---
url: 'https://www.corbado.com/ja/blog/data-breaches-france'
title: 'フランスにおける過去最大の大規模データ漏洩事件10選 [2026年]'
description: 'フランスで発生した過去最大規模のデータ漏洩事件トップ10を解説。France TravailからCegedimまで、CNILによる制裁金、報告規則、防止策について紹介します。'
lang: 'ja'
author: 'Vincent Delitz'
date: '2026-05-27T10:31:19.734Z'
lastModified: '2026-05-27T10:34:03.142Z'
keywords: 'データ漏洩 フランス, GDPR 制裁金 フランス, サイバー攻撃 フランス, データ漏洩報告 フランス, France Travail データ漏洩, フランス最大のデータ漏洩 2026, ハッキング フランス企業'
category: 'Passkeys Strategy'
---

# フランスにおける過去最大の大規模データ漏洩事件10選 [2026年]

## Key Facts

- 2024年3月に発生した**France Travailのデータ漏洩**では、最大**4,300万人**の求職者の個人データが流出し、フランス史上最大のデータ漏洩事件となりました。2026年1月、CNIL（情報処理・データ保護国家委員会）は、公的機関に対する制裁金の上限が1,000万ユーロであるGDPR第32条に基づき、France Travailに**500万ユーロ**の制裁金を科しました。
- 2024年から2025年にかけて、公共サービス、ヘルスケア、通信、小売りの各分野で、フランス国民の**1億4,500万件以上**の記録が漏洩しました。これは、フランスの全居住者が複数回の漏洩被害に遭ったことに相当します。
- フランスの主要通信事業者4社のうち3社（Free、Bouygues Telecom、SFR）が2024年から2025年にかけてデータ漏洩を確認しており、FreeとBouygues Telecomの2社だけで、合計**1,100万人以上**の加入者のIBAN（国際銀行口座番号）が流出しました。
- CNILは2026年1月13日、**Free Mobile（2,700万ユーロ）とFree（1,500万ユーロ）に対して合計4,200万ユーロ**という記録的な制裁金を科し、警告から懲罰的な執行への移行を示しました。
- フランスの管理者は、GDPR第33条に基づき、個人データの漏洩を**72時間以内にCNIL**に報告する必要があります。重要インフラ事業者（OIV）および必須サービス事業者（OSE）は、追加で**ANSSI**にも通知を行います。NIS2指令のフランス国内法への置き換えは、2026年時点でも進行中でした。

## 1. はじめに

フランスは、ヨーロッパで最もデータ漏洩が多い国の1つとなっています。2024年から2025年にかけて、公共サービス、[ヘルスケア](https://www.corbado.com/passkeys-for-healthcare)、[通信](https://www.corbado.com/passkeys-for-telecom)、[小売り](https://www.corbado.com/passkeys-for-e-commerce)全体でフランス国民に属する**1億4,500万件以上**の記録が漏洩しました。これは、統計的に**すべてのフランス居住者が複数の漏洩事件に巻き込まれた**ことを意味します。[CNIL](https://www.cnil.fr/en)によると、2024年には5,600件以上の漏洩通知が寄せられ、過去最高を記録しました。

この記事では、France Travailの事件で漏洩した4,300万件の記録から、Cegedim Santéの健康ソフトウェアの漏洩まで、最近のフランスの歴史において最も影響が大きかった10のデータ漏洩事件をリストアップしています。また、フランスで事業を展開するすべての組織に適用されるCNILの報告規則、制裁金、および防止策のパターンについても解説します。

## 2. なぜフランスはデータ漏洩の魅力的な標的になるのか？

フランスの高度にデジタル化された[公共部門](https://www.corbado.com/passkeys-for-public-sector)、その密接な[ヘルスケア](https://www.corbado.com/passkeys-for-healthcare)の[支払い](https://www.corbado.com/passkeys-for-payment)エコシステム、そしてそれぞれが数千万の加入者記録を保持する3つの主要な[通信](https://www.corbado.com/passkeys-for-telecom)事業者が結びつき、桁外れに大きな攻撃対象領域を生み出しています。そこに、同等の国々と比較してサイバーセキュリティへの投資が慢性的に不足していることや、現場のアドバイザーを狙ったソーシャルエンジニアリングが加わることで、2024年から2026年にかけてフランスが経験した記録的な連続漏洩事件が引き起こされました。

### 2.1 高度にデジタル化された公共部門

フランスは、ヨーロッパで最も先進的な電子[政府](https://www.corbado.com/passkeys-for-public-sector)スタックの1つを持っています。国家的なアイデンティティ連携システムであるFranceConnectは、税金、[ヘルスケア](https://www.corbado.com/passkeys-for-healthcare)、雇用、家族手当へのアクセスをルーティングします。したがって、France Travail、Pass'Sport、OFIIで見られたように、たった1つのアドバイザーアカウントが侵害されるだけで、数十年にわたる記録が漏洩する可能性があります。[公共部門](https://www.corbado.com/passkeys-for-public-sector)はゆりかごから墓場までの市民データを保持しており、その規模において他に類を見ない機密記録の集中を生み出しています。

