高い金利と誠実な対応で有名なPBRレンディングの公式サイトにて、ご存知の方も多いかもしれませんが、9月19日に「顧客情報流出に関するお詫びとご報告」というお知らせが更新されました。
この件について、直接取材をさせていただきました。その際に聞いた内容を共有いたします。
見ていただくと分かりますが、PBRレンディングからはリアルタイムで情報共有が行われており、客観的に状況が分かるようになっていました。
- 3行要約
・原因は「委託先企業による物理的持ち出し」であり、ハッキングではない
・資産流出はない、補償は完了済であることが公開
・セキュリティ・コンプライアンスを強化した再発防止策も共有
顧客情報漏洩の経緯
発覚日:2025年9月19日
漏洩件数:784件
漏洩した情報:顧客氏名、住所、生年月日(可能性)
漏洩していない情報:暗号資産の数量・残高、取引履歴、ウォレット情報、KYC資料
原因:外部委託業者:株式会社ゼロアンリミテッドの代表が、PORTOBELLO ROAD株式会社(以降PBR社)の顧客情報を持ち出した。
上記「原因」にも記載の通り、ハッキング等技術的なトラブルではなく、PRを委託していた株式会社ゼロアンリミテッドにより、物理的に顧客情報が持ち出されたことが原因とのことでした。持ち出し先は合同会社リンクスゲートという、同じレンディングサービスを扱う企業だったとのことです。
なお、資産の流出はなく、11月11日現在では被害対象者への補償は全件完了しているとのこと。
2025年9月17日
事件発覚のきっかけとして、PBR社に自社の顧客から「他レンディング企業から勧誘郵便が届いた」という報告がありました。不審に感じたPBR社はこの時点でアクセスログをすべて解析、委託先を含めて外部からの全アクセス権を一時的に遮断する対応をしています。
2025年9月18日
この時点ではまだ顧客情報が漏洩したと確定したわけではありませんでしたが、メールで顧客に漏洩の可能性を報告。同時に、同様の勧誘郵便が届いていないか確認を取っています。
また、ハッキングの可能性も考慮してネットワーク・サーバー・投資運用先もすべて確認を行っており、顧客資産に不審な増減がないかどうか確認しています。結果的に資産漏洩は1件もなかったと後に報告があります。
2025年9月19日
そして翌日、CEO奈良﨑氏から『【PBRレンディングから重要なお知らせ】顧客情報流出に関するお詫びとご報告』のお知らせがHPに公開されます。
ここで、合同会社リンクスゲートが運営するレンディングサービス「Linx Lending」に顧客情報が漏洩したことを謝罪しました。
2025年9月22日
ここで原因が報告されます。
PBR社がコンサルティング業務を委託していたゼロアンリミテッド社が、顧客情報を持ち出して合同会社リンクスゲートに持ち出されていたことが明らかになりました。即座にゼロアンリミテッド社との契約を解除し、今後の方針を公表。
【PBRレンディングから重要なお知らせ】顧客情報流出に関するお詫びとご報告(2)
なお、この時点で以下の方針を報告。
・KYC認証業務・販促業務を自社内でのみ行う
・社内でもアクセス権を持つ人間を限定する
・社員教育の再徹底
・PC、コールドウォレット、パスワードの入れ替え
2025年9月26日
公式サイト内のお知らせにて、10月から公開となっていたVIP相談・運用レポートを延期し、事態の究明を優先することとしています。
ゼロアンリミテッド社、リンクスゲート社を相手取って刑事告訴及び民事訴訟の準備を進めていることを報告。同時に、ゼロアンリミテッド社から提供を受けたPCを解析して、持ち出された顧客情報の確認を進めているとのことです。
2025年10月8日
リンクスゲート社の弁護士より、
流出件数:784件
登録者:7名
返還者:1名貸出(返還済)
流出データは削除済、⼆次流出なしの報告があったことを報告。
2025年10月22日
リンクスゲート社に顧客情報が漏洩したとされる顧客に対し、10月15日付で1万円分の暗号資産または商品券を配布したことを報告。
2025年10月31日
株式会社ゼロアンリミテッド、合同会社リンクスゲート両社に対して、不正競争防止法違反の嫌疑で刑事告訴したことを報告。同時に、以下のセキュリティ強化策が共有されました。
①サーバ及びネットワークについて不正アクセスログの点検をすみやかに行い、ゼロであったことを確認しました。
②全端末について、即座にパスワードと認証情報を再設定しました。
③従業員による不正対策として、ノートパソコン等の端末の監視ソフト(ファイル移動やUSB接続、位置情報等をリアルタイムに記録・制限)の導入を進めております。
