ドイツにおけるデータ漏洩の過去最大規模10選 [2026年]

1. はじめに#

ドイツはヨーロッパ最大の経済大国であり、同大陸で最もデータ漏洩が多い管轄区域の一つです。2024年のドイツにおけるデータ漏洩の平均コストは490万ユーロ（約531万米ドル）に達し、IBM「データ漏洩のコストに関するレポート 2024」によると、世界で最もコストが高い国のトップ5にランクインしています。GDPRの施行以来、ドイツの組織はEU加盟国の中で最も多くの通知を提出しています。

この記事では、2015年の連邦議会ハッキングから2025年のサムスンドイツの漏洩事件まで、ドイツの歴史において最も重大なデータ漏洩10件を取り上げるとともに、ドイツで事業を展開するすべての組織に適用される報告規則、GDPRの制裁金、および防止策のパターンについて解説します。

2. ドイツがデータ漏洩の標的になりやすい理由#

ヨーロッパの産業大国としてのドイツの地位、NATOおよびEUにおける地政学的な役割、そして16の当局に分断されたデータ保護体制が組み合わさることで、桁外れに大きな攻撃対象領域（アタックサーフェス）が生み出されています。攻撃者は、自動車、化学、エンジニアリング、金融分野の高価値な知的財産を求めてドイツ企業を標的にします。国家支援型グループは政治機関を狙います。防御が手薄な中規模のサプライヤー（ミッテルスタンド）が、より大規模な企業へ侵入するための足がかりとして悪用されます。

2.1 高価値な知的財産を持つ産業大国#

ドイツには、自動車（フォルクスワーゲン、BMW、メルセデス・ベンツ）、エンジニアリング（シーメンス、ボッシュ）、化学（BASF、バイエル）、金融（ドイツ銀行、アリアンツ）において、世界的に認知されたブランドが存在しています。これらの企業は、営業秘密、製造データ、研究開発のパイプライン、顧客の記録を保持しています。このような高価値な知的財産が集中しているため、ドイツの組織は、競争上の優位性を求める金銭目的のサイバー犯罪者や国家支援型のスパイグループにとって優先的な標的となります。

2.2 地政学的な重要性と国家支援型の脅威#

NATO、EU、およびG7におけるドイツの役割は、同国を国家支援型作戦の標的にしています。ロシアに関連するグループAPT28（Fancy Bear）は、連邦議会や政党を繰り返し標的にしてきました。ドイツ当局は2020年、2015年の連邦議会ハッキングをロシアのGRU 26165部隊によるものと公式に特定しました。2022年以降のドイツによるウクライナ支援はこれらの脅威を激化させており、BSIやドイツの検察官によって複数の特定事例が確認されています。

2.3 複雑な規制環境とミッテルスタンドの課題#

ドイツは16の独立した州レベルのデータ保護当局を通じてGDPRを施行しており、分断された監督環境を生み出しています。ドイツのミッテルスタンド（何万もの中小企業）は、機密性の高い産業データや顧客データを扱っていますが、企業レベルのサイバーセキュリティリソースを欠いていることがよくあります。これにより、サイバー犯罪者がサプライチェーンやサードパーティのベクターを通じて積極的に悪用する、広範かつ不均一な攻撃対象領域が作り出されています。

3. ドイツにおけるデータ漏洩の過去最大規模10選#

以下の表は、ドイツにおける過去最大規模のデータ漏洩10件を、範囲、発生年、および規制当局による結果でまとめたものです。詳細な事例の解説と防止策のパターンはその後に続きます。

3.1 ドイツの認証情報大規模漏洩 (2014年)#

2014年4月、ドイツ連邦情報セキュリティ庁（BSI）は、ドイツ北部の警察が盗まれた約1,600万件のメールアドレスとパスワードを発見したことを確認しました。これは、1,600万件の漏洩した認証情報が発見された事件から3ヶ月後のことであり、当時としてはドイツ史上最大規模の認証情報漏洩となりました。約300万件の認証情報はドイツ国民のものでした。盗まれたデータは、オンラインでの不正購入やなりすまし詐欺に積極的に使用されていました。

