アサヒグループホールディングスは、2025年9月に受けたサイバー攻撃(ランサムウェア攻撃)により、11万5000件余りの個人情報漏えいが確認されたことを発表した。あわせて、原因の調査状況と再発防止に向けた対応策も公表している。
発表によると、漏えいが確認された情報は以下の通りである。取引先の役員や従業員、個人事業主などの氏名・電話番号が11万396件、退職者を含むグループの従業員の氏名、性別、住所、電話番号、メールアドレスなどが5117件である。同社は2025年11月時点では約191万件の漏えいの恐れがあると発表していたが、調査の結果、実際の漏えい件数が確認されたとしている。
攻撃の概要としては、2025年9月29日午前7時ごろにシステム障害が発生し、その約10日前に外部の攻撃者がネットワーク機器を経由してアサヒグループのネットワークに侵入していたことが判明した。攻撃者は管理者権限を奪取した後、ネットワーク内部を探索し、複数のサーバへの侵入を繰り返したと見られている。9月29日にはランサムウェアが実行され、複数のサーバと一部のパソコン端末のデータが暗号化された。
同社は、今回の事案が顧客や従業員などの情報に関わるものであることを踏まえ、具体的な再発防止策を打ち出した。攻撃経路の特定で明らかになった外部侵入リスクを抱える一部のパソコンなどの電子機器を全面廃止することをはじめ、ネットワーク機器からの再侵入を防ぐためのリモートアクセスVPN装置の全面廃止、通信経路の再構築などを実施する。
加えて、ガバナンス体制を強化するため、情報セキュリティーを管轄する独立した組織と専任の役員を設置することを明らかにした。今後は継続的な監視と改善を前提とした体制へ移行し、万一の事態が発生した場合でも影響を最小限に抑える仕組みの強化を進めるとしている。
アサヒグループHDは、11万5000件余りの個人情報漏えいを確認したと発表し、具体的な再発防止策を公表した。個人情報を扱う企業には、平時からの厳格な管理と、事案発生時の迅速な調査・対策が求められる。今回の発表を受け、同社が示した管理強化策の実効性と、今後の対応の透明性が重要となる。
