ホテルオークラ福岡、委託先ランサムウェア被害で従業員9,501名の個人情報が漏洩の可能性

インシデントの概要

2026年4月10日、ホテルオークラ福岡は、人事関係業務を委託していた株式会社システムニシツウのクラウドサーバーが第三者による不正アクセスを受け、ランサムウェアに感染したことを公表しました。

• ランサムウェア感染確認日: 2026年3月12日
• 対象者: 2011年1月以降に在籍した従業員および退職者 計9,501名
• 届出: 個人情報保護委員会へ速報を提出済み、博多警察署にも通報済み
• 二次被害: 現時点では確認されていない

漏洩の可能性がある情報

• 氏名、性別、住所、生年月日
• 家族構成（氏名・生年月日含む）
• 電話番号、給与口座情報
• 学歴、従業員番号、所属、役職

情報出典: ホテルオークラ福岡 公式お知らせ（2026年4月10日）、Security NEXT 報道

なぜこのインシデントが起きたのか ー 推定される原因

今回のインシデントはサプライチェーン攻撃の典型例です。ホテルオークラ福岡自体のシステムが直接攻撃されたわけではなく、業務委託先のクラウドサーバーが標的にされました。

推定される侵入経路と原因は以下の通りです：

1. 委託先クラウドサーバーの脆弱性: ランサムウェアの多くは、パッチ未適用のVPN装置やRDP（リモートデスクトップ）経由で侵入する
2. 委託先のセキュリティ体制の不足: 人事データを扱うにもかかわらず、十分なセキュリティ対策が実施されていなかった可能性
3. 長期保管データの存在: 2011年以降のデータが保管されており、不要になった個人情報の削除ポリシーが不十分だった可能性

企業が今すぐ取るべき対策

1. 委託先のセキュリティ評価を定期実施する

個人情報を預ける委託先に対し、セキュリティチェックシートの提出だけでなく、ペネトレーションテストによる実地評価を定期的に実施すべきです。書面上の対策と実際のセキュリティレベルには大きな乖離があります。

2. 委託データの最小化と定期削除

業務に必要な最小限のデータのみを委託先に提供し、不要になったデータは速やかに安全に削除するポリシーを策定・運用しましょう。

3. インシデント対応計画の事前策定

本件では感染確認（3月12日）から公表（4月10日）まで約1ヶ月かかっています。事前にサプライチェーンリスクを想定したインシデント対応計画を策定し、迅速な対応ができる体制を整えましょう。

4. バックアップ体制と暗号化の確認

委託先でのデータ保管時にも暗号化が適用されているか、バックアップからの復旧手順が確立されているかを確認することが推奨されます。