原子力規制庁の職員が中国国内でスマートフォンを紛失。企業は端末（デバイス）紛失による情報漏えいのリスクにどう備えるべきか。

こんにちは。弁護士の浅見隆行です。

ビジネスのスピードが上がる中、業務用スマートフォンやノートPC、タブレットなどの情報端末を肌身離さず持ち歩くことは当たり前になってきました。

しかし、たった一度の「うっかり」が、会社を揺るがす重大事態に発展することがあります。

今回は、2026年1月7日に報じられた、原子力規制庁の職員が昨年11月に中国国内でスマートフォンを紛失した事案をもとに、情報端末の紛失による情報漏えいリスクに企業やビジネスパーソンはどう備えるべきかを見ていきます。

中国国内でのスマートフォン紛失による情報漏えいリスク

報道によると、原子力規制庁の職員は2025年11月3日、プライベートの旅行で訪れた中国・上海の空港での保安検査の際に、業務用のスマートフォンを紛失しました。

職員は11月6日になってから紛失に気がつき、空港に問い合わせるも見つからなかったようです。

日本経済新聞

原子力規制庁の職員、中国で業務用スマホ紛失　漏洩可能性を国に報告 - 日本経済新聞

https://www.nikkei.com/article/DGXZQOUA07BM10X00C26A1000000

原子力規制庁の職員が2025年11月、私用で訪問した中国で業務用のスマートフォンを紛失していたことが、関係者への取材で分かった。機密性が高いため公表していない核セキュリティー担当部署の職員名や連絡先が登録されていた。スマホは見つかっておらず、規制庁は「情報漏洩の可能性が否定できない」として、国の個人情報保護委員会に報告した。この部署は、国内の原子力施設にある核物質を守るための対策を担当する。

この端末には、核物質の防護を担う重要部署の職員名や連絡先、さらには原子力規制委員会のトップの番号などが登録されていました。

端末は現在も見つかっておらず、電波が届かず遠隔操作でのロックやデータ消去もできない状態だといいます。

幸い現時点で悪用は確認されていませんが、日本のエネルギー安全保障に関わる高度な機密情報が漏洩したリスクは否定できません。

情報端末を紛失することの本当の恐ろしさ

スマートフォンなどの情報端末（デバイス）を紛失した時に「パスコードをかけているから大丈夫」と、紛失したことによる情報漏えいのリスクを軽く考える人も少なくありません。

しかし、2026年現在、情報端末を紛失することは、情報セキュリティの観点からは深刻なリスクが潜んでいます。

端末内データの直接的な漏洩

情報端末を紛失すれば、今回の事案のように、アドレス帳、メールなどのアプリ内に保存された情報や、端末に保存されているデータファイルなどの中身を解析されるリスクがあります。

端末にログインするためのパスワードを設定していたとしても、特に海外では、高度な技術でパスワードを突破される懸念は拭えません。

「入り口」としての悪用（社内システムやSaaSなどクラウドへの侵入）

今やスマホは単なる電話ではなく、社内システムやクラウド（Slack, Teams, Salesforceなど）に入るための「鍵」の役割を担っています。

スマホ内のブラウザやアプリにログインIDやパスワードを覚えさせたまま、ブラウザやアプリから社内システムやクラウドにログインできる状態が保持されている場合、端末を拾った悪意ある人物がそのまま会社の核心部分へアクセスすることが可能です。

これが現実化すれば、大量の情報が盗み出されてしまうことが予期できます。

アサミ経営法律事務所

製薬会社サノフィの業務委託コンサルタントの個人用ノートパソコンがマルウエアに...

🕒️2024年9月3日

こんにちは。弁護士の浅見隆行です。製薬会社サノフィは、2024年8月28日、海外の業務委託コンサルタントの個人用ノートパソコンがマルウエアに感染し、それによって、日本の医療従事者約73万人の個人情報が漏えいしたことを公表しました。https://www.sanofi.co.jp/assets/dot-jp/pressreleases/2024/240828.pdf業務委託先コンサルタントの個人用ノートパソコンがマルウエアに感染従業員の業務用パソコンがウイルスに感染したことをきっかけに社内で管理している個人情報が漏えいするケースはよくあります。今回のケースは、サノフィの...

