1. 개인정보 유출 사고
# 2024 회계연도 (2024.4~2025.3) 기준 21,007건으로 역대 최고치를 기록하며 전년 대비 58% 증가
- 민간 부문 19,056건 (57% 증가)
- 공공 부문 1,951건 (68% 증가)
- 마이넘버 유출 전년 334건 -> 2,052건으로 6배 폭증 (인사 및 노사 관리 시스템 운영하는 MK시스템에 대한 무단 접근이 1,726건)
令和6年度 個人情報保護委員会 年次報告(PPC 令和6年度 연차 보고), PPC (個人情報保護委員会)
https://www.ppc.go.jp/aboutus/report/annual_report_2024/
Personal info leak cases hit record high in Japan in fiscal 2024, Japan Times, 2025.6.10
https://www.japantimes.co.jp/news/2025/06/10/japan/personal-info-leak-record/
Personal data leak cases hit record high in Japan in FY 2024, Xinhua, 2025.6.10
https://english.news.cn/20250610/1a728143a0ff4e79a03718c7772ab9c6/c.html
10 Biggest Data Breaches in Japan [2026], Corbado, 2025.6.25 (최종 업데이트 2026.5.15)
https://www.corbado.com/blog/data-breaches-japan
2. 수탁사 경유 정보 유출
# 보안 사고 공격 카테고리별 분류 결과, 가장 많은 비율을 차지한 부정 액세스 145건 중 43건이 수탁사 등 거래처 조직, 그룹 회사가 사이버 공격을 받은 2차 피해
- 주요 사례: 주식회사 보험 검토 본점(2025.2), 의료 법인 DIC 우츠노미야 센트럴 클리닉(2025.2), 주식회사 인터넷 이니셔티브(2025.4), 주식회사 PR TIMES(2025.5)
- 랜섬웨어로 정보 200만 건 유출, 증권사 부정거래, 법인용 메일 보안 서비스 부정 액세스, 보도자료 배포 서비스 무단 액세스, 보험업계에서 부정 액세스로 1,748만 건 정보 유출 가능성, 보험사고조사회사가 업무 위탁하던 수탁사 30사 이상의 정보 유출 우려로 랜섬웨어 피해 발생 등
2025年上半期の国内セキュリティインシデントを振り返る (2025년 상반기 보안 사고 리포트), Trend Micro Japan, 2025.7.18
https://www.trendmicro.com/ja_jp/jp-security/25/g/securitytrend-20250718-01.html
セキュリティインシデント年間表 2025 (보안 사건 연간 표 2025)
https://www.daj.jp/security_reports/51/
2-1. LINE Yahoo 사건 (2023.11)
- 사건 개요: 한국 네이버 클라우드(Naver Cloud)에 대한 사이버 공격이, 시스템을 공유하고 있던 LINE Yahoo로 확대되어 약 51만 건의 사용자 정보가 유출됐다. LINE 사용자 비식별 정보 약 30만 건(연령, 성별, 스탬프 구매 이력 등), 임직원 이름·이메일 등 약 14만 건이 포함됐다.
- 피해 확대 이유: The Register의 보도에 따르면, 네이버 클라우드가 LINE 환경에 대해 광범위한 접근권(extensive access)을 보유하고 있었으며, 위탁사와 수탁사 간 네트워크가 분리되지 않아 한쪽이 뚫리면 그대로 연쇄 피해가 발생하는 구조였다.
- 규제 대응: 총무성(MIC)이 2024년 3월과 4월 두 차례에 걸쳐 행정지도를 발동하고, LINE과 네이버의 IT 인프라 완전 분리를 지시했다. PPC도 2024년 7월 LINEヤフー에 대한 개선 상황 확인 및 대응 방침을 발표했다. 나아가 네이버의 A Holdings 지분 매각까지 압박하여, 단순 개인정보 사고를 넘어 경제안보 이슈로 비화됐다.
