2026-04-28 コメント投稿する ▼
沖縄総合事務局サーバーへの不正アクセスで1万5000人超の個人情報が漏洩か 顔写真・住所・生年月日も流出の恐れ
2026年4月28日、内閣府沖縄総合事務局は同局が管理する専用サーバーに不正アクセスがあり、計1万5091人分の個人情報が外部に漏洩した可能性があると発表しました。不正アクセスが検知されたのは2026年1月で、同局はすぐにサーバーの利用を中止するなどの措置を講じており、現時点で二次被害は確認されていないとしています。漏洩した可能性がある情報には氏名や住所のほか、顔写真やメールアドレスも含まれており、一部は生年月日や電話番号も対象となっています。同局によれば、これほどの規模の個人情報漏洩は初めてのケースです。政府機関を狙ったサイバー攻撃が後を絶たない中、国の機関のセキュリティ体制の甘さと、検知から公表までの長い時間差について改めて問い直す必要があります。
2026年1月に検知も4月公表 経緯と対応の遅れ
沖縄総合事務局は2026年1月、専用サーバーへの不正アクセスを検知しました。
同局は検知後すぐにそのサーバーの利用を停止するとともに、影響範囲の調査に着手したとしています。そして2026年4月28日、個人情報保護法に基づく報告義務を踏まえ、漏洩の可能性がある情報の内容と件数を正式に発表しました。検知から公表まで約3か月にわたる時間を要したことになります。
その間、連絡先が判明している対象者への個別通知は順次進められているとのことですが、顔写真や住所といった高度にプライベートな情報が対象となっている以上、より迅速な情報開示が求められていました。同局は「ご心配、ご迷惑をおかけした皆さまにおわび申し上げる」とコメントしていますが、発覚から公表まで約3か月もかかったことへの説明は十分とは言えません。
顔写真・生年月日・電話番号も 漏洩の可能性がある情報の内容
今回流出した可能性がある個人情報の内容は、外部の関係者の氏名、住所、メールアドレス、顔写真などです。
このうち一部については、さらに生年月日や電話番号も含まれているとされています。氏名・住所・メールアドレスだけでなく、顔写真という非常に機密性の高い生体情報が含まれている点は深刻です。 フィッシング詐欺や、なりすましによる不正利用、SNSを介した嫌がらせなど、二次的な被害につながるリスクが高い情報が含まれています。同局は現時点で二次被害は確認されていないとしていますが、流出した情報がどのように扱われているかを完全に把握することは難しく、対象者の不安は続いています。
「自分の顔写真まで漏れているかもしれないなんて、本当に怖い。信頼して登録したのに」
「3か月以上も非公表にしていたのは問題だと思う。早く教えてほしかった」
「政府機関がサイバー攻撃に遭うなんて。国民の個人情報を守る気があるのか疑いたくなる」
「誰が不正アクセスしたのか、捜査はちゃんとされているのか。外国のスパイの可能性もあるのでは」
「スパイ防止法がなければ、情報を盗んだ人間を本当に取り締まれるのかが心配だ」
相次ぐ官公庁・政府機関へのサイバー攻撃 今回が初めてではない
沖縄総合事務局をめぐる情報漏洩は、今回が初めてではありません。
2025年9月には、国土交通省近畿地方整備局が受けた不正アクセスの影響で、沖縄総合事務局の職員約1200人分の氏名や公用メールアドレス、ユーザーIDなどの情報が流出した可能性があると発表されていました。また沖縄総合事務局は別の事案で、中小企業の人材確保を支援するサイトへの不正アクセスにより668人の個人情報が漏洩したことを発表したこともあります。
2024年の調査では、国内のセキュリティインシデントの原因の約6割が「不正アクセス」によるものであることが示されており、企業・官公庁を問わず政府機関や公的機関が標的とされるケースは年々増加しています。特に政府機関が保有する個人情報や行政上の機密情報は、国内犯罪者だけでなく外国の情報機関による諜報(スパイ)活動の標的になり得ることを考えると、現在の日本の法体制では対処に限界があります。
スパイ防止法の早期制定も含め 実効性ある対策を急げ
政府機関がサイバー攻撃の被害を受けるたびに、情報流出の事後対応だけが繰り返されています。
今回の事案でも、誰が不正アクセスを行ったのか、その目的は何だったのか、情報はどこに渡ったのかについて、公表された内容からは判然としません。民間企業と同様に、官公庁においてもサイバーセキュリティ体制の強化は急務ですが、それに加えて法的な対応能力の整備も欠かせません。現在の日本にはいわゆるスパイ防止法が存在せず、外国の情報機関が国内の政府機関に不正アクセスしても、適切に取り締まることが困難な状況が続いています。政府機関の情報を守るためには、サイバーセキュリティの技術的強化と、スパイ防止法の早期制定を両輪で進めることが不可欠です。
国民の個人情報を預かる以上、不正アクセスを受けた際の迅速な検知・公表・対応の仕組みと、情報を盗もうとする者を確実に処罰できる法的根拠の整備を、政府は今すぐ着手すべきです。
まとめ
- 2026年4月28日、内閣府沖縄総合事務局が専用サーバーへの不正アクセスによる計1万5091人分の個人情報漏洩の可能性を発表
- 漏洩の可能性がある情報は氏名・住所・メールアドレス・顔写真で、一部は生年月日・電話番号も含む
- 不正アクセスの検知は2026年1月で、公表まで約3か月を要した
- 現時点で二次被害は確認されていないが、顔写真など機密性の高い情報が含まれており、対象者への影響が懸念される
- 沖縄総合事務局は過去にも同様の情報漏洩事案を複数起こしており、抜本的なセキュリティ対策が求められる
- 政府機関へのサイバー攻撃が増加する中、技術的対策に加えスパイ防止法の制定など法整備の早期実現が急務
