プレスリリース配信大手のPR TIMES(東証PRM)は、2025年5月7日夜、ゴールデンウィーク前の4月24日~25日に、同社サービスサイトにおいて、第三者によるサーバーへのサイバー攻撃が行われたことを発表。合計90万1603件にのぼる個人情報と、未発表のプレスリリース1682件分が外部漏洩した可能性がある。
漏洩した個人情報には、企業ユーザー22万7023件、メディアユーザー2万8274件、個人ユーザー31万3920件、同社スタッフ767件が含まれる。
PR TIMESの山口拓己社長は、公式サイトで「国内上場企業のうち57.8%の企業にご利用いただいる」と述べており、現在の資料では上場企業利用率61.5%を掲げている。
こうした状況を踏まえると、今回漏洩した未発表リリースの中には、株価に影響を及ぼす可能性のある内容が含まれていた可能性も否定できず、当該企業にとっては重大な情報管理上のリスクとなる。
本件の情報開示については、当初のサーバー攻撃がゴールデンウィーク前の4月24日~25日に発生し、さらに後日の調査により4月8日~9日にも不正アクセスの痕跡が確認されたことが判明している。
PR TIMESは影響範囲の特定と原因の調査を進めた上で、公表を5月7日19時、連休明け当日の夜、自社のプレスリリース配信サイトで行った。
こうしたプロセスから、PR TIMESはサイバー攻撃をゴールデンウィーク前に検知していたにもかわらず、その発表による上場企業としての自社への影響を考慮し、まず影響の範囲特定に注力したとも考えられる。
その結果、攻撃の検知から12日後となる5月7日夜の公表となり、情報公開に求められるスピードや透明性を欠く結果になったとも捉えられる。
また、通常プレスリリースは平日の日中から遅くとも16時頃までの発表が慣例とされる中で、今回の公表はGW明けの5月7日19時という、報道番組のピーク時間帯を外したかのような遅い時間に設定された。
これにより、情報漏洩の事実を把握できないまま、5月7日~8日にかけてプレスリリースを配信したユーザーは少なくないと見られる。
PR TIMESは、企業・団体にプレスリリースの配信プラットフォーム提供と、PRの専門会社として、情報発信の在り方そのものを支援する立場にある。
今回、サーバー攻撃を検知し、それに続く一連の対応をめぐっては、同社の広報・危機対応における基本的な能力と、社会的責任に対する姿勢が問われる結果となった。
