“不要データの放置”が企業を追い詰める──電通情報漏洩事件から読む新時代のデータリスク

2025年10月下旬、電通グループ傘下のマーケティング／データ管理会社 Merkle のネットワークにおいて「異常な活動」が検知され、サイバー攻撃（不正アクセス）があったことが明らかとなった。
この攻撃により、同社のシステムから「あるファイル群」が不正に持ち出され、その中には現役および元社員の氏名、給与明細、銀行口座情報、社会保険番号（英国における “National Insurance number”）、個人連絡先など、きわめて機密性の高い個人情報が含まれていたとされる。

 被害は数千人規模とされ、現時点で影響が確認された従業員・元従業員らには、通知とともにダークウェブ監視サービスの提供が案内されている。

これを受け、欧米を含む元社員150名超が連帯して、同社に対する集団訴訟（クラスアクション）の準備を進めている。訴訟の焦点は、今回の情報流出が単なる「ハッカーによる外部攻撃」ではなく、そもそもの「データ管理態勢のずさんさ」――特に、すでに利用目的を失っていた古い個人データを不要になっても削除せず放置していた点（不要データ保持＝Data Retention）の違法性――にあるとされている。 

つまり、これは「社外からの攻撃による被害」以上に、「企業の中で許されるべきでないデータ管理／保存体制の問題」を問う訴訟であり、単なる事故にとどまらない重大な事件に発展している。

電通はこのインシデントについて英国の監督機関（Information Commissioner’s Office, ICO）などに報告を行ったと公表している。

この事件には、少なくとも以下のような複合的な問題点があると考えられる。

氏名、銀行口座、給与明細、社会保険番号などは悪用されれば個人の金銭被害やアイデンティティ詐欺につながる。特に欧州などでは、個人識別番号（National Insurance number）は日本で言えばマイナンバーに近く、流出すればなりすまし／不正口座開設等のリスクが高い。

さらに、元社員（退職後10年以上経過した者）も巻き込まれており、「退職後も保存されたまま」という “過剰かつ不要なデータ保持” が重大な問題になっている。

組織として、不要データを消去・廃棄するという基本を守らず、長期間にわたって旧社員データをサーバーに放置していた疑いがある。これは、データ保護の基本原則（必要最小限保存、目的外利用の禁止、保存期間の制限など）に反する。

また、仮に侵害された際の初動対応や監視、アクセス制御、ログ管理、データ削除の仕組みなど、組織としてセキュリティ対策が構造的に脆弱だった可能性が高い。

電通側は通知と、ダークウェブ監視サービスの提供を行ったが、流出による被害可能性や今後のリスク（ID詐欺、なりすまし、金融口座の不正利用など）に対する包括的な補償や予防策はまだ限定的だ。

また、多数の元社員に対して通知が届いているか、あるいは連絡先情報が古かった場合確実に通達が行き届いたかも、外部からは見えづらい。

広告／データを扱う業界において、顧客情報・従業員情報を広範に管理する会社のデータ漏洩は、その企業のみならず、業界全体への信頼を揺るがす。特に、消費者データや顧客データなどを扱うクライアント企業にも連鎖的な信用毀損の可能性がある。

このような事件は、単に技術的なミスではなく、ガバナンスと企業責任の問題だ。

元社員らによる集団訴訟（クラスアクション）として、以下のような論点・争点が予想される。

欧州（英国を含む）では、個人データの処理・保持は「必要最小限かつ目的が終わったら削除する」ことが原則とされる。今回、退職後10年以上経過した元社員のデータも保持されていたという報道があることから、この原則に反する可能性が高い。訴訟側はこの点を主張し、「そもそも保持すべきではなかったデータを放置していた違法性」を問うだろう。

企業には従業員・顧客の個人情報を適切に守る義務がある。今回、ネットワークに脆弱性または管理不備があり、ハッカーからのアクセスを受けたことが判明。訴訟では、「適切なサイバーセキュリティ管理、アクセス制御、暗号化、不要データ削除などを怠った」として、企業の義務違反を指摘する可能性がある。

