スタバ、3万1500人分の情報漏えい　シフト作成ツール提供元へのサイバー攻撃で

　スターバックス コーヒー ジャパンは9月19日、従業員や退職者の個人情報約3万1500人分の情報が漏えいしたと発表した。パナソニック コネクト傘下で、サプライチェーンマネジメントソフトウェア大手の米Blue Yonderに対するサイバー攻撃の影響。スターバックス コーヒー ジャパンはBlue Yonderのシフト作成ツール「Work Force Management」を利用しており、同ツールに保存していた情報の一部が漏えいした。

【その他の画像】

　スターバックス コーヒー ジャパンや、同社とライセンス契約を結ぶ取引先の従業員や退職者のID、漢字の氏名（読み仮名は含まず）が3万1500人分漏えいした他、生年月日、契約開始日、職位もそれぞれ約50人分が漏えいした。住所や電話番号、メールアドレス、給与、銀行口座情報、マイナンバーは流出していないという。一般の顧客の情報も含まれない。

　漏えいの可能性は5月29日に発覚。Blue Yonderから「2024年12月にハッカー集団からのサイバー攻撃があり、スターバックスの従業員の個人情報が漏えいした可能性がある」と報告を受け判明した。

　6月20日にはBlue Yonderから漏えいした可能性があるデータの提供を受け、精査したところ従業員110人分の個人情報が対象だったことが分かった。しかし、6月に提供したデータはサンプルで、全データではないことが判明したと7月29日にBlue Yonderから報告があり、9月に同社から受け取ったデータをあらためて調査したところ、約3万1500人分の情報が漏えいしていたことが分かった。

　スターバックス コーヒー ジャパンは再発防止策として、Blue Yonderに対しセキュリティ体制の強化を要求。委託先の管理基準や、監査体制を見直す他、個人情報を扱うシステムの総点検を行う。情報が漏えいした人向けに相談窓口も設けた。

　Blue Yonderは24年11月にランサムウェア攻撃の被害を発表しており、これにより米Starbucksも業務に影響を受けていた。スターバックス コーヒー ジャパンに、今回の漏えいとの関連を聞いたところ「Blue Yonderからは『2024年12月ハッカー集団からのサイバー攻撃があり、スターバックスの従業員の個人情報が漏洩した可能性がある』と連絡を受けており、11月の件と別という理解をしている」との回答があった。

【追記：2025年9月19日午後2時40分】スターバックス コーヒー ジャパンの回答を追記しました