### 2.2 サードパーティ処理業者の密接なエコシステム

フランスの健康[保険](https://www.corbado.com/passkeys-for-insurance)は、数十の共済組合（mutuelles）のデータを処理する少数の「第三者支払い（tiers payant）」プラットフォーム（Viamedis、Almerys、Cegedim）に依存しています。そのため、1つの侵入が数千万の保険契約者に波及します。同じパターンは、[通信](https://www.corbado.com/passkeys-for-telecom)（サードパーティサプライヤーを通じたBouygues [Telecom](https://www.corbado.com/passkeys-for-telecom)の2025年の漏洩）や[Eコマース](https://www.corbado.com/passkeys-for-e-commerce)でも見られます。成熟した社内セキュリティプログラムを持つ組織でさえ、ベンダーネットワークを通じてリスクにさらされ続けています。

### 2.3 慢性的なサイバーセキュリティ投資の不足

[Edouard.ai](https://edouard.ai/blog/france-data-leaks-2025-bouygues-passsport-impots)などの独立した分析では、フランスの公共サイバーセキュリティ支出は**GDPの約0.03%**（公式な数値ではなく推定値）と見積もられており、ヨーロッパの同等の国々よりも明らかに低くなっています。歴史的にCNILの平均的な制裁金はEUの同等の機関を下回っており、これが不十分なセキュリティに対する経済的な抑止力を低下させていましたが、規制当局は現在、Free Mobile、France Travailなどに対する記録的な制裁金によってその差を埋めつつあります。

### 2.4 ソーシャルエンジニアリングとMFAの欠如

フランスで発生した最大規模の事件のいくつか（France Travail、Viamedis、Free）は、フィッシング耐性のあるMFAを強制していなかったアドバイザーまたは従業員ポータルでのフィッシングやアカウント乗っ取りから始まりました。どの場合でも、攻撃者はコアインフラではなく**末端の人間**を標的にしました。FIDOアライアンスは、各パスキーが正規のオリジンに紐付けられ、攻撃者が管理するサイトに対して再利用できないため、パスキーを設計上フィッシング耐性があると分類しています。パスキーやハードウェアベースの認証をまだ導入していないフランスの公共サービスや通信事業者は、引き続き同じクラスの攻撃のリスクにさらされています。

## 3. フランスにおける過去最大のデータ漏洩事件10選

2023年以降に発生したフランスの10大データ漏洩事件では、合計で**1億4,500万件以上**の記録が漏洩し、2026年1月までに合計**4,700万ユーロ**のCNIL制裁金が引き起こされました。これらは、公共サービス（France Travail、Pass'Sport）、ヘルスケアプラットフォーム（Viamedis、Almerys、Cegedim Santé）、通信（Free、Bouygues Telecom）、および消費者向け[小売り](https://www.corbado.com/passkeys-for-e-commerce)（ManoMano、Sport 2000）に及んでいます。以下の表は、その規模、発生年、および規制上の結果をまとめたものであり、詳細な事例の解説と防止策のパターンが続きます。

| #   | 企業 / 組織                        | 年   | 記録数または規模               | 規制上の結果                  |
| --- | -------------------------------- | ---- | ------------------------------ | ----------------------------- |
| 1   | France Travail                   | 2024 | 最大4,300万件                  | **CNIL制裁金500万ユーロ (2026年)**   |
| 2   | ManoMano                         | 2026 | 最大3,780万件 (主張)           | 審査中                  |
| 3   | ViamedisおよびAlmerys            | 2024 | 3,300万件                      | CNILによる調査が進行中    |
| 4   | Free / Free Mobile               | 2024 | 2,460万件の契約 (511万件のIBAN)| **CNIL制裁金4,200万ユーロ (2026年)** |
| 5   | Cegedim Santé (MLM)              | 2025 | 1,500万件                      | 犯罪捜査が開始される |
| 6   | France Travail (MOVEit)          | 2023 | 1,000万件                      | 個別のCNIL制裁金はなし         |
| 7   | Bouygues Telecom                 | 2025 | 640万件 (IBANを含む)       | CNILおよびANSSIに通知済み       |
| 8   | Pass'Sport                       | 2025 | 640万件のメールアドレス    | CNILに通知済み                 |
| 9   | Sport 2000                       | 2024 | 320万件                    | HIBPにインデックス化、CNILに通知済み   |
| 10  | フランスサッカー連盟 (FFF) | 2025 | 約240万人のライセンスメンバー | CNILに通知済み                 |