Data breach sees LINE lose 440,000 items, News On Japan, 2023.11.27
https://newsonjapan.com/article/139429.php
Japan orders LINE and NAVER to disentangle their tech stacks, The Register, 2024.3.6
https://www.theregister.com/security/2024/03/06/japan-orders-line-and-naver-to-disentangle-their-tech/1420673
Line Yahoo to sever tech ties with Naver by year-end: LY CEO, KED Global,2024.6.19
https://www.kedglobal.com/business-politics/newsView/ked202406190005
LINEヤフー株式会社への勧告等に対する改善状況の概要及び同社への対応方針について, PPC (個人情報保護委員会)2024.7.24
https://www.ppc.go.jp/news/press/2024/
2-2. LINE 중국 위탁 사건 (2021.3)
LINE Yahoo 사건 이전에도, LINE은 2021년 3월 중국 상하이의 시스템 개발 위탁 업체에서 일본 사용자(약 8,600만 명)의 개인정보(전화번호, 이메일, 이름, 토크 내용)에 접근 가능한 상태였던 것이 드러나 대문제가 됐다. 2018년 8월부터 2021년 2월까지 최소 4명의 중국인 기술자가 32회 접근한 것이 확인됐다.
이 사건은 총무성이 LINE 이용을 중지하고 자치단체에 이용 현황 보고를 요구하게 만들었으며, 일본 정부가 경제안보 개념을 본격적으로 정책에 반영하기 시작한 계기가 됐다.
LINEで不適切な情報管理、中国の委託先にアクセス権限付与, 日経 xTECH, 2021.3.17
https://xtech.nikkei.com/atcl/nxt/news/18/09884/
LINEの個人情報、中国の開発委託先から閲覧可能に「説明不足だった」と謝罪, ITmedia NEWS, 2021.3.17
https://www.itmedia.co.jp/news/articles/2103/17/news127.html
どうなる中国委託 LINE問題の余波, 日経 xTECH, 2021.7.19
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/071200094/
2-3. ASKUL 랜섬웨어 (2025.10)
ASKUL은 위탁 업체(contractor)에 부여된 관리자 계정을 통해 공격자가 침입한 공급망 공격 사례다. 해당 계정에 MFA가 선택적으로 비활성화되어 있었으며, 약 74만의 기록이 노출됐다. RansomHouse 랜섬웨어 그룹 소행이다.
Akasaka International Law의 비교 분석에 따르면, "공격자는 위탁 업체에 부여된 관리자 계정을 악용했는데, 해당 계정에 MFA가 선택적으로 비활성화되어 있었다"고 서술하고 있다.
Japan Ransomware 2025: ASKUL & Asahi Group HD Incident Response Compared, 赤坂国際法律会計事務所 (Akasaka International Law), 2026.3.3
https://ailaw.co.jp/en/blog-en/japan-ransomware-askul-asahi-2025-incident-response/
Askul data breach exposed over 700,000 records after ransomware attack, Security Affairs, 2025.12.17
https://securityaffairs.com/185790/security/askul-data-breach-exposed-over-700000-records-after-ransomware-attack.html
2-4. 손보 4사 개인정보 부적절 공유 사건 (2024.5)
일본 4대 손해보험사(損保ジャパン, 東京海上日動, 三井住友海上, あいおいニッセイ同和)에서 보험 대리점을 경유하여 약 250만 건의 보험 계약자 정보가 경쟁사 간에 부적절하게 공유·유출됐다. 겸합 대리점 담당자가 복수 보험사 직원에게 동보 메일을 보내면서 계약 정보를 무단 공유하거나, 보험사에서 대리점으로 출향한 직원이 경쟁사 정보를 출향원에 유출한 것이 원인이다.
손보 재팬의 2024년 8월 30일 공식 보고서에 따르면, "본 사안이 개인정보 유출에 해당한다는 인식을 하지 못하고 있었다"고 기술하고 있으며, "사원 및 겸합 대리점에 대한 업무 실태에 맞는 개인정보보호법 교육 부족이 배경에 있다"고 분석했다. 금융청이 2024년 7월 보고 징구 명령, 2025년 3월 업무개선명령(행정처분)을 발동했다.
保険代理店との間で発生した保険契約情報の不適切な管理に関する対応状況, 損害保険ジャパン株式会社 (공식 보고), 2024.8.30
https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2024/20240830_2.pdf
金融庁による報告徴求命令の受領について, 損害保険ジャパン株式会社 (공식 공지), 2024.7.23
https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2024/20240723_1.pdf
2-5. 손보 재팬 1,750만 건 유출 (2025.6)
위의 대리점 사건에 이어, 2025년 4월에는 손보 재팬 자체 시스템이 직접 해킹당해 최대 약 1,750만 건의 정보 유출 가능성이 발표됐다. 일본 보험업계 역대 최대 규모다.
