【セキュリティ事件簿#2025-372】スターバックス コーヒー ジャパン 株式会社 Blue Yonder社の提供サービスへの不正アクセスによる弊社従業員の個人情報漏洩について 2025/9/19

 平素よりスターバックス コーヒーをご利用いただき、厚く御礼申し上げます。

この度、弊社が利用しているシステムサービスを提供するBlue Yonder社(以降「BY社」)に対し、外部からの不正アクセスによるサイバー攻撃が発生し、BY社が使用しているデータ転送システムから弊社の個人情報の一部が漏洩したことが判明いたしました。

今回漏洩した情報には、弊社及び弊社とライセンス契約を締結している取引先(以降「ライセンシー様」)の従業員(直営店舗とライセンス店舗の正社員、アルバイト)の個人情報が含まれております。なお、漏洩した情報に一般のお客様の情報は含まれておりません。また、住所、連絡先、金融情報、マイナンバー等の情報も含まれておりません。

対象となる皆様には、個別にご報告とお詫びを進めておりますが、退職などにより連絡先が確認できない方々もいらっしゃるため、この場を借りて公表させていただきます。あわせて、お問い合わせ窓口を設置し、誠意をもって対応いたします。

対象となる皆様に多大なご不安とご迷惑をおかけしておりますことを、心より深くお詫び申し上げます。今後BY社と緊密に連携し、全容の究明と再発防止に全力で取り組んでまいります。

1.概要

BY社が提供する以下のSaaSサービスにおいて漏洩が発生いたしました。

・Work Force Management(WFM):シフト作成ツール

このシステムには、弊社及びライセンシー様の全店舗従業員の氏名、従業員ID、生年月日、勤怠情報などが保管されておりましたが、今回漏洩したのはその一部となります。

2.漏洩した個人情報

対象者

・従業員および退職者:約31,500名(2025年9月16日時点:暫定)

 ※BY社がサイバー攻撃を受けた際に、データ転送システム上にデータが保存されていた従業員

 ※退職者、ライセンシー様の従業員も含みます

 ※一般のお客様の情報は漏洩しておりません

漏洩した情報(2025年9月16日時点:暫定)

・従業員ID(約31,500名)

・漢字氏名(約31,500名)

 ※フリガナ等の読み仮名情報は含まれておりません

・生年月日(約50名)

・契約開始日(約50名)

・職位(約50名)

・店舗番号

漏洩していない情報

・住所、電話番号、メールアドレス

・所属店舗名、部署情報

・給与、賞与等の処遇情報

・銀行口座情報

・マイナンバー

3.漏洩による影響について

漏洩した情報は従業員IDと漢字氏名、一部の生年月日に限定されておりますが、企業と紐づけられる可能性があるため、以下の点にご注意ください。

・スターバックスを装った不審な電話やメールにご注意ください

・身に覚えのない請求や勧誘があった場合は、下記窓口までご連絡ください

・個人情報の確認を求める連絡には慎重に対応してください

4.今後の対応

被害防止策

・対象者向け専用相談窓口の設置

・不審な連絡等に関する注意喚起の実施

再発防止策

・BY社に対し、セキュリティ体制の抜本的強化を要請

・委託先管理基準の見直しと監査体制の強化

・個人情報を扱うシステムの総点検実施

現在も調査を継続しております。今後新たな情報が確認されましたら改めてご報告いたします。

5.経緯:時系列

日付BY社の動き弊社の動き
2025/5/29BY社からスターバックスに「2024年12月ハッカー集団からのサイバー攻撃があり、スターバックスの従業員の個人情報が漏洩した可能性がある。現在調査中」との第一報
(人数、規模は不明と連絡あり)
-
2025/6/17-個人情報保護委員会に報告
(弊社従業員の個人情報漏洩の可能性あり)
2025/6/20BY社からスターバックスに「データ①」を提供
(BY社でデータ内の人数確認などの精査は実施しないと連絡あり)
-
--BY社より受領した「データ①」の精査し「弊社の従業員約110名の個人情報」であることを確認。
社内データと照合して、全員と直接連絡が取れることを確認
2025/7/28-個人情報保護委員会に報告
(「データ①」の内容を確報)
2025/7/29BY社からスターバックスに「6/20提供の「データ①」は、サンプルデータであり、全量データではないことが判明」と報告。再調査の開始-
2025/8/6-個人情報保護委員会に報告
(BY社の7/29の内容を報告)
2025/9/9BY社からスターバックスに「データ②」を提供-
--「データ②」を精査し「弊社及びライセンシーの従業員約31,500名の個人情報」であることを確認。
社内データと照合し、退職者データ等も含まれるため、全員と直接連絡を取ることが困難と判断
2025/9/12-個人情報保護委員会に報告
(「データ②」の内容)
2025/9/18-社内通知開始
(メールと社内コミュニケーションツール)
2025/9/19-対外告知開始

改めまして、この度は皆様に多大なるご心配をおかけしておりますことを深くお詫び申し上げます。この度の事案を厳粛に受け止め、信頼回復に努めてまいります。

リリース文アーカイブ