### 3.1 France Travail データ漏洩 (2024年)

![France Travailのロゴ](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/francetravail_d3254f1758.png)

| 詳細                     | 情報                                                                                                                                                                     |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| 発生時期                 | 2024年3月                                                                                                                                                                |
| 影響を受けた顧客数       | 最大4,300万人                                                                                                                                                            |
| 漏洩したデータ           | - 氏名<br/>- 生年月日と出生地<br/>- 社会保障番号 (NIR)<br/>- France Travail ID<br/>- メールアドレス<br/>- 住所<br/>- 電話番号 |

2024年3月、France Travail（旧ポール・エムプロワ）とCap Emploiは、現在フランス史上最大と考えられているデータ漏洩事件を公表しました。攻撃者は**ソーシャルエンジニアリング**を使用して、Cap Emploi（障害者支援団体）のアドバイザーのアカウントを乗っ取り、過去20年間に登録されたすべての個人のデータ、およびfrancetravail.frにプロフィールを持つ候補者のデータにアクセスしました。[CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail)によると、最大4,300万人が影響を受けた可能性があります。

2026年1月22日、[CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail)は、公的機関に対する制裁金の上限が1,000万ユーロであるGDPR第32条に基づき、France Travailに**500万ユーロ**の制裁金を科しました。規制当局は「基本的なセキュリティ原則の無知」を指摘し、1日あたり5,000ユーロの罰金付きで是正措置を命じました。これはFrance Travailにとってすでに2回目の漏洩でした。2023年8月には、Cl0pランサムウェアグループがMOVEit Transferのゼロデイ脆弱性を悪用したことに関連するサードパーティのインシデントにより、すでに1,000万人のユーザーデータが流出していました。

防止策:

- 大量の市民データにアクセスするすべてのアドバイザーおよび管理者アカウントに対して、フィッシング耐性のあるMFA（パスキー）を強制する
- 市民データベースに対して、大量クエリの異常検知と厳格なデータ保持ルールを適用する

### 3.2 ManoMano データ漏洩 (2026年)

![ManoManoのロゴ](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/manomano_6309bda5c8.png)

| 詳細                     | 情報                                                                   |
| ------------------------ | ---------------------------------------------------------------------- |
| 発生時期                 | 2026年2月                                                              |
| 影響を受けた顧客数       | 最大3,780万人 (主張)                                                   |
| 漏洩したデータ           | - 身元データ<br/>- 連絡先情報<br/>- 管理情報 |

2026年2月、フランスのDIY向け[Eコマース](https://www.corbado.com/passkeys-for-e-commerce)大手ManoManoが、複数のフランスのサイバーセキュリティトラッカーで参照されているデータ販売において、脅威アクターによって名指しされました。このアクターは、身元データ、連絡先情報、管理情報を含む**最大3,780万件の顧客記録**を侵害したと主張しました。この主張の規模は、アクティブなフランスの顧客ではなく、プラットフォームの累積されたEUユーザーベースと一致していますが、このインシデントは依然として、これまでに観察されたフランス関連のデータ販売の中で最も量が多いものの1つです。

この漏洩は、フランスの大規模な消費者向け[マーケットプレイス](https://www.corbado.com/passkeys-for-e-commerce)が、特に以前の漏洩と組み合わせて詐欺のための「アイデンティティグラフ」を構築できる場合、銀行や通信事業者と同様に攻撃者にとって魅力的になっていることを強調しています。

防止策:

- アングラフォーラムや漏洩[マーケットプレイス](https://www.corbado.com/passkeys-for-e-commerce)で公開された顧客リストを継続的に監視し、顧客エンドポイントに強力なAPIレート制限を適用する
- アクティビティの低い過去の顧客プロファイルの保持を最小限に抑える

### 3.3 ViamedisおよびAlmerys データ漏洩 (2024年)

| 詳細                     | 情報                                                                                                                                                   |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| 発生時期                 | 2024年1月〜2月                                                                                                                                         |
| 影響を受けた顧客数       | 3,300万人                                                                                                                                              |
| 漏洩したデータ           | - 氏名<br/>- 生年月日<br/>- 保険者の詳細<br/>- 社会保障番号<br/>- 婚姻状況と市民身分<br/>- 第三者支払いの資格 |

2024年1月と2月、補足的健康[保険](https://www.corbado.com/passkeys-for-insurance)向けのフランスの2つの第三者[支払い](https://www.corbado.com/passkeys-for-payment)処理業者であるViamedisとAlmerysが立て続けに侵害されました。CNILは、これらのインシデントが合わせて**フランスの人口の半分近くに相当する3,300万人**に影響を与えたことを確認しました。

