ニュース原文:https://news.kddi.com/

KDDIは2026年6月23日、ISP(Internet Service Provider:インターネット接続事業者)向けに提供しているメールシステムが不正アクセスを受け、最大1422万件の個人情報が漏洩した可能性があると発表しました。

漏洩事故の概要と影響範囲

今回被害を受けたのは、同社が外部に提供しているシステムであり、STNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブの6社が対象となります。KDDI本体のメールサービスは別基盤で管理されているため、被害は確認されていません。

漏洩した可能性のある情報にはメールアドレスとパスワードが含まれており、最悪の場合、メール本文の不正閲覧や送信機能の悪用に繋がる恐れがあります。KDDIは対象ユーザーに対して早急なパスワード更新を呼びかけるとともに、個人情報保護委員会および総務省へ事態を報告し、影響範囲の特定を急いでいます。

脆弱性の悪用と問われるガバナンス体制

今回の不正アクセスは、システムに採用されていた第三者製ソフトウェアの脆弱性が悪用されたことが原因とされています。

東京商工リサーチの調査によれば、2025年に上場企業とその子会社で発生した個人情報の漏洩・紛失事故は180件に上り、被害者数は前年比約2倍の3000万人超に達しています。通信業界においても大規模な情報漏洩が相次いでおり、システム的な脆弱性への対応だけでなく、サプライチェーン全体を含めた強固なセキュリティ体制の構築が急務です。同社においては、子会社の不正会計問題などに伴う株主総会での経営陣の信任率低下も報じられており、組織全体のガバナンスに対する厳しい目が向けられています。

中長期的な視点で考えるデータインフラの進化

サイバー攻撃が高度化する中、従来のセキュリティ対策に加え、特定のサーバーに重要なデータが集中する運用モデルそのものを見直す時期が近づいているのかもしれません。

今後は、企業が大量の顧客データを抱え込むリスクを軽減する視点も求められる可能性があります。例えば、ユーザー自身が情報を管理するDIDやVC、既存システムと連携しやすいSD-JWTといった技術の活用は、次世代データインフラを構築する「有力な選択肢の一つ」として、さらに議論が深まっていくことが期待されます。