アフラック438万人の情報漏えい、契約者は何をすべきか 口座情報23万人分も、「すぐ引き出される」の誤解と本当のリスク
アフラック生命保険が2026年6月30日、不正アクセスで約438万人の顧客情報が漏えいしたと発表。うち約23万人は銀行口座の情報も含む。漏れたのは氏名・住所・証券番号・保障内容などで、マイナンバーとクレジットカードは対象外。口座情報が漏れると「すぐ引き出される」のか、契約者が今すべきことを正確に整理する。
目次
アフラック生命保険が2026年6月30日、不正アクセスで約438万人の顧客情報が漏えいしたと発表。うち約23万人は銀行口座の情報も含む。漏れたのは氏名・住所・証券番号・保障内容などで、マイナンバーとクレジットカードは対象外。口座情報が漏れると「すぐ引き出される」のか、契約者が今すべきことを正確に整理する。
がん保険大手のアフラック生命保険が2026年6月30日、外部からの不正アクセスによって約438万人の顧客の個人情報が漏えいしたと発表しました。うち約23万人分には、保険料を引き落とすための銀行口座の情報も含まれます。漏れたのは氏名・生年月日・住所・電話番号・証券番号・保障内容などで、アフラックの公式発表によればマイナンバーとクレジットカード情報は含まれていません。
アフラックは日本で最初にがん保険を売り出した会社で、契約者は1,000万人を超える規模です。それだけに「自分は対象なのか」「口座の情報まで漏れて大丈夫なのか」と不安になった人も多いはずです。この記事では、まず契約者がいま確認すべきことを整理し、そのうえで「口座情報が漏れた=すぐ預金を引き出される」という受け止めが正しいのかを、公式発表と国の機関の指針にもとづいて正確に読み解きます。日本経済新聞などもこの漏えいを報じています。
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年6月30日 |
| 対象 | 顧客 約438万人 (うち約23万人は口座情報も)+代理店 約4万店 |
| 漏れた情報 | 氏名・生年月日・性別・住所・電話番号 証券番号・保障内容・保険料振替口座情報など |
| 含まれない | マイナンバー・クレジットカード情報 |
| 原因 | 自社の顧客向けサイト等への不正アクセス (手口の詳細は調査中) |
| 不正利用 | 現時点で確認されていない(公式) |
※本件は調査が続いている事案です。侵入の手口や攻撃者は本記事公開時点で公表されておらず、金融庁は6月30日付でアフラックに原因と再発防止策の報告を求める命令を出しています。
自分は対象なのか、いま確認すべきこと
アフラックは、対象となる顧客に対してお詫びとお知らせの文書を順次郵送するとしています。まずは自分あてに案内が届くかどうかが、対象かを知る一つの目安になります。ただし郵送には時間がかかるため、待つ間に不安な点があれば、公式が用意した問い合わせ先に確認するのが確実です。
- 公式の問い合わせ窓口:アフラックはコールセンター(0120-5555-95、平日9〜18時/土9〜17時)を案内しています。不審な連絡や口座の不審な取引に気づいたときも、まずここへ相談します。
- あわてて操作しない:この機に乗じて「本人確認」「返金手続き」などをうたう偽メールや偽SMSが出回る可能性があります。案内が来ても、リンクを踏む前にいったん立ち止まってください(後述)。
- 口座情報が対象の約23万人に入るかは文書で示されます。該当する場合は、通帳やアプリで入出金の明細をこまめに見ておくと安心です。
現時点で、漏れた情報が実際に悪用されたという事実は確認されていない、というのが公式の説明です。とはいえ「今すぐ被害が出ていない」ことと「これから安全」は別の話です。落ち着いて、正しい警戒の仕方を知っておくことが、いちばんの防御になります。
何が漏れて、何は漏れていないのか
正確に把握しておきましょう。公表内容によれば、顧客について漏れた可能性があるのは、氏名・生年月日・性別・住所・電話番号・証券番号・保障内容と、約23万人分の保険料振替口座情報(金融機関名・支店名・預金種類・口座番号・口座名義など)です。代理店については、代表者の氏名・住所・電話番号などが約4万店分含まれます。