Viamedisへの侵入は、医療専門家を標的とした**フィッシング攻撃**に起因しており、攻撃者が盗んだ認証情報をプロバイダーポータルで再利用することを可能にしました。Almerysも、同様の医療専門家向けポータルを通じて攻撃を受けたと疑われています。

> 「これほどの規模の違反が発生したのは初めてのことです。」 — Yann Padova、元CNIL事務局長 (2024年)

防止策:

- 被保険者のデータにアクセスするすべての医療専門家に、フィッシング耐性のあるMFA（パスキー）を導入する
- 1つの侵害されたポータルが国家データベース全体を露出させないように、第三者支払い（tiers-payant）プラットフォームをセグメント化する

### 3.4 Free データ漏洩 (2024年)

![Free Mobileのロゴ](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/free_d166ba4dc6.png)

| 詳細                     | 情報                                                                                                                                    |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------- |
| 発生時期                 | 2024年10月                                                                                                                              |
| 影響を受けた顧客数       | 2,460万件の契約 (1,946万件のFree Mobile + 517万件のFree)、うち511万件のIBAN                                                             |
| 漏洩したデータ           | - 氏名<br/>- メールアドレス<br/>- 生年月日<br/>- 住所<br/>- 電話番号<br/>- 511万件のIBAN (Freeのみ) |

2024年10月、Free（フランスで2番目に大きなISPであり、Iliadグループの子会社）は、攻撃者が内部管理ツールを侵害し、**全511万人のFreebox顧客のIBAN**を含む、**1,946万件のFree Mobile契約と517万件のFreebox契約**のデータを流出させたことを確認しました。このデータは、「drussellx」として知られる脅威アクターによってBreachForumsで直ちにオークションにかけられ、最終的な入札額は17万5,000ユーロに達しました。

Freeは、パスワード、[支払い](https://www.corbado.com/passkeys-for-payment)カードデータ、通信内容は影響を受けていないと強調しましたが、IBAN、氏名、生年月日の組み合わせは、口座振替詐欺や高品質なフィッシングには十分です。2026年1月13日、[CNILはFree Mobileに2,700万ユーロ、Freeに1,500万ユーロの制裁金を科しました](https://www.cnil.fr/en)。合計4,200万ユーロに上るこの制裁金は、加入者データのセキュリティが不十分だったことに対するものであり、フランスでデータ漏洩に対して科されたGDPR制裁金として過去最大規模の1つです。

防止策:

- 特権を持つ内部ツールを、フィッシング耐性のあるMFAとジャストインタイム（JIT）アクセスで保護する
- 加入者記録が直接収益化されないように、IBANと支払い識別子をトークン化する

### 3.5 Cegedim Santé (MLM) データ漏洩 (2025年)

![Cegedimのロゴ](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/cegedim_920112c77d.png)

| 詳細                     | 情報                                                                                                     |
| ------------------------ | -------------------------------------------------------------------------------------------------------- |
| 発生時期                 | 2025年10月                                                                                               |
| 影響を受けた顧客数       | 約1,500万人の患者                                                                                        |
| 漏洩したデータ           | - 患者の管理データ (姓、名、性別など)<br/>- 15年間にわたる1,900万件の記録 |

2025年10月、攻撃者は[Cegedim Santé](https://www.cegedim.com/)が編集し、数千人のフランスの医療専門家が使用している医療業務管理ソフトウェア「MonLogicielMedical.com (MLM)」を侵害しました。フランス保健省によると、このインシデントにより、最大15年の歴史と1,900万行のデジタル記録に及ぶ、**約1,500万人のフランスの患者の管理データ**が流出しました。

2026年2月の説明で、Cegedim Santéは、問題のデータは**純粋に管理目的のもの**（姓、名、性別などの身元情報）であり、構造化された臨床記録、自由記述の医学的コメント、HIVステータスなどの機密性の高い診断は含まれて**いない**と述べました。2025年10月27日、「自動データシステムの侵害」の疑いで犯罪捜査が開始されました。

> 「おそらく、フランスの医療史上最大の情報漏洩になるでしょう。」 — Gérôme Billois、Wavestoneのサイバーセキュリティ専門家 (2025年10月)

防止策:

- クラウド医療ソフトウェアにアクセスするすべての医療従事者に対して、強力な認証（パスキー）を強制する
- SaaS医療プラットフォームにおいて、管理上の身元データと臨床記録の間の厳格なデータ最小化と分離を適用する

### 3.6 France Travail MOVEit データ漏洩 (2023年)

![France Travailのロゴ](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/francetravail_d3254f1758.png)

| 詳細                     | 情報                                                             |
| ------------------------ | ---------------------------------------------------------------- |
| 発生時期                 | 2023年8月                                                        |
| 影響を受けた顧客数       | 約1,000万人                                                      |
| 漏洩したデータ           | - 氏名<br/>- 社会保障番号<br/>- 連絡先情報 |