この発見により、パスワードの使い回しが蔓延していることや、オンラインサービスが認証情報ベースの攻撃に対して脆弱であることが浮き彫りになりました。BSIは、国民が自身の認証情報が漏洩しているかどうかを確認できる公開の検索サイトを立ち上げました。

防止策：

• パスキーのようなフィッシング耐性のあるMFAを導入し、認証情報の使い回しリスクを排除する
• ダークウェブ上の漏洩した認証情報のダンプを監視し、漏洩時にはパスワードリセットを強制する

3.2 ドイツ連邦議会ハッキング (2015年)#

2015年5月、ドイツ連邦議会の内部ネットワークが侵害されました。これはドイツの歴史において最も重大な国家支援型サイバー攻撃の一つです。ロシアの軍事情報機関GRUの部隊であるAPT28（Fancy Bear / Sofacy）は、国連からの通信を装ったスピアフィッシングメールを使用してマルウェアをインストールしました。攻撃者は管理者アクセス権を獲得し、5,000台以上のコンピュータを侵害し、数万通の議会メールを含む約16GBのデータを持ち出しました。

連邦議会のIT環境全体をオフラインにし、再構築する必要がありました。ドイツは2020年にこの攻撃をGRU 26165部隊によるものと公式に特定し、ドミトリー・バディンに対して国際逮捕状を発付しました。この事件は、ドイツのサイバーセキュリティ政策における転換点となりました。

防止策：

• アンチフィッシング対策と、政府機関ユーザー向けのフィッシング耐性のある認証を強制する
• ネットワークセグメンテーションと最小権限のアクセス制御を適用し、ラテラルムーブメント（横展開）を制限する

3.3 ドイツ政治家データ漏洩 (2018/2019年)#

2018年12月、ヘッセン州の20歳の学生が、ドイツ史上最大の著名人の個人データ漏洩事件を首謀しました。アドベントカレンダー形式でのTwitter上での公開キャンペーンを通じ、攻撃者はアンゲラ・メルケル首相やフランク＝ヴァルター・シュタインマイヤー大統領を含む、1,000人を超えるドイツの政治家、ジャーナリスト、著名人の盗まれた個人データを公開しました。このデータには、個人の電話番号、自宅の住所、クレジットカード情報、個人のチャット記録、写真が含まれていました。

犯人は2019年1月に逮捕されました。彼にはコンピュータサイエンスの正式な訓練経験はなく、単独で行動していました。この事件により、ドイツの政治エリート層におけるデジタル衛生意識の低さが露呈しました。

防止策：

• 個人および公的なすべてのアカウントで強力なMFAを強制する
• 公人に紐づく漏洩した認証情報について、ダークウェブの監視を実行する

3.4 Knuddels.deのデータ漏洩 (2018年)#

2018年7月、ドイツで人気のチャットプラットフォームKnuddels.deがハッカーによる侵害を受け、暗号化されていないパスワードのファイルを含む約180万件のユーザー記録にアクセスされました。盗まれたデータは2018年9月にPastebinとMegaで公開されました。漏洩の原因は、セキュリティ更新プログラムを受け取っていなかった時代遅れのバックアップサーバーにありました。

Knuddelsのデータ漏洩は、ドイツで初めてGDPRの制裁金が科されるきっかけとなりました。バーデン＝ヴュルテンベルク州データ保護当局（LfDI）は、パスワードをプレーンテキストで保存したことがGDPR第32条に違反するとして、2万ユーロの制裁金を科しました。当局はKnuddelsの透明性と協力を称賛し、ドイツにおけるGDPR執行の重要な先例を打ち立てました。

防止策：

• プレーンテキストでのパスワード保存を、最新のハッシュ化（bcrypt、Argon2）またはパスワードレスのフローに置き換える
• 厳格なスケジュールに基づき、レガシーなバックアップやステージングシステムにパッチを適用し、廃止する

