新日本検定協会ランサムウェア被害で東京海上日動の顧客情報流出懸念―事故相手方も含む約1,500件影響か

発表の概要と経緯

一般財団法人新日本検定協会（東京都港区）は2026年5月11日、2025年11月に同協会ネットワークを標的として発生したランサムウェア攻撃の調査結果を公表しました。暗号化されたサーバの復旧は完了したものの、保有していた損害保険会社向け査定関連データの一部が外部に流出した可能性が高いことが明らかになりました。

これを受け、同協会に業務を委託していた東京海上日動火災保険株式会社は同日、契約者や事故相手方など約1,500件の個人情報が漏えいしたおそれがあると発表し、対象者への個別連絡を開始しています。INTERNET Watch／CCSI

東京海上日動火災保険への影響範囲

東京海上日動によれば、漏えい候補データは損害査定を委託した案件に限定され、氏名・住所・電話番号・生年月日・保険契約内容などが含まれる可能性があります。また、事故相手方や代理人の連絡先も含まれるため、直接の契約関係がない個人情報が流出対象となる点が今回の特徴です。

一方で、口座番号やクレジットカード番号などの決済情報は同協会が保有しておらず、流出対象には含まれていないと説明しています。東京海上日動公表資料

流出した可能性のある情報

現時点で流出が懸念されている主な項目は以下のとおりです（個別案件により内容は異なります）。

• 契約者・被保険者・事故相手方の氏名・住所・電話番号
• 生年月日および保険証券番号
• 事故の発生日時・場所・概要
• 損害額見積書や写真等の査定資料

東京海上日動は、これらの情報にパスワードや暗号化の保護が十分でなかった可能性を調査中であり、確定次第あらためて公表するとしています。Security Measures Lab

関係各社の対応と顧客への呼びかけ

新日本検定協会は外部専門家と連携し、侵入経路の封じ込めとバックアップデータの再構築を完了しました。東京海上日動は対象者に対し、郵送と電話で個別に状況を説明するとともに、相談窓口（フリーダイヤル）を開設し、身に覚えのない連絡や不審メールを受け取った際の確認を呼びかけています。

さらに同行社は、情報流出が確定した場合には無料のクレジットモニタリングサービスを提供する方針を明示しました。顧客が被害を受けた場合の保険金支払い可否については、監督官庁と協議のうえで判断するとしています。ITmedia NEWS

専門家コメントと再発防止策

サイバーセキュリティ研究者は「委託先が共通で扱う査定データは業界横断的に影響が波及しやすい」と指摘し、ゼロトラスト原則に基づく「委託先のネットワーク分離」「多層バックアップ」「早期検知手順の共有」を提案しています。

東京海上日動は今後、協会と共同で年2回のペネトレーションテストを実施し、委託契約書にサイバーインシデント報告の最短期限を明記するなどガバナンスを強化する計画です。保険会社各社がサプライチェーン全体の管理体制を見直すかが注目されます。INTERNET Watch