一方で、マイナンバーとクレジットカード情報は含まれていないとアフラックは明言しています。ここは安心してよい点です。また「保障内容」は漏れた項目に入りますが、病歴や診断結果といった健康情報が漏れたという発表はされていません。がん保険という商品の性質から健康情報の流出を連想しがちですが、公式に示された範囲を超えて不安を広げる必要はありません。事実だけを押さえておきます。
「口座情報が漏れた=すぐ引き出される」は本当か
いちばん誤解されやすいのがここです。結論から言うと、口座番号と名義が漏れただけで、預金をそのまま引き出されることは通常ありません。お金を動かすには、口座番号のほかに秘密の情報が必要だからです。窓口なら通帳と届出印、ATMならキャッシュカードと暗証番号、ネットバンキングならログイン用のIDとパスワード。今回漏れた口座情報には、こうした暗証番号やパスワードは含まれていません。
国の個人情報保護委員会も、銀行口座情報だけの漏えいは、それだけで「財産的な被害が生じるおそれのある漏えい」には直ちに当たらないと示しています。財産被害のリスクが高まるのは、ネットバンキングのパスワードなどと組み合わさったときです。そもそも口座番号は、給与や代金の振込先として相手に伝える「半分は公開されている情報」で、請求書や振込用紙にも印字されます。入金しかできないからこそ、安心して知らせられるものなのです。
2020年に問題になった「ドコモ口座」などの不正出金も、口座番号だけで成立したわけではありません。当時の経緯を見ると、決済サービス側の本人確認の甘さと、口座振替の登録に必要な暗証番号が組み合わさって突かれたものでした。以後はスマホのSMS認証など、複数の確認を求める仕組みが必須になっています。「口座番号が漏れた=即出金」は正確ではありません。ただし「だから完全に安全」でもない、という次の話が本題です。
本当のリスクは「精度の高いなりすまし詐欺」
では何を警戒すべきか。エンジニアの視点で見ると、今回の漏えいで本当に怖いのはその場の出金ではなく、時間をおいて仕掛けられる「よくできた詐欺」です。攻撃者の手元には、氏名・住所・電話番号・生年月日に加えて、本人と保険会社しか知らないはずの証券番号や保障内容がそろっています。これらを言い当てられると、電話やメールの相手を「本物のアフラック」だと信じ込みやすくなります。
典型的なのが、保険会社や銀行を装って「保険料の返金があります」「口座情報の再確認が必要です」と持ちかけ、偽サイトへ誘導してパスワードや暗証番号を入力させる手口です。犯人は今回漏れていない情報(暗証番号やネットバンキングのパスワード)を、本人の口から引き出そうとします。国民生活センターも、還付金をうたう詐欺では犯人が事前に本人の情報を把握している場合が多いと指摘しています。漏れた情報は、こうしたなりすましの「真実味」を底上げする材料として、数週間から数か月後に効いてくる可能性があります。
口座情報が漏れた約23万人については、受取口座として詐欺に悪用されるといった二次的なリスクにも一応の注意が要ります。金融庁も、口座情報が認証情報と組み合わさると二次被害のリスクが高まるとしています。要は、今回漏れた情報を「入口」にして、足りない秘密情報を奪いに来る攻撃を想定しておくことが大切です。
契約者が取るべき具体的な対策
国の機関が共通して勧めている、実効性のある備えをまとめます。難しいことはありません。
- メールやSMSのリンクから入らない。アフラックや銀行にアクセスするときは、自分で保存したブックマークか公式アプリから開きます。フィッシング対策協議会も、偽サイトは見た目では本物と見分けられないと警告しています。
- 暗証番号やパスワードを聞かれたら詐欺を疑う。金融機関がメールやSMSで暗証番号・パスワードを尋ねることはありません(金融庁)。
- 口座の動きを見張る。入出金やログインの通知サービスを有効にし、明細をこまめに確認します。身に覚えのない取引があれば、すぐ金融機関へ照会を。
- 連絡は必ず公式の窓口から。不審な電話や郵便が来ても、その連絡先にかけ直さず、通帳や公式サイトに載っている番号から確認します。アフラックの件はコールセンター(0120-5555-95)へ。
口座番号を変えるべきか迷う人もいますが、口座情報だけで即座に出金される性質のものではないため、まずは上記の警戒とモニタリングで十分に対応できます。不安が強い場合や不審な取引があった場合に、金融機関と相談して判断すればよいでしょう。
