アサヒグループホールディングス(以下、アサヒグループHD)は2月18日、昨年9月に発生したサイバー攻撃による個人情報流出の最終的な調査結果を公表しました。
当初、約191万件にのぼる大規模な情報漏洩の可能性が報じられていましたが、精査の結果、11万5,513件の流出が確認されました。
本記事では、流出の現状とアサヒグループHDが打ち出した今後の再発防止策について詳しく解説します。
1. 個人情報流出の現状と内訳
アサヒグループHDの発表によると、流出した情報はダークウェブ(闇サイト)上ですでに確認されているとのことです。
流出が確定した情報の内訳は以下の通りです。
| 対象者 | 件数 | 流出した情報の種類 |
| 従業員・退職者 | 5,117件 | 氏名、住所、電話番号など |
| 取引先・関係者 | 110,396件 | 氏名、電話番号など |
| 合計 | 115,513件 |
昨年11月の段階では、最大で約191万件の情報が流出した恐れがあるとされていましたが、今回の調査によって具体的な被害範囲が特定された形となります。
2. サイバー攻撃の経緯とダークウェブでの確認
今回の事案は、昨年9月に同社が受けたサイバー攻撃が発端です。
攻撃者は社内システムへ不正に侵入し、機密情報を窃取。その後、インターネット上の匿名性が高い「闇サイト(ダークウェブ)」にデータが流出したことで、今回の被害確定に至りました。
同社は勝木敦志社長が会見で謝罪するなど、事態を重く受け止め、徹底した調査を継続してきました。
3. アサヒグループが発表した強固な再発防止策
情報の流出確定を受け、アサヒグループHDは信頼回復に向けた組織体制の刷新を発表しました。
- 専任役員の配置(2月1日付)
国内事業を統括する「アサヒグループジャパン」に、情報セキュリティを専門に担当する専任役員を新たに配置しました。 - 独立組織の設置(4月予定)
情報セキュリティを管轄・監視する独立した専門組織を4月に新設。
意思決定の迅速化とチェック機能の強化を図ります。 - システムの防御力強化
万が一の侵入を許した場合でも、被害を最小限に抑えるための検知システムや階層的な防御体制の構築を進めていくとしています。
まとめ:企業に求められるサイバーセキュリティ対策
アサヒグループHDのような大手企業であっても、巧妙化するサイバー攻撃を完全に防ぐことの難しさが改めて浮き彫りとなりました。
しかし、今回の「専任役員の配置」や「独立組織の設置」といった迅速な体制強化は、今後の日本企業におけるセキュリティ対策のモデルケースとなる可能性があります。
「万一の事態でも影響を最小限に抑える」という同社の姿勢が、消費者の信頼回復につながるか注目されます。
