Have I Been Pwned が1000件目の流出事案を記録、企業の通知遅延は悪化傾向

Troy Hunt が Have I Been Pwned に1000件目のデータ流出を登録し、企業から被害者への通知遅延が悪化していることを指摘した。大手企業では流出判明から通知まで40日以上の遅延が相次ぎ、その間にデータは暗黒網で公開されている。

Troy Hunt は 2026年6月1日、Have I Been Pwned (HIBP) に1000件目のデータ流出を登録したことを報告した。この節目に合わせて、企業による通知遅延の悪化パターンが浮き彫りになった。

カーニバル・コーポレーション流出事案の詳細

クルーズ船運営会社カーニバル・コーポレーションが ShinyHunters による「身代金要求型」攻撃を受けた。8.7M件のレコードと 7.5M 件のメールアドレス、ロイヤルティプログラムデータが公開された。カーニバルは流出を知ってから 43日後の 2026年5月27日に顧客に通知し、その間およそ 6週間にわたり被害者は流出を認識していなかった。流出データの 85% は既に Have I Been Pwned に登録されていた。

データ流出の公開タイムライン

複数企業の通知遅延問題

Zara も ShinyHunters による流出事案の被害企業とされ、197k 件の固有メールアドレスを含む顧客支援記録と製品 SKU、注文 ID が流出した。Zara の通知遅延は 45日であり、流出データの 60% は既に Have I Been Pwned に登録されていた。

ZenBusiness と Charter は、流出が公知となっているにもかかわらず個別の被害者への通知を行わない状況が続いている。ZenBusiness は「保護対象の個人識別情報の流出と判定された場合、法的に要求される範囲で通知する」と述べているが、個別通知は実施していない。Charter は「脅威行為者による流出の結果として機密の個人情報（PI）または顧客専有ネットワーク情報（CPNI）は流出していない」と述べている。

企業ごとの通知遅延期間と流出データの公開率

規制要件と企業対応のズレ

英国の個人情報保護規制では「個人の権利と自由に高いリスクで悪影響を与える可能性がある場合、遅滞なく当該個人に通知する必要がある」と規定されている。オーストラリアの通知対象制度は「豪州のプライバシー法を遵守する組織または機関が、深刻な危害を引き起こしそうなデータ流出について通知する必要がある」と定めている。

GDPR および CCPA は特定の状況下で個人への通知を不要とする但し書きを含んでいるものの、多くの事案ではこの要件を満たしていないとみられる。Troy Hunt は Twitter で「自分のデータが流出しており HIBP に登録されているのに、カーニバルは流出がないと主張している」と指摘している。

筆者の見立て

通知遅延の悪化は、流出直後の集団訴訟の急増に一部が起因しているとの作業仮説を論じている
これらの企業の行動は弁護士の対応方針に影響されているとの解釈を示唆している
企業が顧客保護ではなく訴訟上の立場を優先する傾向にあり、株主責任ではなく顧客利益を考慮していないとの見立てを述べている
Charter の個人情報非流出声明は法的防御姿勢のように読めるとの解釈を示している

この記事は元記事の事実のみに基づいて自動生成されました。

出典

Troy Hunt. "1,000 Data Breaches Later, the Disclosure Lag is Worse Than Ever". https://www.troyhunt.com/1000-data-breaches-later-the-disclosure-lag-is-worse-than-ever/ (2026年6月1日)