ある日、あなたのスマホに「アフラックです」と電話がかかってくる。相手は、あなたの名前も、住所も、どの保険に入っているかも、きちんと言い当ててくる。だから、つい信じてしまう——。今回の情報漏えいがこわいのは、被害額が確認されたからではありません。むしろ「まだ何も起きていない」いまこそ、そういう”よくできた偽物”が近づいてくる下地が静かに整ってしまった、という点にあります。契約者専用サイトが破られ、名前や連絡先だけでなく、保障の中身や引き落とし口座の情報まで外へ出た。カード番号のように止めて作り直せる情報とは違い、これらは書き換えがききません。この記事では、何が起きて、どこまでが分かっていて、そして私たちが今日から何を気をつければいいのかを、落ち着いて整理していきます。
アフラック生命保険株式会社は2026年6月30日、ご契約者様専用サイト「アフラック よりそうネット」などのシステムが第三者による不正アクセスを受け、個人情報を含む一部の情報が漏えいしたと発表した。同社の調査によると、最初の不正アクセスは2026年6月15日で、6月25日までに複数回発生し、6月25日に漏えいが判明した。
同日、不正アクセスを遮断し関連システムを停止した。漏えいしたお客様の個人情報は氏名、生年月日、性別、住所、電話番号、証券番号、保障内容、保険料振替口座情報などで、対象は約438万人、うち振替口座情報を含むのは約23万人。代理店約4万店の情報も含まれる。マイナンバーおよびクレジットカード情報は含まれない。現時点で情報の不正利用は確認されていない。同社は金融庁・警察等へ報告済みで、代表取締役社長は古出眞敏。
From:
当社システムに対する不正アクセスの発生および情報漏えいに関するお詫び|アフラック生命保険
【編集部解説】
まず押さえておきたいのは、今回の漏えいが「量」と「質」の両面で重いということです。約438万人という規模は、日本国内の個人情報漏えい事案としても最大級です。しかし本当に注意すべきは件数そのものより、漏れた情報の組み合わせにあります。
氏名・生年月日・住所・電話番号がそろい、そこに証券番号と保障内容まで加わっています。生命保険の保障内容は、その人の健康上の関心や生活状況を推測する手がかりになり得る、プライバシー性の高い情報です。これに約23万人分の振替口座情報が重なると、「アフラックを名乗る、あなたの契約を正確に言い当ててくる連絡」を攻撃者が作れてしまう可能性があります。これは、いわゆるフィッシングや振り込め詐欺の”精度”を一段引き上げる材料になり得ます。
一方で、マイナンバーとクレジットカード情報は含まれていないと明言されており、この点は不幸中の幸いです。カード番号のように即座に金銭被害へ直結する情報ではないぶん、二次被害は「時間差」でやってくると考えて備えておくのが妥当でしょう。
技術的に見過ごせないのが、検知までの時間です。最初の侵入は6月15日、発覚は6月25日。約10日間、攻撃者はシステムへのアクセスを繰り返していました。報道によれば、アフラックはアクセス集中でシステム負荷が高まったことをきっかけに、25日に異常を検知したとされています。裏を返せば、攻撃者が静かに情報を閲覧している間は検知しにくかった可能性があり、「侵入を防ぐ」だけでなく「侵入されても早く気づく」監視体制の重要性を改めて示す事例といえます。なお、侵入経路や攻撃者、使われた手口といった原因の詳細は、アフラックが「調査中」としており、本稿執筆時点では公表されていません。
ここで、なぜinnovaTopiaが今この記事を書くのか、という視点をお伝えします。これは単発の”アフラックの事故”ではなく、保険業界という「機微情報の巨大な貯蔵庫」が世界的に狙われている流れの一部と見ることができるからです。
実はアフラックの米国本体は、2025年6月に大規模なサイバー攻撃を受け、公式発表では約2,265万人分の個人情報が関与したとされています。複数の海外報道は、この攻撃を「Scattered Spider」と呼ばれるサイバー犯罪集団の特徴と一致するものと伝え、Google Threat Intelligence Groupも保険業界を標的とした一連のキャンペーンへの警戒を呼びかけていました。ただし、アフラック米国は攻撃者を「巧妙なサイバー犯罪集団」と表現するにとどめ、特定の集団名を断定してはいません。今回の日本法人の件についても、攻撃者や手口は「調査中」で、この米国の事案との関連は確認されていません。それでも、生命保険という業態そのものが、いま世界的に格好の標的になっているという構図は理解しておく価値があります。