④専門業者からの助言をもとに各端末のウィルス対策ソフトを刷新しました。
⑤専門業者からの指導をもとに、人為的な不正を防ぐために社内のセキュリティポリシーの見直し、改定を進めております。
⑥顧客情報にアクセスできる従業員を業務上最小限となる5名に限定するとともに、相互に監視し、ダブルチェックする体制を徹底しております。
⑦令和7年11月末日を目途に、弊社の顧客情報にアクセスし得る外部委託先との契約をすべて解除し、業務を全面的に内製化する体制にいたします。
⑧月次で情報アクセスの履歴をチェックするほか、定期的に外部の情報セキュリティ専門業者による監査、改善指導を受けます。
⑨情報セキュリティ等の専門業者である株式会社CISOと令和7年10月22日付けでコンサルティング契約書を締結させていただきました。今後、弊社のセキュリティ体制の診断を進めていただくとともに、新たに必要な対策や改善案の検討を行い、すみやかにセキュリティ体制の強化を進めてまいります。
⑩本件の発生から本件への対応、上記改善計画等につきましては、既に個人情報保護委員会にご報告申し上げております。
PBRレンディング『顧客情報漏洩等の再発防止に向けた取組みについて』
ここまでが一連の流れとなります。
9月17日に勧誘郵便が届いてから1か月半程度経過し、刑事告訴にまで発展しています。
このように情報共有がリアルタイムに行われており、誠意ある対応だと私は思いました。事件の概要、対策までが示されており、Xを見ても同様の意見が多く感じています。
PBRレンディングの再発防止策
上記の顧客情報漏洩事件を通して、PBR社は技術・運用・人の再強化を行う旨を報告。
技術的要件
・情報セキュリティ専⾨業者に委託し、ベストな環境を再構築
・社内ネットワークをゼロトラスト構成へ再設計し管理
・全端末に監視ソフト導⼊(操作・ログ・位置を⾃動記録)
・アクセス権の厳格化とファイル操作の制限
既に全端末パスワード変更、社内セキュリティポリシー変更、ネットワーク点検、端末監視ソフト導入、ウイルス対策ソフト刷新、情報セキュリティ企業2社と提携まで完了しているとのことです。
運用方法
・個⼈情報の取扱⼿順を業務プロセス単位で再定義
・外部委託は全契約⾒直し・社内内製化率100%へ
・情報の権限管理台帳を新設し、毎⽉監査
・権限最小化ポリシーを制定し、顧客情報を見られる社員を10名から5名へ変更
人的要件
・情報セキュリティ教育を全社員必修化(外部専⾨業者主導で計画中)
・秘密保持契約+⾏動倫理を全スタッフと改めて共有・徹底を指⽰
・相互監視体制(複数⼈承認・⼆重チェックルール)を常設
・社内ルールブックを外部専⾨業者監修で作成し、社内教育を徹底
・「セキュリティ⽉間」創設(毎⽉第1週⽬を検討中)
→常時点検に加えて、⽉⼀回のセキュリティ全点検
その後のロードマップまで共有されており、着々と個人情報意識が高まっていることは客観的に感じる部分です。また、説明会資料にも「この記事を読まれた⽅に、事実を正確に伝えたい⼀⼼です。」と記載があり、PBR社が今回の事件に対して、真摯に向き合っていることが伝われば幸いです。
個⼈情報流出に関する件のQ&A
今後の進展はどこで共有されますか?
公式サイト「お知らせ」より、日時入りで進捗は公開されます。
今回の件により金利が下がることはありますか?
「ありません、頑張ります」とのお話でした。
今回の情報漏洩の件と、運用投資先には無関係のため、現在の通常10%・プレミアム12%の金利は維持できるとのことでした。
ゼロアンリミテッド社との関係は?
PBR社CEO奈良﨑さんの昔からのビジネスパートナーであり、創業期からの付き合いだったとのことです。それだけに油断していたと反省されていた様子が印象的でした。
まとめ
ここまでの事実関係を見てきた限り、ゼロアンリミテッド社・リンクスゲート社による不正競争防止法違反により、PORTOBELLO ROAD株式会社は被害者です。
それは法的にも事実だと思いますが、一方で他の企業が顧客情報を持ち出せる脆弱な状態であったこともまた事実です。そのため、現在は多くの漏洩防止策を検討し、迅速に実行に移しています。
漏洩事件が発覚したタイミングで、リアルタイムに情報共有をしていることもメディアとして存じていました。できる限り、顧客の不安を取り除くように行動していたように感じます。
今回の事件はハッキングではないにしろ、人的な持ち出しだけでなく技術的なトラブルにも巻き込まれない強固なシステムを作って、今後も高い金利を維持してほしいと思います。
Mediverseでも今後もPBRレンディングを推していく姿勢に変わりはありません。レンディングサービスを検討している方は公式サイトをご覧ください。