2024年のセンセーショナルな事件の前に、France Travailはすでに、Progress MOVEit Transferソフトウェアのゼロデイ脆弱性を悪用したCl0pランサムウェアグループに関連するサードパーティの侵害の被害に遭っていました。この攻撃により、名前、NIR（社会保障番号）、連絡先情報を含む、約**1,000万人の求職者**の個人情報が流出しました。これは、世界中の何百もの組織に影響を与えた世界的なMOVEitサプライチェーン攻撃の一環であり、同じ機関の2024年のさらに大規模な漏洩を予見させるものでした。

防止策:

- インターネットに公開されているサードパーティのファイル転送ソフトウェアの最新のインベントリを維持し、ゼロデイ期間の仮想パッチを適用する
- ファイル転送パイプラインをコアな人事および市民データベースからセグメント化する

### 3.7 Bouygues Telecom データ漏洩 (2025年)

![Bouygues Telecomのロゴ](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/bouygues_d1a6afded7.png)

| 詳細                     | 情報                                                                                                         |
| ------------------------ | ------------------------------------------------------------------------------------------------------------ |
| 発生時期                 | 2025年8月                                                                                                    |
| 影響を受けた顧客数       | 640万人                                                                                                      |
| 漏洩したデータ           | - 氏名<br/>- 住所<br/>- 電話番号<br/>- 生年月日<br/>- 契約データ<br/>- IBAN |

2025年8月4日、約1,450万人のモバイル加入者と合計約2,300万人の顧客ベースを持つフランスの主要モバイルキャリアの1つであるBouygues Telecomは、顧客管理システムに対するサイバー攻撃を検知しました。2日後、同社は、攻撃者がIBANを含む**640万人の顧客**の個人データおよび契約データにアクセスしたことを確認しました。パスワードと支払いカード番号は侵害されませんでした。

サードパーティサプライヤーから発生したとみられるこの漏洩は、CNILとANSSIに報告されました。[フランス刑法第323-1条](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030939438/)に基づき、攻撃者は自動データ処理システムへの不正アクセスにより最大3年の懲役、データが改ざんされたりシステムが損なわれたりした場合は最大5年の懲役に処される可能性があります。Bouygues Telecom自体は、サードパーティのサイバーリスク管理に関してCNILからGDPRの審査を受けています。この事件は、2024年から2025年にかけてSFR（2025年9月、[銀行](https://www.corbado.com/passkeys-for-banking)詳細）やFreeを襲ったより広範なパターンの1つです。

防止策:

- サードパーティサプライヤーをコアな攻撃対象領域の一部として扱い、すべての接続されたシステムにわたってフィッシング耐性のあるMFAを要求する
- 一括データ窃盗の価値を制限するために、IBANやその他の支払い識別子をトークン化する

### 3.8 Pass'Sport データ漏洩 (2025年12月)

![Pass'Sportのロゴ](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/passsport_c10a1e5abd.png)

| 詳細                     | 情報                                                                                       |
| ------------------------ | ------------------------------------------------------------------------------------------ |
| 発生時期                 | 2025年12月                                                                                 |
| 影響を受けた顧客数       | 350万世帯 (640万の一意のメールアドレス)                                                    |
| 漏洩したデータ           | - 受益者および親の身元<br/>- 連絡先情報<br/>- 管理情報 |

Pass'Sportは、スポーツ省が運営するフランスの[政府](https://www.corbado.com/passkeys-for-public-sector)プログラムであり、資格のある若者にスポーツクラブの会費として**70ユーロの補助金**（以前は50ユーロ）を提供しています。2025年12月17日から18日の夜にかけて、2,200万行以上のデータを含む15GBのファイルがオンラインに公開されました。当初のメディア報道では、この漏洩は家族手当金庫（CAF）に起因すると誤って報じられましたが、CAFはcaf.frへのいかなる侵入も公に否定しました。その後、スポーツ省は、データが**Pass'Sport情報システム**から発信されたものであり、受益者とその親または保護者の**約350万世帯、640万の固有のメールアドレス**を対象としていることを確認しました。

流出した記録は2024年9月から2025年11月までの期間を対象としており、完全な身元、住所、電話番号、メールアドレスが含まれていましたが、[銀行](https://www.corbado.com/passkeys-for-banking)データやパスワードは含まれていませんでした。このデータセットは未成年者のいる家族を標的としたフィッシングに特に有用であり、その後大部分が[Have I Been Pwned](https://haveibeenpwned.com/)にインデックス付けされています。

防止策:

- 管理者に対するフィッシング耐性のあるMFAの義務化など、未成年者のデータを処理するシステムに可能な限り厳格な保護を適用する
- プログラムの有効期限後、受益者データが保持される期間を最小限に抑える