規制面では、すでに動きが出ています。複数の報道によれば、金融庁は今回の漏えいに関して保険業法に基づく報告徴求命令を出し、原因分析や再発防止策の報告を求めているとされます。438万件という規模は個人情報保護法上、報告・本人通知が義務づけられる事態に当たり、個人情報保護委員会への報告と対応も避けられません。アフラックは2023年にも委託先経由で約130万人規模の流出を起こしており、当時公表した再発防止策の実効性が、今回あらためて問われる展開になっています。
将来に目を向けると、この事案は日本の金融・保険業界にとって「対岸の火事ではない」ことを突きつけます。東京商工リサーチによれば、2025年に上場企業とその子会社が公表した個人情報の漏えい・紛失は180件で、原因別では「ウイルス感染・不正アクセス」が116件と全体の約6割を占めています。攻撃はもはや「起きるかどうか」ではなく「いつ起きるか」の段階に入りつつあります。企業側にはゼロトラスト設計や特権アクセスの継続監視が、私たち利用者側には「正確な情報を持った相手ほど疑う」という新しいリテラシーが求められる時代になった、というのが今回の本質的なメッセージだと考えます。
【用語解説】
不正アクセス
権限を持たない第三者が、他人のIDやパスワード、あるいはシステムの脆弱性などを利用して、本来アクセスできないコンピュータやサービスに侵入する行為。不正アクセス禁止法で禁じられている。
アフラック よりそうネット
アフラック生命保険のご契約者様専用サイト。契約内容の確認や住所・電話番号の変更などの手続きを、パソコンやスマートフォンから行える。今回の不正アクセスの主な標的となり、現在は停止中である。
保険料振替口座情報
毎月の保険料を口座振替(自動引き落とし)で支払う際に登録している銀行口座の情報。金融機関名、支店名、預金種類、口座番号、口座名義などが含まれる。今回、約23万人分が漏えいの対象となった。
証券番号
保険契約ごとに割り振られる固有の管理番号。契約者本人を特定し、契約内容を照会する手がかりとなるため、これが漏れると本人になりすました問い合わせや詐欺に悪用されるおそれがある。
ソーシャルエンジニアリング
システムの技術的な穴を突くのではなく、人間の心理的な隙や信頼を突いて情報を盗む攻撃手法。ヘルプデスクやコールセンターの担当者になりすまし、パスワードの再設定などをさせる手口が代表的。
Scattered Spider(スキャッタード・スパイダー)
主に英語圏の若年層で構成されるとされるサイバー犯罪集団。UNC3944などの別名でも呼ばれる。ソーシャルエンジニアリングを得意とし、2025年に米国の保険業界を標的とした一連の攻撃との関連が指摘されている。アフラック米国本体の2025年の事案も、その特徴と一致すると報じられた。
報告徴求命令
金融庁が保険業法などに基づき、事案の原因分析や再発防止策などについて報告を求める行政上の措置。報道によれば、今回アフラックに対して発出されたとされる。
ゼロトラスト
「社内ネットワークだから安全」という前提を捨て、すべてのアクセスを疑い、その都度検証するセキュリティの設計思想。侵入を前提とし、被害の横展開を防ぐ考え方として近年主流になりつつある。
【参考リンク】
アフラック生命保険 公式サイト(外部)
日本のがん保険・医療保険の大手。今回不正アクセスを受けた「よりそうネット」を運営する当事者企業の公式サイト。
お詫びとお知らせ(プレスリリースPDF)(外部)
漏えいの経緯、対象人数、漏えい項目などの詳細を記した公式発表資料。事実関係の核心部分の出典である。
Aflac updates June 2025 security incident(米国Aflac)(外部)
米国本体が2025年の攻撃で約2,265万人分が関与したと更新した公式発表。日本事案の背景として参照。
金融庁 公式サイト(外部)
報道で報告徴求命令の発出が伝えられた行政機関。保険業法に基づき保険会社の監督を担う。
漏えい等報告・本人通知の義務化について(個人情報保護委員会)(外部)
一定規模以上の漏えいで委員会報告・本人通知が義務となる制度を解説した公式ページ。
【参考記事】
