ヤマト運輸は2025年10月14日、姫路主管支店の元従業員が取引先情報2万6790件を不正に持ち出したと発表。流出先2社のうち1社で営業利用が確認された。発覚から公表までの経緯と再発防止策を詳しく解説。

ヤマト運輸で取引先情報流出
2万6790件を不正に持ち出し

 

広告の下に記事の続きがあります。ペコリ

ヤマト運輸は2025年10月14日、姫路主管支店に在籍していた元従業員が一部取引先の情報を不正に持ち出し、外部企業2社に流出させていたと発表した。流出した情報は合計26,790件に上り、取引先企業は1万1356社に及ぶ。流出先のうち1社が実際に営業活動へ利用していたことも確認された。

ヤマト運輸「取引先情報不正持ち出し」概要（2025年公表）

発覚の経緯と公表までの流れ

事態の発端は、取引先企業が「自社の情報を元にした不審な営業を受けた」とヤマト運輸に連絡したことだった。これを受け、同社は社内調査を開始。2025年9月16日に姫路主管支店の元従業員による情報の不正持ち出しを特定した。
ヤマトは社内調査の結果、取引先情報の一部が外部の2社に流出していたことを確認した。このうち1社が実際に営業活動に利用していた事実も判明している。企業として重大な情報流出と位置づけ、同社は10月14日に公式発表を行った。

流出した情報の多くは取引先の業務データであり、会社名・所在地・請求金額・発送件数などの詳細が含まれていた。一方で、ヤマトビジネスメンバーズのログイン情報やパスワード、銀行口座情報など、顧客の資産や認証に直結する情報は含まれていないと明言されている。
同社は流出先の2社に対してデータ破棄を求め、すでに「破棄した」との回答を得ている。ただし、念のため今後も検証を継続し、対象企業には順次個別連絡を行う方針を示した。また、元従業員および流出先企業2社に対する刑事告訴を検討している。

---

企業対応と情報管理上の教訓

ヤマト運輸は今回の事案を受け、警察への相談と並行して社内体制の見直しを進めている。発表では、今後の再発防止策として、従業員による情報持ち出し防止とアクセス管理の強化を掲げた。
企業が保有する取引先データは、物流・営業の実務において重要な情報資産であり、組織外への流出は信用リスクに直結する。今回のように、個人情報が限定的であっても、会社名や請求額などの業務情報だけで営業活動に転用される実例は極めてまれであり、業界全体の警鐘となった。

内部不正による情報流出は、システム侵入とは異なり、組織内の信頼関係の中で発生する。防止にはアクセス権限の最小化、データ持ち出しの記録管理、退職・異動時のアカウント確認など、人的ガバナンスの徹底が求められる。ヤマト運輸は今後も調査結果を公表し、関係先との信頼回復に努めるとしている。

---

流出情報と企業対応の対応関係（2025年時点）

流出情報の内訳とリスクの実像

流出が確認された26,790件のデータは、主に取引先企業の名称・所在地・請求金額など、営業・物流業務に関わる情報だった。顧客個人の金融情報やアカウント情報は含まれておらず、今回の事案は「業務情報」の不正利用という性質を持つ。
一方で、請求書宛名に個人名が含まれる750件と、姫路主管支店の従業員・元従業員の氏名324件が含まれており、個人情報保護の観点からは注意が必要な範囲も存在する。これらの情報がどのように取り扱われたかについては、ヤマトが確認と通知を順次進めている。

流出先のうち1社が営業活動にこの情報を実際に利用したことが判明した。ヤマトは当該企業に対して破棄を要求し、すでに破棄報告を受けているが、利用された事実が確認されたことは、企業の情報管理体制にとって警鐘となった。情報が営業目的に転用されるまでの経緯が早期に発見された点は、取引先の通報による初動対応が機能した結果でもある。

---

情報管理体制と再発防止策の焦点

ヤマト運輸は今回の不正持ち出しを受け、アクセス権限管理の見直しや退職者・異動者のアカウント削除など、社内ルールの再点検を開始した。
流出の発端が内部者によるものであることから、システムセキュリティだけでなく人的ガバナンスの強化が重要視されている。発表では「外部専門家との連携も含めて調査を継続している」と説明し、再発防止に向けた実行的な仕組みを整える方針を示した。

