ソフトバンクは6月11日、業務委託先のUFジャパンから内部不正により最大で約14万件の個人情報が漏えいした恐れがあると発表した。ソフトバンクおよびワイモバイルの契約者に関する情報だという。
ソフトバンクによると、情報漏えいの可能性は、3月下旬に社外の第三者からの申告で判明。UFジャパンの事業所内でソフトバンク顧客の個人情報に関して不適切な取り扱いがされている可能性と、ほかの通信事業者のサービス勧誘に利用している可能性があるとの申告で、ソフトバンクの調査により、UFジャパンの協力会社の元従業員らによる不適切な行為が事実として判明したという。
具体的には、監視カメラ映像から元従業員のA氏が2024年12月にUFジャパンの事業所に不正に立ち入り、USBメモリを情報管理端末に接続、13万5022件の個人情報を持ち出している可能性が判明した。しかしA氏は、調査に対して「個人情報を持ち出した記憶はない」と主張しているという。
さらに、UFジャパン協力会社の別の従業員B氏が、2134件の個人情報を含むファイルをクラウドサービスにアップロードし、ソフトバンクの業務に携わっていない3人がその内容を閲覧できる状態にあったなど情報管理の不備も判明した。
ソフトバンクは業務委託先に対し、セキュリティールールを定めていたといい、UFジャパンは個人情報を取り扱うフロアへの社外の第三者の入退室の許容、警備員の未配置などずさんな運用を行っていたとのこと。さらに、ソフトバンクのセキュリティ監査には虚偽報告をしていたという。
同日時点で判明した漏えいの恐れがある情報は、合計で13万7156件に上り、これ以外にソフトバンク社内のシステム以外で個人を特定できない社内の顧客管理番号のみの情報も16万1132件あるとしている。情報の種類は、氏名と住所、生年月日、電話番号、性別、年齢、契約内容(料金プランなど)、サービスの利用に関する情報で、クレジットカード情報や口座情報、マイナンバーカードに関する情報などは含まれていないとしている。漏えいした可能性がある情報を用いた顧客での被害などは確認されていないという。
ソフトバンクは、6月3日に監督官庁と関係機関に事案を報告し、警察への相談を進めているという。さらに調査の過程でUFジャパンがソフトバンクの許諾なしに協力会社と契約していたことや、UFジャパンがソフトバンクとの契約上のルールに反した情報の取り扱いをしていたことが判明しているとした
ソフトバンクは、UFジャパンが業務で使用していた全てのPCのフォレンジック調査や、関係者への聞き取り、警察への相談などを進めて全容解明に当たっていると説明。UFジャパンに委託した業務は5月20日で停止し、6月9日付で業務委託契約を解除したという。
