九州電力送配電、最大1,090万口分の顧客の個人情報入り外部記憶媒体を紛失-需要者名・住所・使用電力量データなど保存|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月09日更新日時: 2026年06月09日

九州電力送配電株式会社は2026年6月8日、一部システムのデータをバックアップするために使用していた外部記憶媒体が、保管場所から所在不明になったと公表しました。

外部記憶媒体には、需要者名、供給場所住所、使用電力量データ、電話番号、小売電気事業者名などのお客さま情報が保存されており、社外に漏えいしたおそれがあります。保存されていたお客さま情報は最大1,090万口分です。銀行口座やクレジットカード情報は含まれていないとされています。

同社は、現時点でお客さま情報が流出した事実は確認されていないと説明しています。一方、経済産業省は同日、九州電力送配電に対し、電気事業法に基づき、本事案の事実関係、経緯、発生原因、実効的な再発防止策を報告するよう求めました。

この記事のサマリー

九州電力送配電で、お客さま情報を保存した外部記憶媒体が所在不明になりました。
保存されていた情報は、最大1,090万口分です。
含まれる情報は、需要者名、供給場所住所、使用電力量データ、電話番号、小売電気事業者名などです。
銀行口座やクレジットカード情報は含まれていません。
現時点で、お客さま情報の流出の事実は確認されていません。
外部記憶媒体はサーバ室内のキャビネットで保管されていましたが、キャビネットは施錠されていませんでした。
4月27日に保管を確認し、5月26日のバックアップ準備時に所在不明が判明しました。
九州電力送配電は、個人情報保護委員会および監督官庁へ報告済みです。
経済産業省は、電気事業法に基づく報告徴収を実施しました。
同社は所在確認を継続し、対象のお客さまに個別に知らせるとしています。

1 何が起きたか
2 経緯
3 所在不明の外部記憶媒体に保存されていた情報
4 九州電力送配電の対応
5 利用者が注意すべきこと
6 企業・自治体が確認すべきバックアップ媒体管理
7 情報システム部門が確認すべきポイント
8 問い合わせ窓口
9 参考情報・出典

何が起きたか

九州電力送配電の一部システムでは、サーバのデータ容量を確保するため、定期的にバックアップを実施していました。対象システムでは、バックアップシステムの容量が逼迫したため、一時的に外部記憶媒体を使ったバックアップを行っていたと説明されています。

外部記憶媒体は、同社サーバ室内のキャビネットに保管されていました。サーバ室自体は多重のセキュリティ対策がなされ、入退室も特定の関係者に限定されていたとされています。一方で、外部記憶媒体を保管していたキャビネットは施錠されていませんでした。

2026年5月26日、定期バックアップ作業の準備をしようとしたところ、保管場所に外部記憶媒体がないことが判明しました。その後、4月27日から5月26日までにサーバ室へ入退室した関係者へのヒアリングや現地調査を実施したものの、発見には至っていません。

経緯

日付	内容
2026年4月27日	バックアップ作業完了時に、外部記憶媒体の保管を確認
2026年5月26日	定期バックアップ準備時に、保管場所に外部記憶媒体がないことが判明
2026年5月26日以降	サーバ室への入退室関係者へのヒアリング、現地調査を実施
2026年6月8日	九州電力送配電が事案を公表
2026年6月8日	経済産業省が電気事業法に基づく報告徴収を実施

九州電力送配電は、無断持ち出しの可能性も含めて調査しているものの、現時点では発見に至っていないと説明しています。

所在不明の外部記憶媒体に保存されていた情報

外部記憶媒体に保存されていたお客さま情報は、最大1,090万口分です。九州電力送配電が公表している保存情報は以下です。

区分	内容
契約・需要者情報	需要者名
供給場所情報	供給場所住所
使用状況	使用電力量データ
連絡先	電話番号
契約関連	小売電気事業者名
その他	上記に関連するお客さま情報

銀行口座やクレジットカード情報は含まれていません。

一方で、需要者名、供給場所住所、電話番号、小売電気事業者名、使用電力量データが組み合わさると、電力契約者や供給地点、契約先、生活実態の一部を推測される可能性があります。金銭情報が含まれていないとしても、個人情報としての影響は大きい事案です。

九州電力送配電の対応

九州電力送配電は、個人情報保護委員会および監督官庁へ報告済みです。今後、外部記憶媒体の所在確認を継続するとともに、対象のお客さまに個別に知らせるとしています。

また、外部記憶媒体の管理について、再発防止策を検討・実施すると説明しています。

同日には、経済産業省から本件に関する報告徴収を受領したことも公表しました。報告徴収では、事案の事実関係、経緯、発生原因、実効的な再発防止策の報告が求められています。

利用者が注意すべきこと

九州電力送配電は、対象のお客さまへ個別にお知らせを行うとしています。対象者は、今後届く案内を確認し、不審な電話、SMS、メール、訪問に注意する必要があります。

特に、以下のような連絡には注意してください。

注意すべき連絡	内容
電気料金の確認を装う電話	氏名や住所を知っている相手でも、追加情報を伝えない
契約切替を急がせる勧誘	小売電気事業者名を知っているように装う可能性
支払い情報の確認	銀行口座やクレジットカード情報の入力を求める連絡に注意
SMSのURL	電気料金、検針、契約確認を装う偽サイト誘導
訪問営業	電力会社や委託先を名乗る訪問者の身分確認
個人情報確認	電話で契約情報や本人確認情報を聞き出す連絡

今回の所在不明媒体には銀行口座やクレジットカード情報は含まれていないとされています。そのため、これらの情報を確認すると称する連絡があった場合は、不審な連絡として扱うべきです。

企業・自治体が確認すべきバックアップ媒体管理

今回の事案は、外部記憶媒体を使ったバックアップ運用のリスクを示しています。

バックアップは重要な業務ですが、サーバ室内で実施していたとしても、外部記憶媒体を使用する場合は、保管、暗号化、持ち出し管理、棚卸し、アクセス権限、廃棄まで含めた統制が必要です。

確認項目	必要な対策
媒体の暗号化	外部記憶媒体は原則として暗号化し、紛失時に内容を読めない状態にする
施錠保管	サーバ室内であっても、媒体は施錠キャビネットや金庫で保管する
持ち出し記録	いつ、誰が、どの媒体を利用したか記録する
棚卸し	定期的に媒体の所在を確認し、結果を記録する
入退室ログ	サーバ室入退室記録と媒体利用記録を突合する
権限分離	バックアップ作業者と媒体管理者を分ける
容量逼迫対策	一時的な媒体利用に依存しないバックアップ設計にする
廃棄管理	不要媒体はデータ消去、物理破壊、廃棄証明を残す

特に、今回のようにバックアップシステムの容量逼迫を理由に一時的な外部記憶媒体運用へ切り替える場合、通常運用よりも管理が甘くなりやすいため、例外運用の承認と終了条件を明確にする必要があります。

情報システム部門が確認すべきポイント

バックアップの例外運用を棚卸しする

外部記憶媒体によるバックアップは、障害時や容量逼迫時の一時対応として使われることがあります。しかし、一時対応が長期化すると、媒体の保管や棚卸しが通常管理から漏れる可能性があります。

確認すべき項目は以下です。

項目	確認内容
例外運用	一時的にUSB HDD、SSD、テープ等を使っていないか
承認	例外運用が正式に承認されているか
期間	いつ終了する運用なのか明確か
管理台帳	媒体番号、保管場所、利用者、利用日時を記録しているか
暗号化	媒体単位またはファイル単位で暗号化されているか
保管	施錠管理され、入退室ログと紐づけられるか