株式会社ユナイテッドアローズは2026年3月16日、元従業員による個人情報漏えいが発生したと発表した。2025年12月31日付で退社した元従業員が、退社後の2026年1月4日に同社のクラウドサーバーシステムの外部連携機能を使用し、お取引先様リストなど広報・PR活動に関連する個人情報を外部PCにダウンロードし持ち出した。
漏えいした情報は氏名、勤務先企業名、所属部署名、電話番号、メールアドレス、住所など約1万人分にのぼる。外部機関による調査の結果、第三者への流出や二次被害は確認されていない。
同社は2026年3月9日付で個人情報保護委員会に報告済みである。
From: 
【3/17情報更新】お取引先様の個人情報漏えいに関するお詫びとご報告|株式会社ユナイテッドアローズ
【編集部解説】
今回の事案は、一見「元従業員による情報持ち出し」というシンプルな不祥事に見えます。しかし技術的な観点から深く見ていくと、現代のクラウド環境が抱える構造的な脆弱性を鮮明に映し出した事例であることがわかります。
注目すべきは持ち出しの手口です。公式発表(3/17更新)によると、元従業員は退職前にクラウドサーバーの外部連携機能を使ってデータをアップロードし、そのリンクを個人のメールアドレスに送付したうえで、退職後の1月4日にそのリンクを使って外部PCにダウンロードしたとされています。つまり、退職前から計画的に「出口」を準備していた可能性がある点が、この事案の本質といえます。
企業のデジタルトランスフォーメーション(DX)が加速するなか、Google DriveやDropboxをはじめとするクラウド共有ツールの業務活用は広く浸透しています。利便性が上がった一方、「リンクさえあればどこからでもアクセスできる」という特性が、従来の「退職と同時にIDを無効化する」だけでは守れないリスクを生み出しています。社内システムのアカウントを即時無効化しても、退職前に生成された共有リンクが生き続けていれば、そこが侵入口になりえるのです。
また今回は、ユナイテッドアローズが1月19日に警察へ相談していることも注目に値します。企業として法的措置も視野に入れた対応を取っている点は、情報漏えい事案における毅然とした姿勢として評価できます。
法的な側面では、今回のような行為は不正競争防止法違反(営業秘密の不正取得)や個人情報保護法違反に問われる可能性があります。ユナイテッドアローズは個人情報保護委員会への報告を3月9日付で完了しており、手続き上の対応は適切に行われています。ただし、発覚から公表まで約2ヶ月が経過している点は、今後の透明性に関する議論を呼ぶかもしれません。
今回漏えいした情報は一般消費者ではなく、広報・PR活動に関わる取引先のビジネスパーソンの連絡先情報です。これはいわゆるB2B領域の情報であり、標的型フィッシング(スピアフィッシング)や営業リストとしての悪用リスクが潜在的に存在します。今回は二次被害が確認されていませんが、ビジネス上の信頼関係に与えるダメージは軽視できません。
一方でポジティブな側面として、今回の事案を契機に「退職時のアクセス権限管理」「クラウド上の共有リンクの有効期限設定」「ログ監視の強化」といった具体的な対策が業界全体で見直されるきっかけになりえます。特に、退職の意思が確認された時点から段階的にアクセス権を縮小していく「権限の段階的失効」という考え方は、多くの日本企業でまだ十分に浸透していません。
日本では近年、転職市場の活性化とともに退職者による情報持ち出しのリスクが増大しています。企業は「性善説」に頼ったセキュリティ設計から脱却し、技術的な制御を組み合わせた「ゼロトラスト」的な発想での情報管理体制を整備することが、これからの時代には不可欠です。
【用語解説】
クラウドサーバーの外部連携機能
クラウドサーバー上に保存されたファイルに対し、特定のURLを発行することで、社外のデバイスや相手方とデータを共有できる機能だ。Google DriveやDropboxなどに搭載されており、業務の利便性を高める一方、退職前に発行されたリンクがアカウント無効化後も生き続けるケースがあり、情報漏えいの温床になりうる。
スピアフィッシング
不特定多数を狙う一般的なフィッシング詐欺と異なり、特定の個人や組織を標的に絞った高度な詐欺メールや偽サイトを用いる攻撃手法だ。氏名・メールアドレス・所属企業など具体的な個人情報を利用して本物らしく偽装するため、被害者が気づきにくい点が特徴である。
ゼロトラスト
「社内ネットワークは安全」という従来の前提を捨て、社内外を問わずすべてのアクセスを「信頼しない(ゼロトラスト)」ものとして毎回認証・検証するセキュリティの考え方だ。クラウド活用や在宅勤務の普及を背景に、現代のセキュリティ設計の主流になりつつある。
不正競争防止法
企業間の公正な競争を守ることを目的とした日本の法律だ。「秘密として管理されている」「事業活動に有用」「公然と知られていない」という3要件を満たす情報は「営業秘密」として保護され、不正に取得・使用した場合は民事上の損害賠償請求だけでなく、刑事罰の対象にもなりうる。
【参考リンク】
株式会社ユナイテッドアローズ 公式サイト(外部)
1989年創業のセレクトショップ大手。UNITED ARROWSなど複数ブランドを展開し、東証プライム市場に上場している。
個人情報保護委員会(PPC)公式サイト(外部)
個人情報保護法を所管する内閣府外局の独立行政機関。企業からの漏えい報告受付や、違反への勧告・命令などの監督権限を持つ。
【参考動画】
【参考記事】
元従業員が約1万人分の個人情報を無断持ち出し|ITmedia NEWS(外部)
ITmedia NEWSによる報道。退職前にリンクを仕込み退職後に持ち出した手口と、漏えい約1万人分の詳細を報じている。
元従業員によるデータ持ち出しで約1万人の個人情報漏えい|Internet Watch(外部)
Impress Internet Watchによる報道。元従業員によるデータ持ち出しの概要と対応の時系列を簡潔にまとめている。
退職者による情報持ち出しリスクとその対策|ALSOK(外部)
ALSOKによるセキュリティ解説記事。退職者による情報持ち出しのリスク類型と、アクセス権限管理や段階的失効など具体的な対策を詳述している。
【企業向け】退職者による顧客情報持ち出しは罪?法律・事例|eye247(外部)
退職者による情報持ち出しの法的リスクと企業の対応策を解説。不正競争防止法・個人情報保護法の観点から詳しく整理されている。
退職者が内部情報持ち出し、性善説に基づいたセキュリティ対策の限界|Shift Security(外部)
日本企業に多い性善説に頼ったセキュリティ設計の問題点を指摘し、技術的制御とゼロトラスト的発想への転換を促す専門解説記事。
【編集部後記】
「退職前にリンクを仕込み、退職後に持ち出す」——この手口を知ったとき、あなたの職場では同じことが起きないと言い切れますか。IDを止めても、リンクは止まらない。
そんな盲点が、実は日常の業務ツールの中に潜んでいます。特別な知識がなくてもできてしまう手口だからこそ、一緒に考えてみたいと思いました。