3.5 Mastercard Priceless Specialsの漏洩 (2019年)#

2019年8月、Mastercardのドイツのロイヤルティプログラム「Priceless Specials」で漏洩が発生し、約9万人の会員の個人情報が流出しました。氏名、決済カード番号、メールアドレス、自宅住所、電話番号、性別、生年月日を含む2つのデータファイルがインターネット上で公開されました。パスワード、カードの有効期限、CVCコードは含まれていませんでしたが、漏洩したデータは依然として詐欺やなりすましによる多大なリスクを生み出しました。

この漏洩の原因は、ドイツでPriceless Specialsを運営していたサードパーティのサービスプロバイダーにありました。Mastercardはプログラムを一時停止し、サイトを閉鎖し、ドイツおよびベルギーのデータ保護当局に通知しました。その後何十件もの正式な苦情が寄せられ、大手金融機関であってもサードパーティベンダーのリスクがあることが浮き彫りになりました。

防止策：

• すべてのサードパーティベンダーに対し、セキュリティ監査、漏洩通知に関するSLA、暗号化の要件を課す
• 顧客のPII（個人を特定できる情報）を処理する外部プラットフォームを継続的に監視する

3.6 H&Mの従業員監視による漏洩 (2014-2019年)#

少なくとも2014年以降、ニュルンベルクにあるH&Mのサービスセンターのマネージャーは、数百人の従業員の私生活に関する詳細を体系的に収集していました。病気休暇や休暇後の「復職面談」を通じて、スーパーバイザーは健康状態の診断結果、家族の問題、宗教的信念、休日の経験などを記録していました。このデータは、約50人のマネージャーがアクセスできるネットワークドライブに保存され、雇用の決定に使用されていました。

この慣行は、設定エラーによりドライブが社内で一時的に閲覧可能になったことで、2019年10月に発覚しました。2020年10月、ハンブルクのデータ保護当局は3,530万ユーロの制裁金を科しました。これはドイツの当局が科したGDPR制裁金としては過去最大であり、雇用関連のプライバシーに関する制裁金としてもヨーロッパの歴史上最大規模の一つです。

防止策：

• 従業員データの収集を、厳密に必要なものと監査可能なものに制限する
• 従業員の記録を扱うすべてのマネージャーに、GDPR研修の受講を義務付ける

3.7 Scalable Capitalのデータ漏洩 (2020年)#

2020年10月、ミュンヘンを拠点とするオンラインブローカーであるScalable Capitalは、現在および過去の顧客約3万3,000人の個人情報および財務情報が流出した漏洩事件を開示しました。典型的な外部からのハッキングとは異なり、このインシデントは内部犯行でした。内部知識を持つ人物が、身分証明書のコピー、税金データ、銀行口座の詳細を保存している文書アーカイブにアクセスしました。盗まれたデータはダークウェブ上で見つかりました。

2021年12月、ミュンヘン地方裁判所はScalable Capitalに対し、影響を受けた顧客に2,500ユーロの非精神的損害賠償を支払うよう命じました。これは、この種の法的に拘束力のあるGDPRの賠償判決としてはヨーロッパで初めてのケースです。裁判所は、Scalable Capitalが取引関係終了後にアクセス認証情報を取り消していなかったと判断しました。

防止策：

• 厳格な入社・異動・退職（JML）のアクセス制御と即時の認証情報取り消しを実施する
• 保存されている身分証明書や財務記録を暗号化し、すべてのアクセスをログに記録する

3.8 デュッセルドルフ大学病院のランサムウェア攻撃 (2020年)#

2020年9月10日、デュッセルドルフ大学病院（UKD）はランサムウェア攻撃を受け、約30台のサーバーが暗号化され、救急医療の登録解除を余儀なくされました。攻撃者は、2020年1月からパッチが提供されていたCitrixの脆弱性CVE-2019-19781を悪用しました。このランサムウェアはDoppelPaymerファミリーと関連がありました。救急治療を必要としていた78歳の女性は30km離れた病院に回され、その遅延の後に死亡しました。