### 3.9 Sport 2000 データ漏洩 (2024年)

| 詳細                     | 情報                                                                                                                                |
| ------------------------ | ----------------------------------------------------------------------------------------------------------------------------------- |
| 発生時期                 | 2024年4月                                                                                                                           |
| 影響を受けた顧客数       | 320万の一意のメールアドレス (440万件の記録)                                                                                         |
| 漏洩したデータ           | - 氏名<br/>- メールアドレス<br/>- 電話番号<br/>- 住所<br/>- 生年月日<br/>- 店舗ごとの購入履歴 |

2024年4月、フランスのスポーツ用品小売業者**Sport 2000**がデータ漏洩の被害に遭い、その後[Have I Been Pwnedにインデックス付けされました](https://haveibeenpwned.com/Breach/Sport2000)。「ChatNoir7331」という別名で活動する脅威アクターが、**320万の固有のメールアドレスを含む440万行**のデータベースをハッキングフォーラムで売りに出し、そのデータセットはその後2024年6月に無料で再公開されました。この漏洩には、名前、メールアドレス、住所、電話番号、生年月日、および特定の店舗の場所に紐付けられた詳細な購入履歴が含まれていました。

連絡先データと店舗ごとの購入履歴の組み合わせにより、Sport 2000の漏洩データは高度に標的化されたフィッシング（「Sport 2000リヨン店での最近のご購入…」など）に特に有用となり、マーケティングデータベースが適切にセグメント化されていない場合、中規模のフランスの小売業者が消費者規模の漏洩をどのように引き起こす可能性があるかを示しています。

防止策:

- マーケティングデータベースとトランザクションデータベースをセグメント化し、サードパーティのマーケティングツールで使用されるアクセストークンをローテーションする
- 識別可能な顧客に結び付けられた過去の購入データの保持を最小限に抑える

### 3.10 フランスサッカー連盟 データ漏洩 (2025年)

![FFFのロゴ](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/fff_small_0465e008b5.png)

| 詳細                     | 情報                                                                                 |
| ------------------------ | ------------------------------------------------------------------------------------ |
| 発生時期                 | 2025年                                                                               |
| 影響を受けた顧客数       | 約240万人のライセンスメンバー                                                        |
| 漏洩したデータ           | - メンバーの身元<br/>- 生年月日<br/>- 連絡先情報<br/>- ライセンス番号 |

2025年、[フランスサッカー連盟 (FFF)](https://www.fff.fr/)は、ライセンスメンバーの個人データが漏洩したことを公表しました。FFFは、2023-2024シーズンで約**238万人のライセンスメンバー**を公表しています。FFF自身の「データ盗難 (vol de données)」通知によると、このインシデントは身元情報と連絡先データ（名前、生年月日、ライセンス番号、一部の身分証明書）を対象としており、**健康データは明示的に除外**されていました。FFFのインシデントは、フランスセーリング連盟、フランス体操連盟、フランス射撃連盟などにも影響を与えた攻撃の波の一部であり、フランスのスポーツ連盟が大規模で歴史的に保存されたデータセットを持ち、比較的にITセキュリティ予算が弱いため、魅力的な標的であることが確認されました。

防止策:

- 数十年分のメンバーデータを保持する連盟や非営利団体において、サイバーセキュリティ投資を優先する
- ライセンスを運用するために不要になった過去の記録を削除する

## 4. フランスでのデータ漏洩の報告方法

フランスの管理者は、GDPR第33条に基づき、個人データの漏洩を認識してから**72時間以内**に[CNIL](https://www.cnil.fr/en)に報告する必要があります。漏洩が影響を受ける個人の権利と自由に高いリスクをもたらす可能性がある場合、GDPR第34条は不当な遅滞なく通知することを要求しています。重要インフラ事業者（OIV）および必須サービス事業者（OSE）は、追加で[ANSSI](https://www.ssi.gouv.fr/en/)にも通知を行います。NIS2指令のフランス国内法への完全な置き換えは、2026年時点でも進行中でした。

### 4.1 GDPR 72時間ルール (第33条)

[GDPR第33条](https://gdpr-info.eu/art-33-gdpr/)に基づき、管理者は漏洩を認識してから**72時間以内**にCNILに個人データの漏洩を通知する必要があります。通知が遅れた場合、管理者は遅延の理由を提供しなければなりません。通知には、漏洩の性質、影響を受ける個人のカテゴリと概数、予想される結果、および講じられた、または提案された対策を記載する必要があります。

