プレスリリース配信最大手の「PR TIMES」が2025年5月7日夜に公表したサイバー攻撃による被害は、約90万件にのぼる登録ユーザー情報の漏えいにとどまらず、1982件の発表前・未公開リリース情報が外部に流出したという点において、同社のビジネスモデルの根幹を揺るがす事態といえる。同社は2021年にも、未公開リリースへの第三者による不正アクセスを許していた。
| 2025年5月8日 PR TIMESが90万件の個人情報と未公開リリース流出―GW前の事象を5月7日夜に同サイトで発表 |
PR TIMES(サービス名同一)はプレスリリース配信サービスにおける国内トップシェアの企業。同社のセールス資料において、「国内上場企業61.5%が利用している」と説明しており、多くの企業が経営や事業に関わる重要情報をまとめたプレスリリースの配信手段として活用している。
同社の山口拓己社長自身、公式サイトのトップメッセージにおいて、「利用企業社数は 2024年2月末時点で94,258社(前年同期比18.2%増)に達し、国内上場企業のうち57.8%の企業にご利用いただいている」と、上場企業への浸透度をアピールしてきた。
PR TIMESの主張通りであれば、ユーザーの未公開リリース情報が流出したことは、上場企業の株価に直接的な影響を与えかねない情報が外部に流れた可能性も考えられる。
2021年にも未公開リリースへの不正アクセス問題
さらに問題視されるのは、PR TIMESによる「未公開リリースの漏えい」が今回初めてではないという点だ。同社では2021年5月~7月にも、企業13社14アカウントに関わる発表前のプレスリリース230件(同年9月さらに情報修正)が、第三者に不正アクセスされる事案が発生していた。
なお、今回の一連の報道では、大手メディアによる2021年の漏えい事案への言及は確認されていない。ある全国紙の記者は、PR TIMESが上場企業であり、他の上場企業のリリースを多数扱っていても、「企業自体や業界の知名度が一般生活者の間で低いため、報道ネタとしての優先順位が低くなる」と語る。
実際、同程度の不祥事であっても、有名企業の場合は知名度というレバレッジが作用し、経営責任の追及や株価下落、さらには企業存続に関わる問題へと発展することがある。
一方で、知名度の低い業界に属する企業の場合、たとえ業界内のリーダー企業であっても、大手メディアで大きく取り上がられることなく、問題が表面化しきらないまま沈静化してゆく。
こうした背景を踏まえ、特に上場企業においては、報道の有無に関わらず、企業のリーダーが経営体制を律し、透明性をもって説明責任を果たすことが求められる。
当時、 PR TIMES山口拓己社長および取締役経営管理本部長の三島映拓氏は連名で、次のようなプレスリリースを通じて、再発防止を約束していた。
発表前情報への不正アクセスに関するお詫びとご報告(2021年7月9日)
<再発防止へのコミットメン>
『発表前の重要情報をお預かりするプラットフォーム運営企業として、発表前の段階で情報流出にあたる事故を起こしたことを厳粛に受け止めており、心よりお詫び申し上げます。セキュリティー強化により再発防止を図り、発表前情報の管理を改めて徹底すると共に信頼回復に誠心誠意努めてまいります。今後もどうか「PR TIMES」を引き続きご愛顧いただけますよう何卒よろしくお願い申し上げます。』
当時のプレスリリース、PR TIMESプラットフォーム上に痕跡なし
なお、2021年7月9日付で公表された「発表前情報への不正アクセスに関するお詫びとご報告」は、現時点、PR TIMESのプラットフォーム上では直接閲覧できない状態にある。
同内容は、同年9月22日付で発表された「調査結果報告」の文中にリンクとして確認可能だが、PR TIMESの自社アカウント内には7月9日付の公表情報が掲載されておらず、事案発覚から対応までのプロセスを時系列で確認できない。
なお、よい旅ニュース通信編集部の調査では、7月9日付のリリースは、東証記者クラブで配布された資料であると確認している。
通常、PR TIMESは自社の発表を提供プラットフォーム内で積極的に公開してきた経緯があり、2021年のケースではその一貫性に揺らぎが見られた。
なお、2021年7月9日前後、PR TIMESは自社の株価に好影響を及ぼす可能性のあるポジティブな発表を行っていた。PRを専門とする企業である同社が、こうしたネガティブな情報をPR TIMESプラットフォームから外す判断を行った可能性について疑念も生じる。
しかし一方で、PR会社は情報の発信において透明性を重視すべき立場にあり、それはPR TIMESも加盟する日本パブリックリレーションズ協会の「倫理綱領」では次のように明確に示されている。
『自らのパブリックリレーションズ活動においては、公正、誠実に諸活動を行い、国内外のステークホルダーに事実を正確に、適宜・適切に開示し、透明性を高める。』
この理念を踏まえると、PR TIMES上で不正アクセスを公表するプレスリリースが掲載されていない状況は公正性という点で疑問を残す。
多数の企業の広報活動を支える存在であるPR TIMESが、広報・PRの専門性に立脚した企業なのか、あるいは情報配信機能を提供するITベンダーなのか、一連の対応は、同社のユーザーや株主などのステークホルダーにとって、その実像を理解する手がかりになる。
再び情報流出
そして、2025年に再び、2021年を大きく上回る規模の情報を流出させたことにより、当時策定された再発防止策が有効ではなかったことが露呈した。
今回の問題に際し、PR TIMESは、ゴールデンウィーク前の4月24日~25日に問題が発生していたにもかかわらず、事態の公表を12日後にあたる連休明けの5月7日、しかも19時という企業の不祥事案件としては異例の時間帯に発表された。
同日22時30分過ぎに登録ユーザーに対し、初めて事情説明とパスワード変更を要請するメールを送った。さらにメディア登録者への連絡は翌8日(木)19時40分過ぎになるなど、情報流出の対象者への対応の遅れと不透明さを露呈した。
日頃、企業の未発表の情報を管理するという業務の性質上、情報漏えいは許されない問題であり、PR TIMESは2021年の事案に続いて再び第三者による未公開情報へのアクセスを許し、その後の情報開示や危機管理対応でも後手に回った。
同社にとって、今後、情報漏えい問題が再発することになれば、知名度に関わらず、プレスリリース配信業に携わる企業としての存在価値そのものが揺らぎかねない。情報管理が命となるビジネスを展開する企業として、情報管理体制と危機対応の質の見直しが求められる。
PR TIMESは今回の情報漏えいに関する発表において、被害の具体的内容、同社の対応経緯、個人情報保護委員会および警察への報告、再発防止策、そして業績への影響が軽微であることを公表した。
発表の中で同社は、「不正行為については断固たる措置をとる」と強い姿勢を示した一方で、上場企業の不祥事対応において不可欠な「責任の所在」については、言及されなかった。
現社長18年の長期体制
同社の代表取締役を務める山口拓己氏は、2007年にPR TIMESのサービス立ち上げとともに、親会社でベンチャー系PR会社ベクトルから転籍し、以降18年間にわたり社長を務めている。
今回の問題については、大手メディアなどの報道では経営責任を問う論調はみられない。なお、PR TIMESは2025年5月27日、定時株主総会を予定している。
