メール配信SaaS「める配くん」侵害|委託先監督の要点

メール配信SaaS「める配くん」侵害|委託先監督の要点 インシデント対応

取引先や会員へのメール配信を外部のSaaSに任せている情シスは、まず自社が「める配くん」を利用していないか、そして利用中の配信・フォーム系SaaSの安全管理状況を把握できているかを確認してください。今回の事案の要点は次の3つです。

  • 何が起きたか:メール配信システム「める配くん」(株式会社ディライトフル)の一部サーバーが不正アクセスを受け、情報漏えいの痕跡が確認されました。
  • 誰に影響するか:同サービスを利用していた委託元10社超(報道ではプリマハム、東京書籍などの名前が挙がっています)と、その先の会員・顧客のメールアドレス等。
  • 今すぐ何をすべきか:メール配信・フォーム・EC系の外部委託先を棚卸しし、委託先監督(選定・契約・取扱状況の把握)が形骸化していないか点検すること。

本記事は、この事案を「委託先(SaaS)で起きた漏えいに情シスはどう備えるか」という視点で整理します。個別企業の追及ではなく、同種のリスクを抱える多くの組織の実務に落とし込むことを目的とします。

この記事でわかること

  • 「める配くん」不正アクセス事案の現時点で判明している事実(未確定情報を含む)
  • なぜ「委託先で起きた漏えい」が委託元(=あなたの会社)の責任問題になるのか
  • 情シスが押さえるべき委託先監督の3つの柱と、参照すべき公的指針

何が起きたのか

複数の報道および同社の告知によると、経緯はおおむね次のとおりです。侵入経路や流出件数など、調査中で確定していない部分もあるため、断定は避けて整理します。

項目 内容
対象サービス メール配信システム「める配くん」(株式会社ディライトフル)
検知 2026年6月15日、サーバーログ監視中に一部サーバーへの異常なアクセスを検知
第一報の公表 2026年6月19日ごろ(その後、影響範囲の続報あり)
原因 第三者による不正アクセス。具体的な侵入経路・悪用された脆弱性は調査中で未確定
流出した情報 主にメールアドレス。一部で氏名・企業名・地域を含む。クレジットカード番号・住所・電話番号は本システムに保存されていなかったとされる
影響範囲 同サービスを利用する委託元10社超(プリマハム、東京書籍など)とその会員・顧客
流出件数 本稿執筆時点で確定的な総数は未公表
対応 疑いのあるサーバーをネットワークから隔離、プログラム診断、外部専門家による調査を継続。受託者として個人情報保護委員会・総務省への対応を実施

流出情報が「メールアドレス中心」でカード番号等を含まないことは、被害の広がりを一定程度抑える要因です。ただしメールアドレス+氏名・企業名の組み合わせは、標的型フィッシングやビジネスメール詐欺(BEC)の起点として十分に悪用され得ます。「クレカが漏れていないから軽微」と早合点しないことが大切です。

なぜ情シスに関係するのか?

委託先で起きた漏えいでも、個人データの管理責任は委託元に残るからです。今回のように配信基盤のベンダーが侵害されると、そのSaaSを使っていた各社(委託元)が、それぞれ自社の会員・顧客に対して説明責任を負うことになります。

個人情報保護法は、個人データの取扱いを外部に委託する場合、委託元に対して「委託先に対する必要かつ適切な監督」を義務づけています(法第25条)。個人情報保護委員会のガイドライン(通則編)は、この監督を具体的に次の3つの要素で説明しています。

  1. 適切な委託先の選定:委託元自身が講ずべき安全管理措置と同等の措置を講じられる相手かを見極める。
  2. 委託契約の締結:双方が合意した安全管理措置の内容と、取扱状況を委託元が合理的に把握できる仕組みを契約に盛り込む。
  3. 取扱状況の把握:定期的な監査等により、契約内容が実際に守られているかを確認し、必要に応じて委託内容を見直す。

つまり「SaaSに任せていたので当社は関係ない」とは言えず、選定・契約・継続的な確認まで含めて委託元の責任範囲に入る、という点が今回の実務上の勘所です。

現場目線の課題

とはいえ、限られた人員の情シスが、契約している全SaaSの中身を隅々まで監査するのは現実的に難しい、というのが率直な実感ではないでしょうか。メール配信のような「一見リスクが低そうな」サービスは、担当が現場部門(マーケティングや広報)で、情シスが契約の存在すら把握しきれていないことも珍しくありません。棚卸ししてみたら知らないSaaSが何十本も動いていた、というのはよくある話です。

また、委託先が侵害された場合、情シスは自社の防御が万全でも「巻き込まれる」立場になります。パッチ適用や監視を自社でどれだけ頑張っても、預けた先が破られれば流出は起きる——この構造的なもどかしさこそ、供給者(サプライチェーン)リスクの本質です。だからこそ、入口の「選定」と、契約後の「把握」に地道に手をかけるしかありません。

情シスはどうすべきか

自前で長大なチェックリストを作り込む前に、まずは公的機関が整理した指針を土台にするのが近道です。以下を出発点にすると、抜け漏れを防ぎやすくなります。

そのうえで、今回の事案を踏まえて短期的に着手したいのは次の3点です。

  1. 外部委託先の棚卸し:メール配信・フォーム・EC・問い合わせ管理など、個人データを預けている先を洗い出し、契約と実態を突き合わせる。
  2. インシデント時の連絡経路の確認:委託先で漏えいが起きたとき、誰がいつ通知してくれるのか、契約に明記されているかを確認する。第一報を報道で知る、という事態を避ける。
  3. 利用者への説明準備:万一自社が委託元として巻き込まれた場合に備え、会員・顧客への通知文面と問い合わせ対応の段取りを想定しておく。

あわせて、フィッシングを警戒するための地道なユーザ教育・啓発も忘れてはなりません。メールアドレスの流出は、その先の従業員・顧客を狙った攻撃の呼び水になり得ます。関連する社内啓発にはIPA「対策のしおり」が使えます。

中長期の視点

SaaS利用は今後も増え続け、委託先の数だけ攻撃面が広がります。単発の監査で終わらせず、委託先の重要度に応じた評価の頻度・深さを決めるリスクベースの運用へ移行するのが現実的です。すべてを同じ厳しさで見るのは不可能なので、個人データの量・機微度・事業影響で優先順位をつけ、重要な委託先ほど契約と把握を厚くする——この割り切りが、限られた人員で回すコツになります。

まとめ

  • メール配信SaaS「める配くん」が不正アクセスを受け、委託元10社超のメールアドレス等が流出した恐れがある(件数・侵入経路は一部未確定)。
  • 委託先で起きた漏えいでも、個人データの管理責任は委託元に残る。選定・契約・取扱状況の把握という委託先監督が問われる。
  • まずは外部委託先の棚卸しとインシデント時の連絡経路の確認から。個人情報保護委員会・IPAの公的指針を土台に、リスクベースで継続運用する。

出典

※本記事は2026年7月9日時点の公開情報に基づきます。流出件数・侵入経路など調査中の項目は今後変わる可能性があります。最新の正確な情報は各社・各機関の公式発表をご確認ください。

タイトルとURLをコピーしました