Cyber Security Intelligence Vox

RocketBoysは『2025年4月25日、ジブラルタ生命保険株式会社は、元営業社員および事務社員による顧客情報の漏洩事案について、詳細を公表しました。関係するお客様には既に個別通知を行っており、あわせて不審な勧誘等について注意喚起を行っています。』と報道している。

加えて『北九州支社に2024年3月まで在籍していた元営業社員4名が、在籍時に担当していた顧客の契約情報を不正に持ち出していたというものです。さらに、当該元営業社員らのうち3名については、退職後に営業所の事務社員（2025年1月に懲戒解雇）が依頼に応じて契約情報の一部を漏えいしていたことが、社内調査により判明しました。』と報道している。

保険契約という重要な個人情報を取り扱う事業者にしては、ガバナンスが効いていない典型例のインシデントです。さらに、当該退職社員が退職後に個人情報持ち出しに協力した社員もいたという事で、多重にガバナンスが効いていない状況を上塗りした形です。

内部不正に対する牽制については、日時で情報転送を監視して検知した、「一関信金」の事例がありますが、おそらくジブラルタル生命は監視もしていないものと思われます。

お詫び文に『個人情報漏えいに関するモニタリング等の措置を強化してまいります。』との記述があります。金融機関の情報セキュリティ基準の１つでもある、FISC安全対策基準というものがありますが、金融情報システムセンターの会員に、銀行をはじめとして生命保険会社（ジブラルタ生命）も加盟しており、このセキュリティ基準の信頼性が危ぶまれます。

保険会社と契約する際に、情報セキュリティに関する状況の確認までは行わない事が多いので、せめてFISC準拠ぐらいはしていると思いがちですが、実態は残念な状況であることが明確となり、何も信用できなくなってしまいます。

https://rocket-boys.co.jp/security-measures-lab/gibraltar-life-insurance-data-leak-2025/

ジブラルタ生命保険、元社員の不正持ち出しによる情報漏洩を公表

https://www.gib-life.co.jp/st/about/is_pdf/20250425.pdf

弊社におけるお客さま情報の漏えいについて