ドイツの検察当局は過失致死傷の捜査を開始し、サイバー攻撃が死亡に関連している可能性のある最初の事例の一つとして広く報じられました。身代金要求のメモは病院ではなくハインリヒ・ハイネ大学宛てになっており、攻撃者は標的を間違えたようでした。警察が人命の危険を知らせると、彼らは要求を撤回し、復号キーを提供しました。

防止策：

• インターネットに接続されたアプライアンス（VPN、ロードバランサー）へのパッチ適用は、数ヶ月ではなく数日以内に行う
• 臨床システムを企業のITから分離し、テスト済みのオフラインバックアップを維持する

3.9 Motel Oneのランサムウェア攻撃 (2023年)#

2023年9月、13カ国で90以上のホテルを運営するミュンヘンを拠点とするバジェットホテルチェーンMotel Oneが、ランサムウェアグループBlackCat/ALPHVからの攻撃を受けました。Motel Oneは、業務への影響は「相対的に最小限」に抑えられたと主張しました。BlackCatは、3年間の予約確認書を含む、合計約6TBの約2,450万ファイルを抽出したと主張しました。Motel Oneは、顧客の住所と150件のクレジットカード情報へのアクセスがあったことを確認しました。

Motel Oneは認定ITセキュリティ専門家を採用し、法執行機関およびデータ保護当局と協力し、影響を受けた150人のカード保持者に個人的に通知しました。この事例は、長期間保持されるPIIデータセットに対するホスピタリティ業界の脆弱性を浮き彫りにしました。

防止策：

• 予約と支払いデータの保持期間を、規制で定められた最小限に短縮する
• EDRとネットワークセグメンテーションを展開し、ラテラルムーブメントを早期に阻止する

3.10 Spectos経由のサムスンドイツの漏洩 (2025年)#

2025年3月、「GHNA」というハンドルネームを使用する脅威アクターが、人気のハッカーフォーラムで約27万件のサムスンドイツの顧客記録を公開しました。このデータはサムスンから直接ではなく、サムスンドイツのカスタマーサポートのチケット処理インフラを運営するドレスデンを拠点とするサービス品質測定パートナー、Spectos GmbHから流出したものでした。Hudson Rockの研究者は、この侵入が、2021年にSpectosの従業員から窃取されたインフォスティーラーによる認証情報に紐づくものと特定しました。これらの認証情報は有効なままであり、約4年後に再利用されていました。

漏洩した記録には、氏名、メールアドレス、配送先住所、注文番号、追跡の詳細、サポートチケットの完全な内容など、カスタマーサポートのコンテキスト全体が含まれていました。この組み合わせは、サムスンの顧客を標的とした高度にパーソナライズされたフィッシングキャンペーンにとって非常に価値のあるものです。この漏洩は現在、2025年にドイツで最も注目を集めているデータ漏洩のニュースであり、サプライチェーンのID衛生状態と古くなったベンダーの認証情報に対する規制当局の関心を改めて喚起しました。

防止策：

• 厳格なスケジュールに従ってベンダーの認証情報をローテーションして期限切れにし、すべてのベンダーアカウントでフィッシング耐性のあるMFAを強制する
• 組織やそのサプライチェーンに関連する、インフォスティーラー由来の認証情報を継続的にスキャンする

4. ドイツでのデータ漏洩の報告方法#

ドイツの管理者は、GDPR第33条に基づき、個人データの漏洩を認識してから72時間以内に、管轄の州データ保護当局に報告する必要があります。漏洩が影響を受ける個人の権利および自由に高いリスクをもたらす可能性が高い場合、GDPR第34条により、不当な遅滞なくその個人に通知することが義務付けられています。重要インフラの事業者はさらに、BSI法に基づきBSIに通知する必要があります。

4.1 GDPRの72時間ルール (第33条)#

GDPR第33条に基づき、管理者は個人データの漏洩を認識してから遅くとも72時間以内に、管轄の監督機関に通知しなければなりません。通知が遅れた場合は、管理者は遅延の理由を提示する必要があります。通知には、漏洩の性質、影響を受ける個人のカテゴリーおよび概数、考えられる結果、および講じられたか提案された対策を記載する必要があります。

