ユニバーサルミュージック ジャパンのECサイトが不正アクセスを受け、顧客の氏名や住所などの情報流出の可能性が判明。
ユニバーサルミュージックが運営するECサイト「UNIVERSAL MUSIC STORE」において、外部第三者による不正アクセスが発生し、顧客の個人情報が流出した可能性があることが判明した。
2025年10月25日にSNS上での投稿を受けて調査を開始し、不正アクセスの痕跡を確認した。同日、UMストアはシステムメンテナンスに入り一部営業を停止し、10月28日に安全性確認後、通常営業を再開した。
流出したおそれのある個人情報は、顧客の氏名、住所、電話番号、メールアドレス、購入履歴である。件数は調査中である。ログイン用パスワードおよびクレジットカード情報などの決済情報はシステム上に保持されていないため流出していない。
本件は個人情報保護委員会へ報告済みで、所轄警察署への届け出も検討中である。現在まで個人情報の公開や不正使用は確認されていないが、今後悪用されるおそれがある。
同社は外部機関の協力を得てセキュリティ強化に取り組む。
From: 
不正アクセス発生によるお客様の個人情報流出の可能性のお知らせとお詫びについて
【編集部解説】
公式発表と外部報道に相違があり、漏洩件数については、ユニバーサルミュージック公式プレスリリースでは「件数は調査中」とされている一方で、セキュリティ情報を扱うメディア「TechNadu」では「300万件を超える」と報道しており、これはセキュリティ研究コミュニティ「vx-underground.org」の情報に基づいています。この数字の不一致は、調査の進捗状況を示すものであり、ユニバーサルミュージック側は慎重な態度で臨んでいることが伺えます。
SNS上の投稿による発覚というポイントも重要です。vx-underground.orgというセキュリティ研究コミュニティが情報を共有することで、企業が気づく前に脅威情報が拡散される構図が成立しています。これは、セキュリティ脅威の検出と公開が、組織内の通常ルートを経ずして行われることを意味しており、企業のセキュリティ対応体制の見直しを迫る事例となっています。
流出情報が「氏名、住所、電話番号、メールアドレス、購入履歴」に限定され、クレジットカード情報が含まれていない点は、設計上の救いです。ただし、これらのパーソナル情報だけで詐欺目的の二次被害は十分に発生する可能性があります。特に購入履歴という情報は、ターゲットとなった顧客の音楽的嗜好や消費行動を把握でき、よりピンポイントな詐欺メールやフィッシング攻撃の構成材料となりえます。
大規模な組織ほど、複雑なシステム構成によるリスク管理が難しくなる傾向があり、ユニバーサルミュージックのような大手企業においても、基本的なセキュリティのリスク管理徹底が課題であることが明らかになりました。
規制面では、本件は個人情報保護委員会への報告が既に実施されており、所轄警察への届け出も検討中とのことです。これは、企業の自主対応から公的規制枠組みへの移行を意味しており、今後のセキュリティ規制強化の流れが加速する可能性があります。特にECサイトを運営する企業全体に対する監視体制の厳格化が予想されます。
長期的には、このような事案の継続的な発生は、消費者のオンライン取引への不安を増幅させるリスクとなります。音楽コンテンツのサブスクリプション化が進む中にあっても、グッズやCD購入などの直接的なECチャネルは、ファンとアーティストの接点として重要な存在です。このチャネルへの信頼低下は、エンタテインメント産業全体のデジタルトランスフォーメーションにも影響を及ぼしうる課題といえるでしょう。
【用語解説】
不正アクセス
コンピュータシステムやネットワークに対し、権限を持たない第三者が無断で侵入する行為。パスワード破解、脆弱性の悪用、社会工学的手法などの方法がある。
個人情報流出
氏名、住所、電話番号、メールアドレス、クレジットカード情報など、個人を特定できる情報が、不正アクセスなどにより外部に漏洩すること。
ECサイト
Electronic Commerceの略で、インターネット上で商品やサービスを販売するウェブサイト。オンラインストアとも呼ばれる。
システムメンテナンス
コンピュータシステムの安全性や機能を確認・改善・修復するための作業。セキュリティ脅威に対応する場合、緊急メンテナンスが実施される。
個人情報保護委員会
個人情報の保護に関する法律の施行を監督する日本の行政委員会。個人情報保護方針の実施状況監視と、個人情報漏洩事案の報告受理を行っている。
フィッシング攻撃
メールやメッセージを装って、個人情報やログイン認証情報を詐取する詐欺的な行為。流出した氏名やメールアドレスを利用し、さらなる詐欺へと発展しやすい。
vx-underground.org
セキュリティ脅威情報やサイバー犯罪に関する情報を共有するセキュリティ研究コミュニティ。データ漏洩やサイバー攻撃に関する情報がいち早く投稿される情報源として知られている。
【参考リンク】
ユニバーサルミュージック ジャパン(外部)
日本でのユニバーサルミュージックグループの事業を統括する企業。音楽レーベル事業、アーティスト契約、商品販売を行っている。
個人情報保護委員会(外部)
個人情報の保護に関する法律を所管し、個人情報の適正な取扱いを監督する行政委員会。個人情報漏洩事案についての報告受理と指導を担当している。
UNIVERSAL MUSIC STORE(外部)
ユニバーサルミュージックジャパンが運営する公式ECサイト。CDやグッズ、限定商品などを販売するオンラインストア。本事案の対象となったサイト。
【参考記事】
TechNadu – Universal Music Group Japan Data Breach Exposes 3 Million Customer Records(外部)
セキュリティメディアTechNaduが報道した記事。UMGジャパンのECサイト侵害で300万件を超える顧客記録が流出した詳細を報道。
共同通信 – 大手レコード会社に不正アクセス(外部)
共同通信による報道。ユニバーサルミュージックの不正アクセス事案を詳報。顧客情報流出の可能性と緊急対応の経過を記載。
読売新聞 – ユニバーサルミュージックジャパン、不正アクセスで顧客情報(外部)
大手新聞社による報道。公式プレスリリースの内容を確認し、対応状況や消費者への注意喚起について記載。
【編集部後記】
ユニバーサルミュージックのケースは、大企業だからこそ起こる課題を映し出しています。あなたが普段利用しているオンラインストアやサービスでも、基本的なシステム構成の落ちが眠っているかもしれません。
企業の発表より先にSNS上で脅威情報が拡散される時代、私たちはどう向き合うべきでしょうか。自分たちの情報をどう守るのか、企業とのどのような関係を築くのか——この事案から多くの気づきが得られるはずです。一緒に考え、行動していきましょう。
