アフラックで438万人分の個人情報流出|不正アクセスの概要と利用者・企業が確認すべきポイント

アフラックで大規模な個人情報流出が判明

2026年6月30日、アフラック生命保険は、不正アクセスにより約438万人分の顧客情報が流出したと発表しました。

発表によると、このうち約23万人分には銀行口座情報も含まれていたとされており、金融・保険業界でも大規模なセキュリティインシデントとして注目されています。

現時点では、流出した情報が不正利用された事実は確認されていませんが、アフラックは金融庁や警察へ報告し、原因調査を進めています。


現時点で判明している内容

アフラックの発表および報道によると、以下の内容が確認されています。

流出した可能性がある情報

  • 氏名
  • 生年月日
  • 住所
  • 電話番号
  • 保険契約の保障内容
  • 約23万人分の銀行口座情報

また、代理店についても約4万店分の代表者氏名や店舗住所などが流出した可能性があるとしています。

不正アクセスの経緯

  • 不正アクセス期間:2026年6月15日〜25日
  • 6月25日に不正アクセスを検知
  • 同日に関連システムを停止し、アクセス拡大を防止
  • 原因は現在も調査中

【2026年7月1日追記】アフラック公式発表で確認された詳細

アフラック生命保険の公式発表によると、今回の不正アクセスは2026年6月15日に最初に発生し、6月25日までに複数回にわたり不正アクセスが確認されています。

6月25日には、お客様や代理店の個人情報を含む一部の情報が不正に閲覧され、漏えいしたことが判明し、同日、当該不正アクセスの遮断および関連システムの停止が行われました。

漏えいしたお客様関連の個人情報には、氏名、生年月日、性別、住所、電話番号、証券番号、保障内容、保険料振替口座情報などが含まれます。保険料振替口座情報には、金融機関名、支店名、預金種類、口座番号、口座名義などが含まれるとされています。

一方で、マイナンバーおよびクレジットカード情報は含まれていないと公表されています。

漏えい件数はお客様数で約438万人、このうち保険料振替口座情報が含まれるお客様数は約23万人です。また、代理店関連では、代理店代表者氏名、代理店住所、代理店電話番号など、約4万店分の情報が漏えいしたとされています。

原因の詳細については現在も調査中であり、アフラックは金融庁・警察等の関係機関へ報告済みとしています。

利用者は、アフラックを装った不審な電話、SMS、メールに注意するとともに、保険料振替口座に不審な取引がないか確認しておくことが重要です。


現時点で分かっていないこと

今回の発表では、次の点は明らかになっていません。

  • 攻撃者の侵入経路
  • 利用された攻撃手法
  • システム上の脆弱性の有無
  • 情報が実際に第三者へ悪用されたか
  • 再発防止策の詳細

そのため、現時点で攻撃手法を断定することは適切ではありません。


利用者が確認しておきたいポイント

現時点で不正利用は確認されていませんが、個人情報が流出した可能性がある以上、今後しばらくは注意が必要です。

1. 不審なメールやSMSに注意する

氏名や契約情報を利用したフィッシングメールが送られる可能性があります。

公式を装った

  • 契約確認
  • 保険金請求
  • 本人確認
  • 支払い確認

などの案内には十分注意し、メール内のリンクからログインしないようにしましょう。


2. 口座の入出金を定期的に確認する

銀行口座情報が含まれる対象者は約23万人とされています。

不審な引き落としや身に覚えのない取引がないか、しばらくは口座明細を確認することをおすすめします。


3. パスワードを使い回している場合は変更する

今回流出した情報にログインパスワードが含まれているとの発表はありません。

しかし、

  • 他サービスと同じメールアドレス
  • 同じパスワード

を利用している場合は、この機会に変更しておくと安心です。


モバイル不正対策ラボの見解

今回の事案で重要なのは、「438万人」という件数だけではありません。

保険会社は、契約者の個人情報だけでなく、金融情報や長期間にわたる契約情報を保有しています。

こうした情報は、直接的な金銭被害だけでなく、

  • フィッシング攻撃
  • なりすまし
  • ソーシャルエンジニアリング
  • 他サービスへの不正ログイン

などの二次被害につながる可能性があります。

そのため、企業は「情報を漏らさないこと」だけでなく、万一情報が流出した場合でも被害を最小限に抑える多層防御を構築することが重要です。


保険会社・金融機関が見直したいセキュリティ対策

今回の事案を受け、金融・保険・決済サービスを提供する企業では、次のような対策を改めて確認することが望まれます。

  • 不正ログインの検知
  • 多要素認証(MFA)の導入・見直し
  • 重要操作時の追加認証
  • Device Binding(端末認証)の活用
  • 異常なアクセスや端末変更の検知
  • インシデント発生時の初動対応と利用者通知体制

近年は、認証情報だけでなく、端末や利用状況も含めてリスクを判断する仕組みが金融サービス全体で広がっています。


まとめ

アフラックで発生した今回の不正アクセスは、約438万人分という大規模な個人情報流出につながる可能性がある重要なインシデントです。

現時点では原因は調査中であり、不正利用も確認されていません。しかし、金融・保険サービスを提供する企業にとっては、自社でも同様のリスクが起こり得ることを前提に、認証や端末管理、異常検知などを含めた多層的なセキュリティ対策を見直す契機となるでしょう。

利用者も、不審なメールやSMSに注意するとともに、口座の利用状況やアカウントの安全性を確認し、二次被害を防ぐ意識を持つことが重要です。


参考情報

  • アフラック生命保険 公式発表
  • 共同通信(2026年6月30日)
  • 金融庁 セキュリティ関連情報

あわせて読みたい