多要素認証（MFA）の突破

ここ数年、不正ログインに対するセキュリティ対策として、スマホは、PCなどスマホ以外の端末から社内システムやクラウドにログインする際の「多要素認証」の手段としても用いられます。

端末を紛失すると、PCなどスマホ以外の端末からシステムやクラウドにログインする際に、スマホ宛のSMSやアプリで「認証コード」を受け取る手段が奪われるため、結果的に、PCなどスマホ以外の端末のセキュリティが無力化してしまう恐れがあります。

eset-info.canon-its.jp

【2025年12月マルウェアレポート】多要素認証が突破されてしまうAiTM攻撃の脅威と...

https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware2512.html

【NTT西日本】法人向けICTサービス・ソリューション

大量の通知で多要素認証を突破する？ユーザーを消耗させる攻撃手口とは｜Biz Clip...

https://business.ntt-west.co.jp/bizclip/articles/bcl00154-068.html

＜目次＞・不正ログインを防ぐためには「多要素認証」が効く・攻撃者は通知という"爆...

「なりすまし」による二次被害

紛失した端末を手に入れた悪意ある人物が、同僚や取引先へ「なりすましメール」を送る危険があります。

表面上は信頼している相手からの連絡なので、受信した同僚や取引先が警戒を解いてしまい、ウイルス感染や詐欺の被害が拡大することがあります。

最近増えているランサムウエア攻撃は、こうしたことがきっかけで始まることもあります。

企業と個人、それぞれが守るべき一線

これらのリスクを防ぐため、企業側は「仕組み」を、個人は「意識」をアップデートする必要があります。

企業の「仕組み」の構築

企業が講じるべき情報セキュリティ体制としては、以下のものが考えられます。

外出時に「持ち歩く情報」を物理的に制限する
- 端末自体にデータを保存させないシンクライアント端末の導入や、クラウドストレージの利用を徹底し、万一、情報端末を紛失したり盗難された際にも「端末内には何も情報がない」状態を作ることが理想です。
モバイルデバイス管理の徹底
- 情報端末の管理方法としては、遠隔でデータを消去（リモートワイプ）や端末をロック（リモートロック）できるツールを導入することが望ましいです。
- リモートワイプやリモートロックは通信状態がオンラインであることが前提なので、今回の事案のように「通信が届かないから消せない」という事態を想定して、オフライン対策（デバイスが指定期間モニタリングセンターと通信しない場合に、自動で画面をロックするオフラインフリーズ）の導入を検討してもよいでしょう。
持ち出し専用端末の運用
- 特に海外渡航時には、紛失よりも盗難のリスクが高まります。そのため、普段使いの端末ではなく、必要最小限のデータのみを入れた「海外出張用端末」を貸与する運用も有効です。

ビジネスパーソンの「意識」

「公私混同」を物理的に避ける
- 今回の事案は、私用での渡航中に業務端末を持ち歩いていた際に発生しました。「緊急連絡用」として常に携行を求められる場合でも、プライベートな荷物とは分けて管理する、あるいは常に身につける工夫が必要です。
「紛失したかも」と思ったら即報告
- 「どこかで置き忘れただけかも」「後で探そう」という数時間の迷いが、被害を致命的にします。会社のルールに従い、紛失の疑いが生じた瞬間にシステムを止められるよう、報告フローを暗記しておく必要があります。

スマートフォンなどの端末の紛失は、もはや「個人の不注意」というレベルの話ではなく、企業の存続や致命的な損害の発生、国家の安全に関わるシステムリスクであると認識をアップデートする必要があります。

役職員一人ひとりの意識をアップデートするために、情報セキュリティについての研修はその内容をアップデートしながら、繰り返し行うようにして下さい。

アサミ経営法律事務所