### 4.2 管轄当局：CNIL

ドイツの16の州レベルのDPA（データ保護監督機関）とは異なり、フランスには単一の国家監督機関である**情報処理・データ保護国家委員会 (CNIL)**があります。CNILは、公共部門と民間部門の両方の管理者に対してGDPRを執行し、最大2,000万ユーロまたは全世界の年間売上高の4％のいずれか高い方の行政制裁金を科す権限を持っています。Free MobileおよびFreeに対する最近の共同制裁金（4,200万ユーロ、うち2,700万ユーロはFree Mobileに対するもの）やFrance Travail（500万ユーロ）は、CNILが警告から懲罰的な執行へと移行したことを示しています。

### 4.3 OIV、OSE、およびNIS2のANSSIへの報告

重要インフラ事業者（**OIV**）および必須サービス事業者（**OSE**）は、重大なサイバーインシデントを追加でフランス国家サイバーセキュリティ庁である[ANSSI](https://www.ssi.gouv.fr/en/)に報告する必要があります。NIS2指令は、デジタルサービスプロバイダー、製造業、廃棄物管理など、より多くの分野に必須の報告を拡大します。そのフランス国内法への置き換えは2026年時点でも進行中であり、ANSSIはプロセス全体を通じて連絡を取ると述べています。欧州委員会はまた、不完全な置き換えについて理由付きの意見を発表しました。発効すると、報告は段階的なタイムラインに従います。**24時間以内の早期警告、72時間以内の完全な通知**、そして1ヶ月以内の最終報告です。

### 4.4 個人の通知 (第34条)

漏洩が個人の権利と自由に高いリスクをもたらす可能性がある場合、[GDPR第34条](https://gdpr-info.eu/art-34-gdpr/)は、影響を受ける個人に対して明確で平易な言葉で直接通知することを要求しています。France Travail、Viamedis、Free、およびCegedim Santéの事例はすべて、第34条の義務を引き起こしました。通知を怠ることは、根本的な漏洩の上に規制上の罰則が追加される一般的な引き金となります。

## 5. フランスのデータ漏洩における傾向

10の事例すべてで4つのパターンが繰り返されています。高度にデジタル化された[公共部門](https://www.corbado.com/passkeys-for-public-sector)への市民データの集中、主要な侵入ポイントとしてのサードパーティおよびサプライチェーンの侵害、フランスの公共ポータルを脆弱な標的に変えるクレデンシャルスタッフィング、そして急速に執行を強化しているCNILです。これらのパターンを理解することは、個別のインシデントを暗記するよりも実用的です。

### 5.1 公共部門のデジタル化が全国規模の攻撃対象領域を生み出す

France Travail、OFII、FICOBA、およびPass'Sportは、いかに多くの市民データが少数の公共プラットフォームに集中しているかを示しています。Cap Emploiでの1つのアドバイザーアカウントの侵害は4,300万件の記録を流出させるのに十分であり、1つの漏洩したPass'Sportのパートナー統合は350万世帯を露出させるのに十分でした。フランスが**FranceConnect**と共有の公共サービスログインに依存していることが、このリスクを増幅させています。NIRに紐付けられた1つの侵害されたパスワードは、一度に複数の公共サービスのロックを解除する可能性があります。

### 5.2 サードパーティベンダーは重大な弱点である

Viamedis、Almerys、Cegedim Santé、Bouygues Telecom、および2023年のFrance Travail MOVEitインシデントはすべて同じ根本原因を共有しています。プライマリブランドではなく、サードパーティでの侵害です。成熟した社内セキュリティプログラムを持つ組織でさえ、ベンダーネットワークを通じてリスクにさらされ続けています。少数の処理業者が数十の共済組合のデータを処理する第三者支払い（tiers-payant）の健康[保険](https://www.corbado.com/passkeys-for-insurance)モデルは、単一障害点（SPOF）の侵害に対して特に脆弱です。

### 5.3 クレデンシャルスタッフィングが公共ポータルを脆弱な標的に変える

クレデンシャルスタッフィングは、フランスのすべての漏洩の後のデフォルトのフォローアップ攻撃になっています。2024年2月、ハッカーグループのLulzSecは、caf.frへの技術的な侵害なしに、純粋にパスワードの再利用によって**最大60万件のCAFアカウント**が侵害されたと主張しました。その後の2024年8月の漏洩では、ハッキングフォーラムでさらに60,369件のCAFのログインの組み合わせ（NIR + パスワード）が公開されました。フランスの公共サービスがパスワードによるログインを受け入れ続ける限り、ヨーロッパのどこかで新しい漏洩が発生するたびに、それらに対するクレデンシャルスタッフィング攻撃が助長されます。