손보 재팬의 제2보(2025.6.11)에 따르면, 2025년 4월 17~21일 사이에 사내 Web 서브시스템이 제3자에 의해 불정 접근되었으며, 고객 관련 약 726만 건(성명·연락처·증권번호 등), 대리점 관련 정보 등 합계 약 1,750만 건에 접근 가능한 상태였다. 금융청은 즉시 보험업법·개인정보보호법에 근거한 보고 징구 명령을 발동(2025.6.12)했다.
이 사건 이전에도 손보 재팬은 2024년 중에 위탁사 3곳을 경유한 유출이 3건 연속 발생한 상태였으며, 2025년 12월에도 위탁사 審調社를 통한 추가 유출이 또 발생했다.
当社システムに対する不正アクセスの発生及び情報漏えいの可能性について(第2報), 損害保険ジャパン株式会社 (공식 발표), 2025.6.11
https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2025/20250611_1.pdf
損保ジャパン、顧客情報1750万件漏洩の可能性 不正アクセスで, 日本経済新聞 (손보 재팬, 고객 정보 1750 만건 누출 가능성 불법 액세스로), 2025.6.11
https://www.nikkei.com/article/DGXZQOUB116Q10R10C25A6000000/
2-6. MKSystem 사건
마이넘버 유출 2,052건 중 1,726건이 단일 위탁사 MKSystem의 서버 불정 접근 때문이었다. MKSystem은 기업의 노무·사회보험 관리 시스템을 클라우드/ASP로 제공하는 회사다. Japan Times는 "MK System, which operates systems to support personnel and labor affairs management, led to the increases"라고 보도했으며, PPC 연차 보고서도 이 사건을 직접 언급하고 있다.
My Number Meltdown: Japan's Unprecedented National ID Data Breach, Keypasco, 2025.6.18
https://www.keypasco.com/en/my-number-meltdown-japans-unprecedented-national-id-data-breach/
3. 랜섬웨어
3-1. Asahi Group (아사히 그룹 HD) — 맥주 공장이 멈추다 (2025.9)
Qilin 랜섬웨어 그룹 소행이며, VPN 인프라 취약점을 통해 침입했다. 맥주 주문·배송 시스템이 마비되어 국내 대부분 공장의 생산·출하가 중단됐고, 수동 주문 처리로 전환됐으며, 2026년 2월에야 물류 시스템이 완전 복구됐다(약 5개월). 약 152만 고객 정보에 접근 가능했고, 115,513건의 유출이 확인됐다.
Japan Times에 따르면, 회사 측 초기 발표는 "시스템 장애(system failure)"였으나, 이후 랜섬웨어로 확인돼 투명성 부족이 비판을 받았다.
Asahi confirms 2025 cyberattack led to leak of 115,513 sets of personal data, The Japan Times, 2026.2.19
https://www.japantimes.co.jp/business/2026/02/19/companies/asahi-cyberattack-personal-info-leak/
Asahi cyber attack spirals into massive data breach impacting almost 2 million people, Bitdefender, 2025.11.27
https://www.bitdefender.com/en-us/blog/hotforsecurity/asahi-cyber-attack-spirals-into-massive-data-breach-impacting-almost-2-million-people
Japan Ransomware 2025: ASKUL & Asahi Group HD Incident Response Compared, 赤坂国際法律会計事務所, 2026.3.5
https://ailaw.co.jp/en/blog-en/japan-ransomware-askul-asahi-2025-incident-response/
3-2. KADOKAWA/Niconico — 러시아 해커에 2개월간 서비스 중단 (2024.6)
러시아 연계 BlackSuit 그룹 소행. Niconico(일본 최대 동영상 플랫폼) 등 KADOKAWA 그룹 서비스가 전면 중단되어 254,241명 사용자 데이터가 유출됐으며, 다크웹에 데이터 공개가 위협됐다. 약 2개월간 서비스 복구가 소요됐다.
이 사건을 계기로 일본 국내 기업의 약 90%가 사이버 보안 전문가를 보유하지 않고 있다는 싱크탱크 조사 결과가 재조명됐다. 공격 전날 기시다 총리가 "능동적 사이버 방어" 법안 마련을 지시한 상태여서, 사건이 입법 추진에 가속을 붙였다.
