ブラジルのフードデリバリー大手iFoodは、2025年12月に発生したデータ漏洩について、2026年6月3日に公式声明で認めた。約120万人の利用者の氏名とCPF(個人納税者番号)が流出したが、同社は「リスクや損害はない」として、影響を受けた顧客への個別通知を見送った。この判断は、ブラジルの一般データ保護法(LGPD)に基づくもので、同社は規制当局の基準を満たしていると主張している。しかし、セキュリティ専門家の間では、CPF情報の流出がソーシャルエンジニアリング詐欺につながる可能性が指摘されている。
漏洩発生から公表までの経緯
今回のインシデントは、約6カ月前の2025年12月に発生した。iFoodは声明の中で、この事案は「隔離され、迅速に封じ込められた」と説明している。同社のセキュリティプロトコルが機能し、問題は顧客全体の約2%にとどまったという。漏洩した情報は氏名とCPFのみで、アカウントへのログイン資格情報やパスワード、支払い手段、財務記録、銀行口座情報は一切含まれていない。また、プラットフォーム上での取引が不正にアクセスされた証拠もないとしている。このため、同社は「重大なリスクは存在しない」と評価したのである。
LGPDに基づく非通知の判断
iFoodは、今回の漏洩について顧客への個別通知を行わなかった理由を、LGPDの規定に基づくと説明した。同法では、データ漏洩がデータ主体にリスクや損害をもたらさない場合、報告や通知の義務は免除される。同社は「事案は法律に厳密に従って評価され、処理された」と強調し、ブラジル国家データ保護庁(ANPD)が定める基準を満たしていると主張した。しかし、声明の中では、同庁への報告や他の当局への連絡の有無については明らかにされていない。
CPF流出がもたらす潜在的リスク
セキュリティ専門家の見解では、氏名とCPFの組み合わせは、ソーシャルエンジニアリング攻撃の格好の材料となる可能性がある。CPFはブラジルにおいて極めて重要な個人識別子であり、これを悪用すれば、なりすましや不正なサービス登録などが行われる恐れがある。iFoodは「財務的損害は確認されていない」としているが、情報そのものの感度の高さは否定できない。こうしたリスク認識の差が、今回の非通知判断をめぐる議論を呼んでいる。
企業のコミュニケーション方針
iFoodは、顧客に対して、これ以降に受け取る非公式なメッセージに注意するよう呼びかけている。同社は「いかなる正当な連絡も公式チャネルを通じてのみ行われる」と強調し、偽の警告やフィッシング詐欺に警戒するよう促した。しかし、120万人の影響を受けた利用者が個別に通知されないままであることに、懸念の声も上がっている。同社は今後、通知を行うかどうかについては明言していない。
業界全体に投げかけられた課題
今回の事例は、LGPDの下で企業がリスクをどのように評価し、顧客との透明性を確保するかという重要な問いを提起している。iFoodは法律の枠組み内で行動したと主張するが、CPFのような機微情報が流出した事実を「リスクなし」と判断した点には疑問が残る。専門家の間では、企業の自己評価だけに依存する制度の限界が指摘されている。今後の規制の運用や、ANPDのガイダンスがどのように進化するかが注目される。
すでに、この判断をめぐっては、消費者団体やセキュリティコミュニティの間で議論が始まっている。LGPDが想定する「リスク」の定義が、企業側と利用者側で乖離している可能性がある。iFoodは「損害が生じなかった」と強調するが、情報そのものが悪用される潜在的な危険性を軽視すべきではない。この事案は、デジタルプラットフォームにおけるデータ保護の実効性を再検討する契機となるかもしれない。