業務データの流出は、顧客情報漏えいと比べて社会的注目が低くなりがちだが、取引の信頼基盤を損なうという点で影響は大きい。
特に、請求金額や企業名の組み合わせは、営業戦略や仕入れ構造を推定する手掛かりになることもある。今回の事例は、こうした「業務情報」も守るべき資産であるという認識を社会に改めて浸透させる契機になった。

---

被害企業・取引先の立場から見た課題

取引先の立場では、流出が発覚した場合に自社のどの情報が含まれたか、どの範囲まで外部で利用されたかを正確に把握することが求められる。
ヤマトは該当企業に順次個別連絡を行う方針を公表しており、取引先側は通知を受けた段階で、請求書や取引履歴を照合し、不審な営業や問い合わせがなかったかを確認することが推奨される。
また、企業間の情報の取り扱い契約において、委託先や協力会社に対する守秘義務の徹底を再評価する動きも広がっている。今回の事案は、情報の受け手側にも管理責任が問われる時代を象徴している。

---

【ヤマト運輸 取引先情報流出 事案の時系列】

取引先から「不審な営業」を受けたと通報
           ↓
ヤマトが社内調査を開始
           ↓
2025年9月16日：不正持ち出しを社内で特定
           ↓
流出先2社を確認、1社で営業利用が発覚
           ↓
流出先にデータ破棄を要求 → 破棄回答を受領
           ↓
2025年10月14日：公式に発表（公表日）
           ↓
関係取引先への個別連絡を開始
           ↓
刑事告訴の検討・再発防止策の構築へ

❓FAQ｜読者が知りたい5つの疑問

Q1. 今回の流出に自社が含まれているか確認する方法は？
ヤマト運輸は該当する取引先企業に順次個別で連絡を行うと発表している。通知を受けた場合は、請求書や取引内容を照合し、営業先の変化などを確認するのが望ましい。

Q2. 個人情報は流出したのか？
請求書宛名に含まれる個人名750件、従業員・元従業員名324件が含まれている。金融情報やログインID、パスワード、口座番号などは含まれていない。

Q3. 流出先の企業は特定されているのか？
流出先は2社で、いずれも名称や業種は非公表。ヤマトは破棄要求を行い、双方から破棄報告を受けている。

Q4. 今後どのような対応が行われるのか？
警察への相談や刑事告訴の検討に加え、社内体制の見直しと取引先への通知が進められている。調査結果や追加情報は公式サイトで随時発表される見通し。

Q5. 今回の件から学べる企業側の注意点は？
内部不正防止のため、アクセス権限の最小化やログ管理の強化が有効。退職・異動時のアカウント削除、外部委託先の契約見直しなども重要である。

---

総合要約表｜ヤマト運輸の不正持ち出し事案から見える構図

「業務情報流出」が突きつけた日本企業の盲点

ヤマト運輸の不正持ち出し事案は、個人情報漏えいと異なる形で企業社会に警鐘を鳴らした。
今回流出したのは、住所や請求金額といった「業務上の情報」であり、従来は「個人データ」ほど厳重に扱われない領域だった。ところが、その一部が営業活動に転用されたことで、情報が企業の競争力や信頼に直結する時代であることが改めて浮き彫りになった。

この事件で注目すべきは、発覚のきっかけが外部からの通報であった点だ。社内システムでは検知できなかった行為を、取引先の違和感が明らかにした。これは、情報セキュリティを企業内部だけに閉じず、外部パートナーと共有する仕組みが必要であることを示唆している。

ヤマト運輸は再発防止策の構築と信頼回復を進めているが、この事案は一社の問題にとどまらない。物流・製造・金融など、あらゆる業界が取引情報という無形資産をどう守るかが問われている。
情報を扱う全ての組織にとって、「誰が」「どの範囲で」「どのように扱うか」を再点検する時期に差しかかっている。

今回の発表は、社内での不正持ち出しが外部企業の営業活動に使われたという点で、業務情報の管理リスクを改めて示すものとなった。ヤマト運輸は関係先との信頼回復と再発防止策の実行を急いでおり、企業全体で情報保護体制の見直しが進む見通しだ。