3-3. Kaikatsu Club (快活CLUB) — AI로 만든 해킹 프로그램 (2025.1)
약 729만 명 회원 정보가 유출됐다. 주목할 점은 오사카 지역 17세 소년이 ChatGPT를 이용해 작성한 악성 프로그램으로 인증 메커니즘을 우회한 점이다. 위조 API 명령으로 서버 인증을 우회하고, 자동화 스크립트로 회원 DB를 대량 추출했다. 정보보안 경진대회 수상 경력이 있는 소년이 독학으로 프로그래밍을 배워 실행한 것으로 밝혀졌다.
모회사 AOKI Holdings는 PPC에 당일 신고하고, 수사 기관과 협력하면서 외부 보안 전문가와 공동 조사를 실시했다.
https://news.aibase.com/news/24101
https://improved-move.com/en/tutorial-category/data-breach/data-breach-japan-2025/kaikatsu-club-data-breach-2025/
4. 증권 계좌 탈취 사태 — 일본 금융 시장을 뒤흔든 사건
2025년 3월부터 일본에서 온라인 증권 계좌 대규모 해킹·부정 거래 사태가 터졌다. 이 사건은 개인정보 유출을 넘어 금융 시장의 신뢰를 근본적으로 흔든 사건이라 별도로 정리한다.
경과:
2025년 3월: 라쿠텐증권에서 계좌 탈취 사실 발각. 이후 노무라, SBI 등 확산
2025년 4월: 부정 거래 1,454건, 약 2,790억 엔(≒19억 달러) 도달
2025년 1~5월 누적: 불정 접근 10,422건, 부정 거래 5,958건, 부정 매매액 5,240억 엔
2025년 7월까지 누적: 부정 거래 8,000건 이상, 약 6,205억 엔(≒42억 달러)
2025년 11월: 중국 국적 남성 2명이 불정 접근 금지법·금상법 위반으로 체포
공격 수법:
피싱 사이트(증권사 위장)로 ID·PW 탈취
Adversary-in-the-Middle(AiTM) 기법: 세션 쿠키를 가로채 MFA까지 우회
인포스틸러(Infostealer) 악성코드로 단말기에서 인증 정보 탈취
탈취한 계좌에서 보유 주식을 매도하고, 소형주를 고가 매수하여 주가 조작 후 차익 실현
일본 사회의 반응:
금융청(FSA)이 74개 증권사에 MFA 의무화 지시
일본증권업협회(JSDA)가 대형·온라인 증권 10사와 협의하여 피해 보상 방침 합의
"MFA를 설정했으니 안전하다"가 아니라, AiTM으로 MFA도 뚫린다는 인식 확산 국민 자산 형성(NISA 등) 정책 추진에 찬물 — "증권 계좌가 안전한가"라는 근본적 불신
https://www.japantimes.co.jp/article-expired/
https://www.nippon.com/en/in-depth/d01153/
https://www.japantimes.co.jp/business/2025/08/15/brokerage-hackers/
https://www.trendmicro.com/ja_jp/research/25/f/mfa-securities-hacks.html
https://www.jsda.or.jp/about/hatten/inv_alerts/alearts04/higai/index.html
https://www.ainvest.com/news/japan-brokerage-fraud-crisis-blueprint-global-cybersecurity-investments-financial-services-2508/
5. 국가 차원의 사이버 위협 — MirrorFace와 능동적 사이버 방어법
2025년 1월 8일, 일본 경찰청(NPA)은 중국 연계 사이버 공격 그룹 MirrorFace가 2019~2024년 사이에 JAXA, 방위성, 외무성, 정치인, 싱크탱크 등을 대상으로 210건 이상의 사이버 공격을 수행했다고 공식 발표했다.
이 사건과 증권 계좌 탈취 사태 등이 겹치면서, 2025년 5월 16일 일본 국회는 「사이버 대응 능력 강화법(능동적 사이버 방어법)」을 통과시켰다. 2026년 10월 시행 예정이다. 핵심은 전력·통신·금융·교통·의료 등 중요 인프라 사업자에 대한 인시던트 보고 의무, 공격 기법·취약점 정보 공유 의무 신설, 정부의 통신 메타데이터 분석 권한 확대다.
https://www.japanpolicyforum.jp/vol/n1/pt2026012702473715361.html
https://hoploninfosec.com/japans-cybersecurity-challenges
https://www.nippon.com/en/in-depth/d01147/
https://www.tripwire.com/state-of-security/japan-passes-active-cyber-defense-bill
https://www.safebreach.com/blog/japan-active-cyber-defense-law/
https://abe-legal.jp/en/news/active-cyber-defense-2026
6. APPI 개정 동향
2026년 4월 7일 일본 내각이 APPI 개정안을 각의 결정하고 국회에 제출했다. 2027년 시행 예정.
