「スターバックス」で3万人超の従業員情報が大量流出　外部サービスに潜む落とし穴

コーヒーチェーン「スターバックス（Starbucks）」を展開するスターバックス コーヒー ジャパン（以下、スターバックス）は9月19日、同社が利用するシフト管理システムを提供するブルーヨンダー社のサービスが外部からの不正アクセスを受け、同社従業員およびライセンシー契約先店舗の従業員など約31,500名の個人情報が漏洩したことを明らかにした。

漏洩が確認されたのは、ブルーヨンダー社の「Work Force Management（WFM）」というシフト作成ツール。「スターバックス」の直営店およびライセンス店舗の正社員、アルバイトを含む従業員のうち、氏名・従業員IDなどが保存されていたが、今回漏洩したのはその一部。メールアドレスや給与、賞与情報などは漏洩していないとしており、顧客情報も含まれていないとしている。

今回発生した情報漏洩は、スターバックスが利用していたブルーヨンダー社のSaaS型シフト管理システム が外部から不正アクセスを受けたことに起因する。つまり、自社サーバーからの流出ではなく委託先システムの脆弱性が要因となっている。

近年、多くの企業が業務効率化やコスト削減を目的に、クラウドベースの外部サービスを導入している。シフト作成や在庫管理、給与計算など、従来は自社で行ってきた領域も、専門企業のSaaSに移行する流れは止まらない。

だが一方で、委託先のセキュリティ水準が自社のブランド価値や信頼に直結するリスクが浮き彫りになったのが今回の事案だ。スターバックスは「住所や口座情報は漏れていない」と説明しているが、従業員名簿が不正に取得された事実だけで、関係者に与える心理的影響は大きい。さらに、従業員から見れば「自分の情報を預けたのは勤務先」であり、最終的な責任は雇用主である企業に求められる。

また、ブルーヨンダー社がハッカー集団からのサイバー攻撃を確認したのが2024年12月で、スターバックスに第一報があがったのは2025年5月29日。発覚から全容把握までに半年以上を要した点については、リスク管理や委託先監査の体制にも課題があった。

グローバルブランドである「スターバックス」にとって、こうした事案は顧客や求職者からの信頼に影響を与えかねない。従業員を守る姿勢をどれだけ明確に示せるかが、ブランドの持続力を左右するだろう。「便利さ」と「リスク」は常に表裏一体だ。