4.2 管轄当局：16の州データ保護当局とBfDI#

中央集権的な管轄区域とは異なり、ドイツには16の州レベルのデータ保護当局（Landesdatenschutzbehörden）に加えて、連邦データ保護・情報自由コミッショナー（BfDI）が存在します。管理者の主要な事業所の所在地の州のデータ保護当局（例えば、H&Mドイツの場合はハンブルクのデータ保護当局、Scalable Capitalの場合はバイエルンのデータ保護当局）が管轄となります。連邦機関および通信会社はBfDIの管轄下に入ります。この連邦制モデルは、ドイツのデータ保護法の意図的な特徴です。

4.3 重要インフラ（KRITIS）に関するBSIへの報告#

重要インフラ（KRITIS）の事業者はさらに、BSI法第8b条に基づき、「重大な障害」を連邦情報セキュリティ庁 (BSI)に報告する必要があります。2025年にBSI法に置き換えられたNIS2指令により、デジタルサービスプロバイダー、製造業、廃棄物管理など、より多くのセクターへの報告義務が拡大されました。報告は段階的なタイムラインに従います：24時間以内の早期警告、72時間以内の完全な通知、そして1ヶ月以内の最終報告。

4.4 個人への通知 (第34条)#

漏洩が個人の権利および自由に高いリスクをもたらす可能性が高い場合、GDPR第34条により、影響を受ける人々に対して明確で平易な言葉で直接通知することが義務付けられています。Knuddels、Scalable Capital、Motel Oneの事例はいずれも第34条の義務を発生させました。通知を怠ることは、根本的な漏洩に対する規制上の制裁金に加えて、追加の制裁金が引き起こされる一般的な要因となります。

5. ドイツにおけるデータ漏洩の傾向#

10の事例すべてで共通して見られる4つのパターンがあります。民主的な機関に対する国家支援型の作戦、サードパーティおよびサプライチェーンの侵害、人命に関わる影響に及ぶランサムウェア、そして実際の財務上のリスクを生み出すGDPRの判例です。個々のインシデントを記憶するよりも、これらのパターンを理解する方が、より実行可能な対策につながります。

5.1 国家支援型攻撃は民主的な機関を標的にする#

ドイツは、政治機関に対する国家支援型の作戦の頻度の点で、ヨーロッパの中で際立っています。後にGRU 26165部隊によるものと特定された2015年の連邦議会ハッキング、そしてAPT28による政党への度重なる攻撃の試みは、ドイツの地政学的な役割が同国をサイバーエスピオナージ（サイバースパイ活動）の優先的な標的にしていることを示しています。2022年のロシアによるウクライナ侵攻以降、ドイツ当局はロシアの軍事情報機関による攻撃の特定事例を複数確認しています。

5.2 サードパーティベンダーは重要な弱点である#

Mastercard Priceless Specials、Scalable Capital、Motel One、そして2025年のサムスン/Spectosの漏洩事件は、同じ根本原因を共有しています。それは、主要ブランドではなくサードパーティでの侵害です。成熟した社内セキュリティプログラムを持つ企業であっても、ベンダーネットワークを通じたリスクには晒されたままです。特にサムスンドイツの事例は、何年も前に下請け業者から窃取された認証情報がいかにして本番システムを解き放つことができるかを示しています。

5.3 ランサムウェアは人命を脅かす懸念事項となっている#

2020年のデュッセルドルフ大学病院への攻撃は、重要インフラへのランサムウェアが単なるITや財務の問題ではなく、人命の安全に関わる問題であることを証明しました。ドイツの病院、公益事業、自治体の行政機関は繰り返し標的にされてきました。これらの攻撃は一般的に、パッチが適用されていないインターネットに接続されたアプライアンスを悪用します。これらは、攻撃で悪用される数ヶ月前から公に知られており、パッチが利用可能な状態であった脆弱性です。