特に、元社員の情報を長期保管していたことに加え、セキュリティ設計が甘かったならば、過失責任や安全配慮義務違反で損害賠償を求める構造になる。

被害者側は、将来的な詐欺やなりすましリスク、精神的苦痛、不安、信用毀損などを根拠に、金銭的補償やクレジット／IDモニタリングの継続提供、不正使用が確認された場合の保証などを訴える可能性がある。

また、同種事案の予防・再発防止を目的とした司法所見（インビンシブル判決や和解など）も想定される。

企業が所属する国（英国など）のデータ保護監督機関（たとえば ICO）が、本件のような大規模な個人情報漏洩・不正保持について監査・制裁を行う可能性がある。訴訟だけでなく、行政処分、罰金、是正命令などのリスクも大きい。

また、これが判例化すれば、他社・他業界にも波及的な影響を与える可能性がある。

結論としては、十分に起こりうると考えられる。以下がその理由である。

特に広告代理店、マーケティング会社、データ分析企業、CRM運営会社、クラウドサービス事業者など、従業員データだけでなく顧客、サプライヤー、第三者データを広範に保有・管理する企業は多い。複数の地域・国で事業を展開する国際企業であれば、法規制の違いも管理負荷を高める。

今回のように、子会社にデータ管理を委託しているようなグローバル企業では、「親会社／グループ企業全体のガバナンス」と「各国の法令・管理体制」の統一が難しく、同様の漏洩リスクは普遍的だ。

多くの企業では、特に元従業員データや古い顧客データなどを「念のため」「将来使うかもしれない」として、長期間保存し続ける慣習がある。法的義務や内部規程があっても、実務上の運用が伴わず、放置されてしまうケースは少なくない。

また、サイバー攻撃の手法や組織のIT構成が複雑化する中で、セキュリティ対策やアクセス管理の見落としが頻発しており、今後も同様の事件は起こりうる。

企業はデータを使ってサービスを改善したり、顧客体験を最適化したり、広告効果を最大化したいという圧力を強く感じている。こうしたビジネス要請の中で、データを長期間保存・分析し続けたいという誘惑は強い。

だが、その一方でデータ保護・削除の負荷やコストは高く、経営判断で後回しにされがち。結果として管理のずさんさが温存され、「忘れられたデータ」がサイバー攻撃を受ける温床となる。

今回のような事案を繰り返さないために、以下のような「あるべき姿」が必要だと考える。

• 企業は、個人データの収集・利用目的を明確に定め、目的が終了した時点でデータを削除または匿名化する体制を義務付けるべき。
   
• 社内に「データ・ガバナンス責任者（Data Protection Officer または同等の管理責任者）」を置き、データ保存期間管理、アクセス制御、定期的な監査を制度化する。
   
• 元社員や退職者のデータについては、必要性がなくなった段階で確実に削除し、保持の理由がある場合は明示・記録を残す。

• データを扱うネットワークについては、最小権限でのアクセス制御、暗号化、ログ管理、不正アクセス検知・監視体制の構築が必須。
   
• 外部セキュリティ専門企業による定期的なペネトレーションテストや脆弱性診断を義務付け。その結果と改善状況を定期的に報告することで透明性を担保。
   
• 運営する企業グループ内での共通ルールを策定し、子会社／関連会社にも適用。

• 流出が確認された従業員・元従業員には、ダークウェブ監視やクレジットモニタリングに加え、被害が実際に発生した場合の補償枠（たとえば不正引き落としの補填、弁護士費用の補償、心理的損害への慰謝的支払いなど）を設けるべき。
   
• また、被害がなかった場合でも将来の不正利用リスクを考慮し、長期にわたるモニタリングや情報提供の体制構築を検討すべき。

• 各国のデータ保護法および監督機関（たとえば英国の ICO、日本であればプライバシー保護法・個人情報保護法など）による定期的な監査と、違反時の厳格な制裁（罰金、業務改善命令、公表義務など）が必要。
   
• 特に、多国籍企業・国際企業には、どの国のデータがどこに保存されているかを明示させ、国をまたぐデータ管理の可視化を義務付ける制度が望ましい。
   
• さらに、流出リスクが高い業界（広告、マーケティング、データ分析、クラウド）に対しては、業界横断的なガイドラインやベストプラクティス、公的認証制度などを整備する。