どんなニュース?
2026年1月初旬、サイバーセキュリティ研究者が驚くべき発見をした。中国の個人・企業に関連する87億件というモンスター級のレコードを含むデータベースが、インターネット上に丸ごと無保護で放置されていたのだ。国民IDから平文パスワードまで網羅するこのデータは、3週間以上にわたり誰でもアクセスできる状態だった。しかも単なる設定ミスではなく、複数のソースから長期間かけて意図的に集積された可能性が専門家によって指摘されている。人口14億人の中国に対して87億件——つまり一人当たり複数件のデータが蓄積された計算になる、前例のない規模の漏洩だ。
元記事・原文引用
元ネタ:Massive data leak exposes over eight billion Chinese to ID theft risk(Biometric Update / 2026年2月6日)
“the incident was more of an intentional data aggregation as the scale and structure of the leak suggest data was compiled from multiple sources over a period of time.”
なぜ今、話題になっているの?
このデータ漏洩が単なる「大きな事故」で終わらない理由は、その構造にある。
発見されたのは「bulletproof hosting」と呼ばれる、法執行機関からの削除要求に応じない無法地帯のインフラ上に置かれたElasticsearchクラスタだ。内部は163のインデックスに分類された87億レコードで構成されており、整然とした構造が「誰かが長期間かけて複数のソースからデータを集め続けた」ことを強く示唆している。
含まれるデータの深刻さも際立っている。国民身分証番号・氏名・性別・生年月日・住所・電話番号・メールアドレス・ソーシャルメディアのIDに加え、平文(ハッシュ化されていない)パスワードまで含まれていた。これは身元詐欺とアカウント乗っ取りを同時に可能にする最悪の組み合わせだ。
さらに注目すべきは、中国では2021年に「個人情報保護法(PIPL)」が施行され、欧米のGDPRに匹敵する厳格な個人情報管理が法律上は義務付けられているという事実だ。にもかかわらずこうした大規模なデータ集積・放置が起きているのは、法律と実態の深刻なギャップを示している。中国では2022年の上海国家警察データ漏洩(10億人規模)、2023年の各地方政府DBの相次ぐ露出など、大規模漏洩が繰り返されており、今回の事件は「たまたまの事故」ではなく構造的問題として位置づけるべきだ。
日本が学ぶべき教訓は?
「中国のデータ漏洩は他人事」——そう思いたいところだが、日本との接点は予想以上に深い。
① 中国進出日本企業のリスク:製造業・小売業・IT企業を含む数千社の日本企業が中国に法人を持ち、中国市民の個人情報を取り扱っている。PIBLのもとで現地収集したデータが、今回のような意図不明の第三者に集積されている可能性は排除できない。中国拠点でのデータ管理体制の再点検が急務だ。
② 在中日本人の被害リスク:中国に在住・滞在経験のある日本人は年間数十万人規模に及ぶ。中国国内のサービス(WeChat、Alipay、各種ECサイト)利用時に登録した情報がこうしたデータベースに混入している可能性があり、パスワードの使い回しをしている場合は日本のアカウントへの不正アクセスに直結するリスクがある。
③ 日本国内への教訓:Elasticsearchをはじめとするクラウドデータベースの「うっかり公開」は日本でも繰り返し発生している問題だ。重要なのは規模の問題ではなく、「誰がどのデータをいつ収集・保管しているか」という管理の透明性にある。今回の中国の事例は、国家の個人情報保護法が存在しても「実施・監査・罰則執行」の三要素が揃わなければ機能しないことを突きつけている。
まとめ
87億件のメガリークが示すのは「中国のセキュリティ意識の低さ」という単純な話ではない。個人情報を大量収集・集積するインフラが法の目をかいくぐって存在し、それが野ざらしになる構造的リスクだ。法律があっても監査がなければ形骸化する——この教訓は中国に限らず、デジタル化が急加速するあらゆる国・企業に突きつけられた問いでもある。中国とビジネスで関わる日本企業や個人にとっては、今すぐ自社データ管理と個人のパスワード見直しを行う直接的な動機になるはずだ。
