九州急行バス株式会社は2026年7月6日、同社従業員が顧客の個人情報を不正に使用する事案が発生したと公表しました。同社の運転士が、運行営業所内でバスの予約情報を運行管理者を通じて不正に閲覧・取得し、当該の顧客へ私的な内容のショートメールを送信していたというものです。外部からのサイバー攻撃ではなく、従業員自身が業務上のアクセス経路を悪用して顧客に直接接触した、内部不正の一種にあたる事案です。
サマリー
- 九州急行バスの運転士が、運行営業所内でバスの予約情報を運行管理者を通じて不正に閲覧・取得し、当該顧客へ私的な内容のショートメールを送信していたことが判明した
- 発覚は2026年6月24日、当該の顧客からの申し出によるもの
- 原因として、個人情報の取り扱いに関する教育の不行き届き、個人情報データの管理における監督体制の不備、当該従業員(運転士および管理者)の個人情報の取り扱いに対する重大性の認識欠如が挙げられている
- 同社は顧客からの申し出を受けて社内調査を実施し、事実関係を確認したうえで当該顧客へ概況報告と謝罪を行った
- 再発防止策として、事案の情報共有と再発防止策の周知徹底、個人情報取扱いの基本方針の再教育、顧客窓口における個人情報管理の監督徹底、従業員の執務状況に対する定期的な監視監督、個人情報を取り扱う執務エリアへの部外者立入禁止の徹底を掲げている
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年7月6日 |
| 公表元 | 九州急行バス株式会社 |
| 事案の内容 | 運転士が運行管理者を通じ予約情報を不正閲覧・取得し、顧客へ私的なSMSを送信 |
| 発生場所 | 運行営業所内 |
| 発覚のきっかけ | 2026年6月24日、当該顧客からの申し出 |
| 関与した従業員 | 運転士および運行管理者 |
| 原因 | 教育の不行き届き、管理監督体制の不備、従業員の重大性認識の欠如 |
| 同社の対応 | 社内調査の実施、事実関係の確認、当該顧客への概況報告・謝罪 |
| 問い合わせ先 | 九州急行バス営業本部 092-411-2242 |
何が起きたか
九州急行バスの公表によると、同社の運転士が、運行営業所内でバスの予約情報を運行管理者を通じて不正に閲覧・取得し、その情報をもとに当該の顧客へ私的な内容のショートメール(SMS)を送信していたことが判明しました。予約情報という業務目的で管理されているはずのデータが、運転士本人ではなく運行管理者を経由する形で不正に閲覧・取得された点は、単独の従業員による衝動的な行為というよりも、複数の従業員が関与する形で個人情報の取り扱いに対する意識が組織的に緩んでいた可能性を示唆しています。
この事案が発覚したのは2026年6月24日(水)、当該の顧客から会社への申し出があったことがきっかけでした。顧客自身が身に覚えのない私的な内容のメッセージを受け取ったことに気づき、会社へ連絡したことで初めて発覚したことになります。同社は申し出を受けて社内調査を実施し、事実関係を確認したうえで、当該顧客へ概況報告と謝罪を行っています。
原因
同社が示した原因は3点です。1つ目は個人情報の取り扱いに関する教育が行き届いていなかったこと、2つ目は個人情報データの管理における監督体制に不備があったこと、3つ目は当該従業員(運転士および管理者双方)が個人情報の取り扱いに対する重大性を十分に認識していなかったことです。運転士だけでなく運行管理者も原因の対象として明記されている点から、この事案が単に1人の従業員の逸脱行為にとどまらず、予約情報へのアクセス経路そのものが、業務上の必要性を超えて容易に利用できる状態にあったことがうかがえます。
再発防止策
九州急行バスは再発防止策として5点を掲げています。1つ目は本事案の情報共有と再発防止策の周知徹底、2つ目は個人情報の取り扱いに関する基本方針の再教育、3つ目は個人情報を取り扱うすべての顧客窓口における個人情報管理の監督徹底、4つ目は個人情報を取り扱う従業員の執務状況に対する定期的な監視監督、5つ目は個人情報を取り扱う執務エリアへの、当該情報を取り扱う従業員以外の立入禁止の徹底です。特に5つ目の立入禁止の徹底は、今回の事案で運転士が運行管理者を介して予約情報にアクセスできてしまったという経緯を踏まえた、直接的な対策だと考えられます。
情報システム部門への示唆
今回の事案は、外部からのサイバー攻撃ではなく、正規の業務アクセス権を持つ従業員が、その権限を私的な目的で悪用したという点で、当サイトで以前紹介したKaizen Tech Agentにおける元従業員による社内情報の不正取得・持ち出しの事案とも共通する、内部不正(インサイダー脅威)の一形態です。今回特徴的なのは、情報の外部への持ち出しや金銭的な利益を目的としたものではなく、顧客への直接的な私的接触という、プライバシー侵害の性質が強い形で表面化した点です。顧客の予約情報から連絡先を知り得る立場にある従業員が、その情報を業務目的以外で利用し、顧客に直接コンタクトを取るという行為は、情報漏えいという枠を超えて、顧客の安全・安心そのものを脅かしかねない重大な問題です。
顧客対応窓口や予約管理システムなど、多数の従業員が日常的に顧客の連絡先情報にアクセスできる業務環境を持つ企業にとって、今回の事案は他人事ではありません。誰がいつどの顧客情報を閲覧したかを記録するアクセスログの整備に加え、業務上の必要性を超えた閲覧が行われていないかを定期的に監査する体制を構築することをお勧めします。また、顧客情報を取り扱う業務エリアへのアクセスを、業務上必要な担当者に限定するという物理的な対策も、今回同社が挙げた再発防止策の通り有効です。加えて、顧客から「不審な私的連絡を受けた」という申し出があった場合に、単なる個別クレームとして処理せず、社内の情報管理体制そのものに問題がないかを速やかに調査へつなげる仕組みを整えておくことも重要です。今回の事案が発覚したきっかけも、まさに顧客自身からの申し出でした。







