大規模な個人情報流出が明らかに
通信事業者インターネットイニシアティブ(IIJ)が運営する法人向けメールセキュリティサービスで、31万件超のアドレスおよびパスワードが不正に取得された。対象は、迷惑メール対策サービス「IIJセキュアMX」で登録された法人利用者のメールアカウントである。流出範囲はメール本文や添付ファイルを含む586契約に及び、被害は多岐にわたる。
異常検知が機能せず、長期にわたり漏洩続く
2023年8月に発生した外部からの不正侵入が、流出の発端だった。しかし、IIJの監視体制は異常を捉えられず、2024年4月まで事態は把握されなかった。検知機能の欠陥により、対応が遅れたことが情報漏洩の拡大につながった。
総務省が通信の秘密侵害で指導に踏み切る
2025年7月18日、総務省は電気通信事業者としての義務違反を重く見て、IIJに対する行政指導を実施した。特に「通信の秘密」の保護義務に反する行為と判断し、事業運営の改善とセキュリティ体制の再構築を強く要請している。これは民間通信業者への警鐘とされる。
法令順守と業界の信頼回復が焦点に
行政側はIIJだけでなく、通信業界全体に対してセキュリティ強化を呼びかけている。特に法人サービスを提供する各社には、自社のシステムの脆弱性を放置しない管理体制の構築が求められている。技術的対応だけでなく、ガバナンス強化も急務とされている。
IIJ、全社的な対策を実施へ
IIJは今回の行政指導を重く受け止め、「再発防止策の確実な実施」と「セキュリティ体制の強化」を進めると表明した。今後は社内の監視機構の見直しと、システム全体の堅牢性向上に取り組むことで、顧客の信頼を取り戻す方針である。