5.4 GDPRの執行が説明責任を再構築している#

ドイツはGDPR執行の最前線に位置しています。3,530万ユーロというH&Mの制裁金、Knuddelsに対する史上初のGDPR制裁金、そしてScalable Capitalの画期的な非精神的損害賠償判決は、ヨーロッパ全土の組織がデータ保護にどのようにアプローチするかを総合的に形作っています。EU全体でのGDPR制裁金の総額ではアイルランドがリードしており（DLA Piperの2026年の調査による）、また欧州司法裁判所（CJEU）のÖsterreichische Postの判決により非精神的損害賠償の請求がEU全体の救済策であることが確認された一方で、ドイツは、高額な個別の制裁金、幹部を調査する検察側の意欲、そして成功した個人の損害賠償請求の事例の蓄積が組み合わさっている点で際立っています。

6. 結論#

ドイツで最大規模の10の漏洩事件は、一貫した事実を物語っています。それは、認証情報が共通項であるということです。2014年の大規模漏洩、連邦議会のスピアフィッシング、Knuddelsのプレーンテキストのパスワード、Scalable Capitalの内部犯行、Motel Oneのランサムウェア、そして2025年のサムスン/Spectosのインシデントはすべて、認証情報の侵害、認証情報の使い回し、または認証情報の取り扱いの不備に遡ります。最大3,530万ユーロのGDPR制裁金、490万ユーロという平均的な漏洩コスト、顧客ごとの損害賠償、および犯罪捜査により、ドイツはEUの中で最も厳しい執行環境となっています。

対策も同様に一貫しています。パスキーのようなフィッシング耐性のある認証、厳格な入社・異動・退職時のアクセス制御、積極的なベンダーの認証情報ローテーション、継続的なインフォスティーラーの監視、そして72時間以内の漏洩通知への準備です。2026年にこれらを経営層レベルの優先事項として扱う組織は、過去10年間のドイツの漏洩事件を特徴づけた規制上の罰則と風評被害の両方を回避することができるでしょう。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問 (FAQ)#

2025年のサムスンドイツのデータ漏洩とは何でしたか？#

2025年3月、約27万件のサムスンドイツのカスタマーサポートの記録がハッカーフォーラムで漏洩しました。このデータは、サムスンのサードパーティのサービスパートナーであるSpectos GmbHから流出したものです。記録には、氏名、メールアドレス、住所、注文の詳細、サポートチケットの内容が含まれていました。調査の結果、この漏洩は、2021年に収集されたインフォスティーラーによる認証情報が数年後にSpectosシステムへのアクセスに再利用されたことに紐づけられました。

ドイツではデータ漏洩をどのように報告しますか？#

GDPR第33条に基づき、ドイツの管理者は個人データの漏洩を認識してから72時間以内に、管轄の州データ保護当局に報告する必要があります。漏洩が重大なリスクをもたらす可能性が高い場合、第34条により、不当な遅滞なく影響を受ける個人に通知することが義務付けられています。重要インフラの事業者はさらに、BSI法に基づきBSIに通知する必要があります。

ドイツでこれまでに科された最大のGDPR制裁金はいくらですか？#

ハンブルクのデータ保護当局は2020年10月、ニュルンベルクのサービスセンターで数百人の従業員を組織的に監視していたとして、H&Mに3,530万ユーロの制裁金を科しました。これは依然として、ドイツの当局が科したGDPR制裁金としては過去最大であり、ヨーロッパで科された雇用関連のプライバシーに関する制裁金としても最大規模の一つです。

ドイツでのデータ漏洩のコストはいくらですか？#

IBMの「データ漏洩のコストに関するレポート 2024」によると、ドイツにおけるデータ漏洩の平均コストは490万ユーロ（約531万米ドル）でした。これにより、ドイツはデータ漏洩のインシデントにおいて世界で最もコストが高い国のトップ5に入り、世界平均の488万米ドルを上回っています。

ドイツでGDPRを施行しているのはどの機関ですか？#

ドイツは、16の州レベルのデータ保護当局（Landesdatenschutzbehörden）に加えて、連邦機関および通信会社については連邦データ保護・情報自由コミッショナー（BfDI）を通じてGDPRを施行しています。管轄当局は、ドイツにおける管理者の主要な事業所の所在地によって決定されます。