とすための振替口座情報も含まれている。生命保険会社が抱える機微な情報が、これほど大規模に流出した事案は近年でも際立っている。現時点で情報の不正利用は確認されていないとしているが、影響を受ける顧客の規模と情報の性質を考えると、二次被害への警戒は当面続くことになる。
6月15日から10日間、気づかれぬまま続いた侵入
アフラックの発表によると、不正アクセスが判明したのは2026年6月25日。同社は同日中に不正アクセスを遮断し、被害の拡大を防ぐために関連システムを停止した。その後の調査で、最初の不正アクセスは判明の10日前にあたる6月15日に発生しており、25日までの間に複数回にわたって侵入が繰り返されていたことが確認された。
侵入の起点となったのは、契約内容の確認や住所・電話番号の変更などをパソコンやスマートフォンから行える契約者向けサイト「アフラック よりそうネット」を含む複数のシステムだった。攻撃者は約10日間にわたり、検知されないまま社内システムへの不正な閲覧を続けていたことになる。原因の詳細については「調査中」としており、侵入経路や手口はまだ明らかにされていない。
流出した情報——口座情報を含む23万人分が高リスク
漏えいが確認された個人情報は、大きく顧客関連と代理店関連に分かれる。
顧客関連では、氏名、生年月日、性別、住所、電話番号、証券番号、保障内容などが対象で、その件数は約438万人分にのぼる。さらにこのうち約23万人分については、保険料振替口座の情報——金融機関名、支店名、預金種類、口座番号、口座名義など——も含まれていた。一方で、マイナンバーおよびクレジットカード情報は含まれていないとしている。
代理店関連でも、代表者氏名、住所、電話番号などが約4万店分流出した。この中には、過去にアフラックと業務委託契約を結んでいたものの現在は委託業務を行っていない代理店も含まれるという。
保険の保障内容という、本人の健康状態や家族構成を推測させかねないセンシティブな情報と、口座情報が同時に流出した点は特に重い。アフラックは「現時点では本件に関わる情報の不正利用等は確認されておりません」としている。
業界を揺るがす大規模漏えいが企業に突きつけるもの
438万人という規模は、日本国内の情報漏えい事案の中でも最大級に位置づけられる。生命保険は契約者の生涯にわたる健康・家計情報を預かる事業であり、流出した情報が詐欺やなりすましに悪用された場合の影響は計り知れない。とりわけ口座情報を含む23万人分の顧客は、不審な引き落としやアフラックを装った連絡といった二次被害の標的になりやすい。
今回の事案で見過ごせないのは、侵入から発覚まで約10日を要したという検知の遅れである。攻撃者が長期間システム内に潜伏できた背景には、外部からの不正アクセスを早期に捉える監視体制の課題があった可能性がある。金融機関に準じる情報を扱う保険会社にとって、侵入を「防ぐ」だけでなく「早く気づく」体制の整備が、改めて問われる結果となった。 アフラックは既に金融庁・警察などの関係機関へ報告を行い、対象となる顧客には順次お詫びとお知らせの文書を送付するとしている。同社はコールセンター(0120-5555-95)を案内し、不審な連絡や口座の不審な取引に気づいた場合は連絡するよう呼びかけている。利用者側も、アフラックを名乗る電話・メール・郵便には警戒し、安易に口座情報や個人情報を伝えないこと、振替口座の取引明細をこまめに確認することが当面の自衛策となる。