スターバックス コーヒー ジャパン、3万1500人分の情報漏えい

2025年9月19日、スターバックス コーヒー ジャパンは、従業員や退職者の個人情報約3万1500人分が漏えいしたと発表しました。

原因は、同社が利用しているパナソニック コネクト傘下の米Blue Yonder社が提供するシフト作成ツール「Work Force Management」に対するサイバー攻撃です。

■ 何が起きたのか？

• 漏えい人数：約3万1500人分の従業員・退職者情報

• 漏えい内容：ID、漢字氏名（読み仮名なし）、一部で生年月日・契約開始日・職位（各約50人分）

• 漏えいしていない情報：住所、電話番号、メールアドレス、給与、銀行口座情報、マイナンバー、顧客情報

攻撃の発覚は2024年12月にさかのぼります。Blue Yonderがハッカー集団からのサイバー攻撃を受け、2025年5月29日にスターバックスへ報告。

その後の調査過程で当初は110人分とされていましたが、最終的に3万1500人規模の漏えいであったことが判明しました。

■ 調査の経緯

• 2024年12月：Blue Yonderがサイバー攻撃を受ける

• 2025年5月29日：スターバックスに漏えい可能性を報告

• 6月20日：Blue Yonderがサンプルデータを提供 → 110人分の漏えいを確認

• 7月29日：提供データがサンプルにすぎないことが判明

• 9月：全データ調査の結果、3万1500人分の漏えいを確認

なお、Blue Yonderは2024年11月にもランサムウェア攻撃を受けていましたが、今回の事案は別件とされています。

■ 企業の対応と再発防止策

スターバックス コーヒー ジャパンは以下の対応を進めています。

• Blue Yonderへのセキュリティ体制強化要求

• 委託先の管理基準や監査体制の見直し

• 個人情報を扱うシステムの総点検

• 漏えい対象者向け相談窓口の設置

同社は顧客情報が含まれていない点を強調しつつ、委託先管理を含めた再発防止を徹底するとしています。

■ 今後の注意点

今回のケースは「委託先システム」からの情報漏えいです。企業にとって自社システムの防御だけでなく、サプライチェーン全体のセキュリティ対策が不可欠であることを示しています。

特に次の点が教訓になります：

• 委託先や外部ツール利用時のセキュリティ評価・監査の強化

• 漏えい範囲の迅速かつ正確な把握体制の確立

• 情報管理責任を「自社だけでなくサプライチェーン全体」で考える視点

【参照】

https://www.itmedia.co.jp/news/articles/2509/19/news108.html