時系列
| 時期 | 出来事 |
|---|---|
| 2026年6月15日 | 最初の不正アクセス(以降25日まで複数回) |
| 2026年6月25日 | 不正アクセスを把握し遮断、関連システムを停止 |
| 2026年6月30日 | 漏えいを公表、金融庁・警察へ報告 |
| 2026年6月30日 | 金融庁が保険業法に基づく報告徴求命令 |
最初の侵入から把握まで約10日、その間に複数回のアクセスがあったことになります。侵入の入口や手口は調査中で、ランサムウェアかどうかも含めて、現時点でアフラックは詳細を公表していません。停止した一部システムの復旧時期も未定で、保険金・給付金の請求はコールセンターで受け付けています。
438万人という規模と、繰り返される保険・金融の漏えい
438万人という数字は、過去の国内の大型漏えいと比べてどのくらいなのでしょうか。2014年のベネッセ(約3,504万件)や、2025年に判明した損保ジャパン(最大約1,750万件の可能性)と比べれば小さいものの、単独の事案としては大規模の部類に入ります。より重要なのは、多くの大型事案が氏名・住所どまりだったのに対し、今回は約23万人分の口座情報と、証券番号・保障内容という契約者本人にひもづく情報を含む点です。だからこそ、なりすまし詐欺の材料になりやすいのです。
保険・金融業界の漏えいは、これが初めてではありません。当サイトでもこれまで、阿波銀行のテスト環境から起きた漏えいや、マネーフォワード関連の情報流出を取り上げてきました。委託先や外部サービス経由での漏えいも後を絶たず、海外サービスからの大規模流出や、通信サービスのメール情報漏えいも相次いでいます。大量の個人情報を預かる事業者ほど、狙われたときの被害が面で広がる構図は共通しています。
まとめ
アフラックの不正アクセスで、約438万人の顧客情報(うち約23万人は口座情報も)が漏えいしました。漏れたのは氏名・住所・証券番号・保障内容などで、マイナンバーとクレジットカード情報、そして健康情報は対象に含まれていません。口座情報が漏れても、口座番号と名義だけで預金がすぐ引き出されることは通常なく、そこは過度に恐れる必要はありません。
本当の危険は、漏れた情報を「本物らしさ」の材料に使う、なりすまし詐欺やフィッシングです。メールやSMSのリンクから入らない、暗証番号やパスワードを聞かれたら疑う、口座の動きを見張る、連絡は公式窓口から——この基本を守ることが、数か月先まで続くリスクへの最も確実な備えになります。侵入の手口や原因の詳細が公表され次第、本記事に追記します。
よくある質問
自分が対象かどうか、どう確認すればいいですか?
アフラックは対象となる顧客へお詫びとお知らせの文書を順次郵送するとしています。不安な場合は、公式のコールセンター(0120-5555-95、平日9〜18時/土9〜17時)で確認できます。メールやSMSで届いた「確認リンク」は偽物の可能性があるため、うのみにしないでください。
口座情報が漏れました。すぐにお金を引き出されますか?
通常はされません。預金を動かすには口座番号のほかに暗証番号やパスワード、通帳と印鑑などの秘密情報が必要で、今回それらは漏れていません。個人情報保護委員会も、口座情報だけの漏えいは直ちに財産被害のおそれには当たらないとしています。ただし詐欺の材料にはなり得るため、口座の動きの確認と不審な連絡への警戒は続けてください。
健康情報や病歴は漏れましたか?
漏れた項目に「保障内容」は含まれますが、病歴や診断結果といった健康情報が漏えいしたという公式発表はありません。マイナンバーとクレジットカード情報も含まれていないとアフラックは明言しています。
口座番号を変えたほうがいいですか?
口座情報だけで即座に出金される性質のものではないため、まずは入出金の通知を有効にして明細を見張り、不審な連絡を警戒するのが現実的です。不安が強い場合や実際に不審な取引があった場合は、金融機関に相談して判断してください。
更新履歴
- ▸2026年7月1日:初版公開(6月30日のアフラック公式発表、報道、金融庁の報告徴求命令を受けて作成)。侵入手口・原因の詳細が公表され次第、追記予定。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go