### 5.4 CNILの執行が強化されている

2026年1月時点で、CNILは警告から懲罰的な執行へと移行しています。2026年1月13日、Free MobileとFreeは共同で**4,200万ユーロ**（Free Mobileに対して2,700万ユーロ、Freeに対して1,500万ユーロ）の制裁金を科され、France Travailは2026年1月22日、GDPR第32条に基づき**500万ユーロ**の制裁金を科されました（公的機関の法定上限は1,000万ユーロ）。歴史的に、CNILの平均的な制裁金はGDPRの上限を大きく下回っていました。第82条に基づく集団訴訟スタイルの損害賠償請求が増加していることと相まって、フランスはドイツ、オランダ、アイルランドと同じ執行のレベルに移行しました。

## 6. 結論

フランスの過去最大の10の最近の漏洩事件は、一貫した物語を語っています。クレデンシャルとサードパーティへのアクセスが共通の分母であるということです。France Travailのソーシャルエンジニアリングされたアドバイザーアカウント、Viamedisのフィッシングされた医療専門家、Freeの侵害された内部ツール、Pass'Sportの漏洩したパートナー統合、およびBouygues [Telecom](https://www.corbado.com/passkeys-for-telecom)のサードパーティサプライヤーはすべて、パスワードを使用して数十年にわたる市民データを保持するシステムに対して認証を行う人間とベンダーという、同じ根本的な弱点にたどり着きます。

対策も同様に一貫しています。パスキーのようなフィッシング耐性のある認証、厳格なサードパーティのアクセスガバナンス、継続的なダークウェブの監視、および72時間のCNIL通知の準備です。CNILが現在8桁から9桁の制裁金を科している中、2026年にこれらを経営層レベルの優先事項として扱うフランスの組織は、過去3年間のフランスの漏洩を特徴づけた規制上の罰則と風評被害の両方を回避できるでしょう。

## よくある質問 (FAQ)

### 2024年のFrance Travailのデータ漏洩とは何でしたか？

2024年3月、France Travail（旧ポール・エムプロワ）とCap Emploiは、フランス史上最大のデータ漏洩事件を公表しました。攻撃者はソーシャルエンジニアリングを使用してCap Emploiのアドバイザーアカウントを乗っ取り、名前、生年月日、社会保障番号、France Travail ID、連絡先情報など、過去20年間の最大4,300万人の求職者の個人データを流出させました。2026年1月22日、CNILは、公的機関に対する制裁金の上限が1,000万ユーロであるGDPR第32条に基づき、France Travailに500万ユーロの制裁金を科しました。

### フランスでのデータ漏洩はどのように報告しますか？

GDPR第33条に基づき、フランスの管理者は、個人データの漏洩を認識してから72時間以内にCNILに通知する必要があります。漏洩が影響を受ける個人に高いリスクをもたらす可能性がある場合、第34条は不当な遅滞なく彼らに通知することを要求しています。重要インフラ事業者（OIV）および必須サービス事業者（OSE）は、既存のフランスの法律に基づいてANSSIに通知します。NIS2指令のフランス国内法への完全な置き換えは、2026年時点でも進行中でした。

### フランスでのデータ漏洩後に科された最大のCNIL制裁金はいくらですか？

2026年1月13日、CNILは、511万件のIBANを含む2,460万件の契約を流出させた2024年の漏洩の一因となった不十分なセキュリティを理由に、Free Mobileに2,700万ユーロ、Freeに1,500万ユーロ（合計4,200万ユーロ）の制裁金を共同で科しました。これは、データ漏洩に対してフランスで科された中で最大規模のGDPR制裁金の1つです。France Travailは、2026年1月22日に第32条に基づき500万ユーロの制裁金を科されました。

### なぜフランスはデータ漏洩の主要な標的になっているのですか？

フランスは、高度にデジタル化された公共部門（France Travail、CAF、DGFiP、OFII）、密接なヘルスケア支払いエコシステム（Viamedis、Almerys、Cegedim）、そしてそれぞれが数千万の加入者記録を保持する3つの主要な通信事業者を組み合わせています。GDPに比べて慢性的なサイバーセキュリティへの投資不足、サードパーティプラットフォームへの過度な依存、および一般向けのアドバイザーに対するソーシャルエンジニアリング攻撃により、2024年から2025年の間に1億4,500万件以上のフランスの記録が流出した理由が説明されます。

### フランスのデータ漏洩はどのようにクレデンシャルスタッフィング攻撃を助長するのですか？

漏洩により、メールアドレス、社会保障番号、そして多くの場合ダークウェブのフォーラムで取引されるパスワードが流出します。攻撃者はこれらのクレデンシャルを銀行、公共サービス、小売業者に対して再利用し、パスワードの使い回しを悪用します。2024年2月のCAFインシデントでは、caf.frへの技術的な侵害なしに、純粋にクレデンシャルスタッフィングを通じて最大60万件のアカウントが侵害され、フランスの漏洩が公開後も長く攻撃を助長し続けることが示されました。