배경 사건·이슈→ 개정 방향
- 유출 21,000건 역대 최다, 대형 사고 연발→ 행정 과징금 제도 신설 (현재는 PPC 명령 위반 시에만 형사벌)
- LINE Yahoo·MKSystem 등 위탁사 경유 유출 빈발→ 위탁사 감독 의무 재정비 (계약이 견고하면 수탁사 일반 의무 완화 방향도 포함)
- 안면인식·생체인식 기술 확산 우려→ 「특정 생체인식 개인정보」 신설, 투명성 의무 강화, 옵트아웃 제3자 제공 금지
- AI 기술 발전과 데이터 활용 수요→ AI 학습·통계 처리 목적 이용 시 동의 요건 완화
- 아동 대상 디지털 위험 증가→ 16세 미만 수집 시 부모 동의 필수, 「아동 최선의 이익」 원칙 신설
https://iapp.org/news/a/japan-s-appi-amendment-bill-would-open-narrow-lane-for-some-ai-uses-tighten-rules-elsewhere
https://dig.watch/updates/japan-appi-personal-data-ai-fines
https://www.bakermckenzie.com/en/insight/publications/2026/05/japan-appi-reform-key-changes
https://www.morihamada.com/en/insights/newsletters/138006
https://www.biometricupdate.com/202604/japan-introduces-new-rules-on-biometric-data-in-appi-amendment-bill
https://www.fisherphillips.com/en/insights/insights/japanese-cabinet-approves-appi-amendments
7. NTT 그룹 내부자 유출 사건 (2023)
NTT 그룹 내에서 수탁사 파견 직원에 의한 대규모 내부자 유출이 두 건 동시에 발각된 사건이다. 위의 사고들이 대부분 외부 해킹·랜섬웨어인 데 반해, 이 사건은 수탁사 직원의 의도적 내부 부정(insider threat)이라는 점에서 성격이 근본적으로 다르다. IPA(정보처리추진기구)의 「情報セキュリティ10大脅威 2024」에서 "내부 부정에 의한 정보 유출(内部不正による情報漏えい等)"이 조직 대상 위협 3위로 선정된 직접적 배경이기도 하다.
7-1. NTT 비즈니스 솔루션즈 / NTT마케팅ActProCX 사건 — 928만 건, 10년간 명부업자에 매각
NTT 서일본(NTT西日本)의 100% 자회사인 NTT 비즈니스 솔루션즈(NTTビジネスソリューションズ, 이하 BS사)에 파견된 원(元) 파견 직원 1명이, 콜센터 시스템의 시스템 관리자 계정(admin account)을 악용하여 서버에 접근, 고객 데이터를 USB 메모리에 다운로드하여 반출했다.
유출 규모: 약 928만 건 (69개 기업·자치단체의 고객 정보)
유출 기간: 약 10년간 (2013년 7월 ~ 2023년 1월)
유출 경로: USB 메모리로 다운로드 → 외부 명부업자(名簿業者)에 약 250회에 걸쳐 매각
수익: 범인은 명부업자로부터 약 2,500만 엔(약 2.2억 원)을 수령. "빚을 갚기 위해 했다"고 진술
피해 대상: ProCX의 클라이언트 69개 단체. 야마다양봉장(山田養蜂場) 약 400만 건, 후쿠오카현 자동차세 납세자 약 14만 건 등 포함
위탁 구조가 핵심인데, 클라이언트 69개사가 NTT마케팅ActProCX(ProCX)에 텔레마케팅을 위탁하고, ProCX가 다시 BS사에 콜센터 시스템 운용보수를 재위탁하고, BS사에 파견된 직원이 관리자 권한을 이용해 데이터를 빼낸 구조다. 재위탁 체인에서 관리자 권한이 통제되지 않은 것이 근본 원인이다.
