事件概要
株式会社スマレジは2026年3月、同社が運営する「スマレジ・アプリマーケット」で提供されていた外部アプリにおいて、会員データが不正に取得・公開されていた事案の最終報告を発表した。対象となったのは外部ベンダーが提供するアプリで、同ベンダーが管理する会員データが第三者により取得されたという。同社によると、自社サーバーへの不正アクセスや自社システムからの情報流出は確認されていない。スマレジは影響のあるPOS契約店舗への連絡などの対応を実施し、外部アプリ審査基準の強化や定期的なセキュリティ監査など再発防止策を進めるとしている。本記事では同社の公式発表をもとに事案の内容を整理する。
分析
今回の事案では、スマレジのプラットフォーム上で提供されていた外部アプリにおいて、外部ベンダーが管理する会員データが不正に取得・公開されたと発表されている。一般的にプラットフォーム型サービスでは、外部開発者によるアプリ連携が拡大するほど、第三者ベンダーを起点としたセキュリティリスクが生じる可能性がある。こうしたケースでは、アプリ開発元のシステム管理やアクセス管理の不備などが原因となる例も見られる。企業側は影響範囲の確認と利用者への連絡を行うとともに、連携先の審査基準やセキュリティ要件の見直しを進める対応が一般的である。今回の発表からも、外部アプリを含むエコシステム全体での管理体制強化が課題となる事案であることが読み取れる。
この事件からわかること
今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。
- 外部サービス連携は第三者リスクを伴う
プラットフォーム上で外部アプリや外部ベンダーと連携する場合、その管理体制やセキュリティ対策も含めたリスク管理が重要となる。 - インシデントでは影響範囲の確認が優先される
企業はまずログ調査や関係先との確認を行い、どのシステムやデータに影響が及んだのかを整理する対応を進める。 - 連携先を含めたセキュリティ管理が見直される
多くの事例では、インシデント後に外部ベンダーの審査基準やセキュリティ要件の強化などが検討される。 - 続報や最終報告で事実関係が整理される
セキュリティインシデントでは初報の後に調査が進み、最終報告として原因や再発防止策が公表されるケースが多い。
関連記事
- 合同会社coastline 設定不備で顧客情報流出 2026年3月
- 株式会社グリーンズ 第三者による不正アクセスに伴う個人情報の流出とフィッシングサイトに誘導するメッセージの配信について 2026年2月
- 京都新聞社 委託先ランサムウェア攻撃で当選者情報漏えいの可能性 2026年3月
公式発表(アーカイブ)
2026年3月9日リリース分
2026年1月8日に公表いたしました外部アプリに関連するデータ流出事案につきまして、これまでの当社対応等を踏まえ、最終報告としてお知らせいたします。
お客さまをはじめ、関係者の皆さまには多大なるご迷惑およびご心配をお掛けしましたことを深くお詫び申し上げます。今後はサービス連携先における審査・管理体制についても見直しを行い、再発防止の実行に取り組んでまいります。
1. 事象の概要
当社が運営する「スマレジ・アプリマーケット」にて提供されていた外部アプリ「書類上手/見積・請求書,+invoice」において、アプリの提供元である外部ベンダーが管理する会員データが、第三者によって不正に取得・公開されていたことが判明しました。
当社が運営するサーバーへの不正アクセスや、当社システムからの情報流出は確認されておりません。
2. 当社顧客および関係者への対応
当社では、2026年1月8日の初動対応以降、以下の対応を行ってまいりました。
- 当社ウェブサイトでの情報開示および随時の続報発信
- 影響が確認された当社POS契約店舗への個別連絡
- 社内各部門における問い合わせ対応および関係者対応
- 販売・開発パートナーとの情報共有および協議
これらの対応を通じて、事実関係の整理および影響範囲の確認を進めてまいりました。
発生原因および調査結果については、外部ベンダー(coastline社)の報告「不正アクセスによる個人情報の流出に関する最終報告」をご確認ください。
3. 再発防止に向けた、今後の取り組み
本事象の当事者となった外部ベンダーとの協議と並行し、当社ではアプリマーケット全体の運用、および管理体制の見直しを実施いたしました。
その結果を踏まえ、再発防止に向けて、外部ベンダー審査基準の強化(セキュリティ要件の追加および体制確認の義務化)を行っております。今後は外部連携アプリに対する定期的なセキュリティ監査を実施いたします。
当社は、今後もプラットフォームを安心してご利用いただける環境を維持するため、全社一丸となって、再発防止の徹底およびセキュリティ対策の継続的な強化に取り組んでまいります。
「スマレジ・アプリマーケット」開発者向けウェブサイト:
https://developers.smaregi.jp/
【本件に関するお問い合わせ窓口】
メールアドレス:pms-info@smaregi.jp
2026年1月8日リリース分
平素は弊社サービスをご利用いただき、誠にありがとうございます。
現在、一部のSNSにおいて「当社がサイバー攻撃を受け、個人情報が流出した」という旨の投稿がなされておりますが、調査の結果、現時点で当社からのデータの流出は確認されておりません。
しかしながら、特定の外部アプリにおいて、その提供元(外部アプリベンダー)が保有する会員データが流出したことが判明しました。
お客様および関係者の皆様には、多大なるご心配をおかけしておりますことを、深くお詫び申し上げます。
2026年1月8日、特定の外部アプリにおいて、外部アプリベンダーが保有する会員データが第三者によって不正に取得・公開されていた事実が判明いたしました。
弊社サーバーにおける不審な挙動や不正アクセスの痕跡は確認されておりません。本事象を確認後、当該アプリからの通信を遮断するとともに、外部アプリベンダーとも連携しながら原因の特定を進めております。対象のお客様に対しては、当社より個別にメールにてご連絡をいたしました。
当社からご連絡を差し上げていないお客様については、データの流出は確認されておりません。
現在、原因の詳細を調査しております。新たな事実が判明した場合には、速やかに公表いたします。