アフラック顧客情報438万人分流出 不正アクセス(日本経済新聞)(外部)
金融庁の報告徴求命令や、2025年の漏えい180件・不正アクセス116件という業界全体の数値的背景を報じている。
上場企業の「個人情報漏えい・紛失」事故 180件発生(東京商工リサーチ)(外部)
2025年の事故が180件、原因別で「ウイルス感染・不正アクセス」116件・構成比64.4%と示した調査原典。
Aflac Japan Data Breach Impacts 4.38 Million(SecurityWeek)(外部)
約438万人分の流出を報道。攻撃期間や米国SECへの提出書類での公表、日本法人に限定された事案である点を整理。
Insurer Aflac investigating possible data leak after cyberattack(Reuters)(外部)
米国本体の2025年事案を報じ、特徴がScattered Spiderと整合すると広報が述べたと伝える報道。
アフラックに不正アクセス、約438万人分の個人情報漏えい(ITmedia NEWS)(外部)
発覚から遮断・システム停止、初回侵入の判明までの時系列を国内IT専門メディアの視点で整理した記事。
Aflac Japan reports data breach affecting over 4 million customers(The Japan Times)(外部)
アクセス集中による負荷の高まりで異常を検知したという、検知の経緯に踏み込んだ記述が特徴の英語報道。
アフラック、130万人分の個人情報流出 チューリッヒは75万件(Impress Watch)(外部)
今回の”再発”という論点の前提となる、2023年の委託先経由による約130万人分流出を報じた記事。
【関連記事】
Aflac含む米保険3社が連続攻撃被害 – 若年サイバー犯罪集団
今回の編集部解説で触れたアフラック米国本体を含む2025年の米保険業界攻撃を扱う。日本事案の”前史”にあたる記事。
Scattered Spider、米国保険業界を新標的に Google警告、ソーシャルエンジニアリングでMFA突破
Google Threat Intelligence Groupの警告をもとに、保険業界が狙われる理由を解説。今回の世界的潮流を裏づける。
KDDIメール基盤に不正アクセス|1,422万件漏えいの可能性と今すぐすべきパスワード対策
2026年6月の国内大規模漏えい事案。「今すぐの自衛策」という読者導線が本記事と共通し、対比・併読に適する。
【編集部後記】
この一件を追いかけながら、ずっと引っかかっていたことがあります。今回漏れたのは、パスワードやカード番号のような「変えられる情報」ではなく、名前や生年月日、そして「どんな保険に入っているか」という、その人の暮らしにひもづいた情報だったということです。パスワードなら変えればいい。カードなら止めて作り直せる。でも、自分の名前や、家族のために選んだ保障の中身は、流出したからといって差し替えるわけにはいきません。一度外に出た情報は、どこかに残り続ける。その”取り返しのつかなさ”こそが、この種の漏えいの本当の重さなのだと、あらためて感じました。
もうひとつ気になったのは、時間の流れです。最初の侵入から気づくまで、およそ10日。その間、攻撃者は静かに情報を眺めていたとみられます。派手に壊すのではなく、気づかれないように持ち出す。この「静かさ」が、いまのサイバー攻撃のこわいところだと思います。塀を高くして侵入を防ぐことも大事ですが、それと同じくらい、「入られてしまったあと、どれだけ早く気づけるか」が問われている。これは一企業の失敗談ではなく、私たちが日々あずけている先すべてに通じる話です。
そして、いちばん伝えたいのはここです。今回のことで、私たちにできる魔法のような対策はありません。でも、たったひとつだけ、효き目のある習慣があります。それは「向こうから来た連絡を、そのまま信じない」こと。電話でもメールでもSMSでも、相手がどれだけこちらの事情に詳しくても、いったん切って、自分で正規の窓口にかけ直す。たったそれだけで、多くの”よくできた偽物”は空振りします。相手が詳しいほど疑う——少し窮屈に聞こえるかもしれませんが、これからの時代の、あたらしい礼儀のようなものだと考えています。同じように不安を感じた人と、この小さな習慣を分け合えたらうれしいです。












