サイバー攻撃の矛先は、もはや「大企業の本丸」だけではありません。
その周囲を支える委託先やパートナー企業が破られたとき、私たちの要配慮個人情報はどう守られるべきなのでしょうか。
2025年12月5日、第一生命ホールディングス株式会社は、グループ会社である第一フロンティア生命保険株式会社およびネオファースト生命保険株式会社が業務委託している株式会社審調社においてランサムウェア被害が発生し、要配慮個人情報を含む顧客情報の漏えいのおそれがあると公表している。
2025年7月11日付の「お知らせ」で情報漏えいのおそれをすでに公表しており、その後の審調社による調査完了を受けて、2025年12月5日付で両社から漏えいに関する調査結果が示された。 要配慮個人情報とは病歴等を含む、取扱いに特に配慮が必要とされる個人情報であり、現時点で不正利用等による二次被害は確認されていない。
From: 
当社グループの業務委託先におけるランサムウェア被害による情報漏えいについて
【編集部解説】
第一生命グループが直面しているのは、一社だけの情報漏えいではなく、業務委託先を起点に多くの保険会社へ波及しうるサプライチェーン型のランサムウェア・インシデントです。 調査会社である審調社のネットワークが侵害され、第一フロンティア生命やネオファースト生命を含む複数の委託元のデータが影響を受けた可能性がある点が、大きな論点になっています。
審調社の最終報告では、ネットワークへの不正アクセスからサーバ内ファイルの暗号化が発生し、個人情報を含むデータが取得されたおそれがあること、そして再発防止策としてネットワーク分離やアクセス権限の見直しなど複数の対策が示されています。 一方で、一部のセキュリティ専門メディアが言及する攻撃グループ名や影響を受けた委託元社数などの具体的な数字は、公式発表では断定されておらず、その点は冷静に切り分けて捉える必要があります。
今回のケースは、「調査会社」という立場の委託先が破られることで、生命保険・損害保険など多様な企業の顧客情報に一気にリスクが波及する構造を浮き彫りにしています。 2025年上半期、日本ではランサムウェア攻撃の増加が指摘されており、個々の企業防御だけでなく、委託先やサプライヤーを含めた全体設計としてのサイバーリスク管理が求められる局面に入っていると言えます。
技術的には、ゼロトラストやEDR、暗号化バックアップなどの防御・復旧手段は整いつつありますが、それだけで万全とは言えません。 特に保険業界では、保険金支払いに関する調査や事務処理をアウトソースすることが一般的であり、委託契約の段階でインシデント発生時の報告義務やセキュリティ基準をどこまで明文化するかが、信頼性と競争力を左右する条件になりつつあります。
現時点で第一生命グループの顧客情報について二次被害は確認されていないものの、要配慮個人情報が対象となりうることから、契約者の心理的な不安は無視できません。 こうしたインシデントが繰り返されることで、利用者が保険・金融サービスを選ぶ際に「どの会社がどこまでサイバーリスクに向き合っているか」を意識する流れが強まり、企業にはより透明性の高い説明責任が求められていくはずです。
【用語解説】
ランサムウェア
コンピュータやサーバ内のデータを暗号化し、復号と引き換えに金銭(身代金)を要求するマルウェアの一種である。
サプライチェーン攻撃
自社ではなく、業務委託先や取引先などを経由して重要システムやデータに侵入するサイバー攻撃の手法である。
要配慮個人情報
病歴など、不当な差別や偏見などの不利益が生じないよう取扱いに特に配慮を要するとされる個人情報区分である。
【参考リンク】
第一生命ホールディングス株式会社(外部)
第一生命グループ全体を統括し、生命保険や資産運用事業を展開する持株会社の公式サイトである。
第一フロンティア生命保険株式会社(外部)
銀行窓販などを通じて変額保険商品などを提供する、第一生命グループの生命保険会社の公式サイトである。
ネオファースト生命保険株式会社(外部)
インターネットや代理店を通じて保険商品を展開する第一生命グループの生命保険会社の公式サイトである。
株式会社審調社(外部)
保険金支払い等に関する調査業務を受託する企業であり、今回のランサムウェア被害と最終報告を公表している公式サイトである。
【参考記事】
Service provider ransomware attack puts Japan’s insurers on high alert(外部)
日本の保険会社が委託先へのランサムウェア攻撃を受け高い警戒状態にある状況を解説し、サプライチェーン全体でのリスク管理の重要性を指摘している。
審調社へのランサムウェアによるサイバー攻撃、委託元34社以上に影響か(外部)
審調社への攻撃が複数の保険会社を含む30社超の委託元に影響した可能性を整理し、技術的な観点からインシデントの特徴と論点を説明している。
審調社へのランサムウェア攻撃で損保各社が情報漏えいを公表(外部)
審調社のインシデントを受け、損害保険会社などが相次いで情報漏えいやそのおそれを公表した経緯をまとめ、サプライチェーン攻撃としての構造を解説している。
Ransomware incidents in Japan during the first half of 2025(外部)
2025年上半期の日本におけるランサムウェアインシデントの傾向と代表的事例を整理し、攻撃グループの活動パターンと防御側の対策を分析している。
不正アクセスに関するご報告とお詫び(最終報)(外部)
審調社が自社ネットワークへの不正アクセスとランサムウェア被害について、原因・影響範囲・再発防止策をまとめた最終報告を掲載しているページである。
【編集部後記】
保険会社との関係は、契約した瞬間から長く続いていくものですが、その裏側でどれだけ多くの委託先やシステムが関わっているかを意識する機会は多くありません。 今回のように委託先が攻撃されるケースが増える中で、自分の情報がどこまで広がり、どう守られているのかを一緒に確かめていけたらと感じています。
みなさんは、利用している保険や金融サービスを選ぶとき、「セキュリティへの取り組み」をどの程度気にしているでしょうか。 契約内容や保険料だけでなく、サイバーリスクへの向き合い方も含めて、自分なりの判断軸を少しずつアップデートするきっかけになればうれしいです。