발각 경위도 문제인데, 2021년에 클라이언트 측에서 "고객에게 알 수 없는 곳에서 勧誘 전화가 온다"는 민원이 접수됐으나, NTT 측은 "유출 없음"이라고 회신했다. 이후 경찰 수사 과정에서 2023년 7월에야 실제 유출이 확인됐다. 발각까지 약 2년, 유출 시작부터는 약 10년이 걸렸다.
규제·사법 대응:
총무성(MIC): 2024년 2월, NTT 서일본에 행정지도 발동
PPC: 2024년 1월 24일, NTT마케팅ActProCX 및 NTTビジネスソリューションズ에 대해 권고(勧告) 발동 — PPC의 가장 강력한 행정 조치 중 하나
PPC 추가 조치: 2024년 9월 11일, 유출 데이터를 매입한 명부업자 2사(中央ビジネス, ネクストステージ)에 대해서도 행정 대응 실시. 입검 결과, 中央ビジネス가 약 650만 건 취득 확인
형사 판결: 2024년 7월 11일, 오카야마 지방법원에서 유죄 판결 — 징역 3년 집행유예 4년, 벌금 100만 엔
경영 책임: NTT 서일본 사장이 인책 사임
NTTマーケティングアクトProCX及びNTTビジネスソリューションズに対する個人情報保護法に基づく行政上の対応について, PPC (個人情報保護委員会) (공식 보도), 2024.1.24
https://www.ppc.go.jp/news/press/2023/240124_houdou/
NTTマーケティングアクトProCX等における不正持ち出し事案に対する個人情報保護法に基づく行政上の対応について, PPC (個人情報保護委員会) (공식 보도 — 명부업자 조치), 2024.9.11
https://www.ppc.go.jp/news/press/2024/240911_houdou/
PPC 행정 대응 상세 (명부업자 입검 결과 포함), PPC (첨부 PDF), 2024.9.11
https://www.ppc.go.jp/files/pdf/240911_houdou.pdf
お客さま情報の不正持ち出しを踏まえたNTT西日本グループの情報セキュリティ強化に向けた取組みについて, NTT西日本 (공식 발표), 2024.2.29
https://www.ntt-west.co.jp/news/2402/pdf/240229a_1.pdf
NTT西日本系情報流出、元派遣社員に有罪判決 岡山地裁支部, 日本経済新聞, 2024.7.11
https://www.nikkei.com/article/DGXZQOUE1180H0R10C24A7000000/
NTT西日本子会社の内部不正「調査報告書」を弁護士が解説 — 本事案から学ぶ個人情報漏えい対策のポイント, UNITIS (법률 분석), 2024.7.16
https://unitis.jp/articles/11809/
NTT西日本子会社、不正持ち出しにより約900万件の顧客情報が流出, DataClasys (분석 기사), 2023.10.18 (갱신 2026.1.29)
https://www.dataclasys.com/column/nttbizsol_20231018/
7-2. NTT Docomo / NTT Nexia 사건 — 596만 건
위 7-1과 거의 같은 시기에, NTT Docomo의 「ぷらら」「ひかりTV」 업무를 수탁받은 NTT Nexia(NTTネクシア)의 원(元) 파견 직원이 약 596만 건의 고객 정보를 부정 반출한 사건이 별도로 발각됐다.
유출 규모: 약 596만 건 (ぷらら 165만 건 + ひかりTV 431만 건, 해약 고객 포함)
유출 정보: 성명, 주소, 전화번호, 메일 주소, 생년월일 등 (결제 정보·비밀번호 미포함)
유출 경로: 업무용 PC에서 개인 계약 외부 클라우드 스토리지로 전송 (2023.3.30)
규제 대응: PPC가 NTTドコモ 및 NTTネクシア에 행정지도 발동 (2024.2)
弊社元派遣社員による委託元お客さま情報の不正流出について(お詫び), NTTネクシア (공식 발표), 2023.7.21
https://www.ntt-nexia.co.jp/information/info/2023/20230721_2106.html
NTTドコモ、約596万件の顧客情報流出 業務委託先からの漏えいをどう防ぐか, DataClasys (분석 기사), 2023.8.1
https://www.dataclasys.com/column/nttdocomo_20230801/
NTTドコモ及びNTTネクシアにおける再発防止策の実施状況について, PPC (個人情報保護委員会) 제288회 위원회, 2024
https://www.ppc.go.jp/enforcement/minutes/2024/
D