九州電力送配電株式会社は2026年7月8日、6月8日に公表していた顧客情報入り外部記憶媒体の所在不明事案について、経済産業省からの報告徴収に対する報告を行い、あわせて対象となる顧客情報の件数を精査した結果を公表しました。当サイトでも既報の外部記憶媒体紛失の第一報では最大1,090万口分とされていましたが、転出入や名義変更等を考慮した精査の結果、対象は最大1,354万件にまで拡大しています。同社は事実関係・発生原因・再発防止策を取りまとめて経済産業省へ提出しました。
サマリー
- 九州電力送配電は2026年7月8日、6月8日に公表していた外部記憶媒体(SSD)の所在不明事案について、経済産業省への報告徴収対応として事実関係・原因・再発防止策を取りまとめ提出した
- あわせて、同一住所における転出入や名義変更等を考慮してお客さま情報の件数を精査した結果、対象となる情報は個人1,003万件、法人等351万件の合計1,354万件(うち2026年6月時点で契約継続中は714万件)にのぼることが判明した
- 対象システムは、小売電気事業者へ電力使用量等の情報を提供する託送システム(最大1,216万件、2016年7月6日〜2024年1月31日分)と、小売電気事業者からの契約切替等の申込みを受け付けるスイッチング支援システム(最大79万件、2025年10月6日〜2026年4月26日分)の2つ
- 銀行口座・クレジットカード・メールアドレスの情報は含まれていないが、需要者名・供給場所住所・電話番号(一部)・小売電気事業者名・電力使用量等が対象
- 原因として、外部記憶媒体使用の必要性・妥当性確認の不備、物理的な保管の不備(キャビネット施錠なし)、データ保護措置の不備(暗号化・パスワード保護なし)、委託先への指示・管理の不足という4点が挙げられている
- 再発防止策として「使わない・持ち出させない・読み取れない」という外部記憶媒体使用の三原則を掲げ、社内規定の改正や情報セキュリティ教育の徹底を進める
- 対象の顧客への個別通知は2026年8月上旬以降、順次ダイレクトメールで実施される予定
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年7月8日(6月8日の初報から精査結果を公表) |
| 事案の内容 | データバックアップ用の外部記憶媒体(SSD)が保管場所から所在不明に |
| 発生時期 | 2026年4月27日の保管確認後、5月26日に所在不明が判明 |
| 対象情報件数(精査後) | 個人1,003万件、法人等351万件、合計1,354万件(契約継続中714万件) |
| 対象システム | 託送システム(最大1,216万件)、スイッチング支援システム(最大79万件) |
| 含まれない情報 | 銀行口座、クレジットカード、メールアドレス |
| 現時点の流出状況 | フリマサイトへの出品やインターネット上への流出は確認されず |
| 主な原因 | 必要性確認・物理的保管・データ保護・委託先管理、いずれも不備 |
| 個別通知開始時期 | 2026年8月上旬以降、順次発送 |
目次
何が起きたか-6月8日の初報から今回の精査結果まで
当サイトで既報の通り、九州電力送配電は2026年6月8日、一部システムのデータをバックアップするために使用していた外部記憶媒体(SSD)が保管場所から所在不明になったことを公表し、この時点では対象となる顧客情報は最大1,090万口分とされていました。同日、経済産業省は電気事業法に基づき、同社に対し事実関係・経緯・発生原因・実効的な再発防止策の報告を求める報告徴収を行っています。
今回7月8日の発表は、この報告徴収に対する正式な回答です。同社はあわせて、対象となるお客さま情報の件数について、対象期間中の引越しや名義変更等も考慮し、住所・氏名が同一となる重複データを削除するなどして精査を行いました。この結果、対象となる情報は当初発表の最大1,090万口分から、個人1,003万件・法人等351万件の合計1,354万件へと、より詳細かつ大きい数字へと更新されています。なお、法人等の件数には、同一法人の複数契約や、公衆街路灯・信号機のような機器に紐づいた契約(146万件)も含まれています。
詳細に判明した経緯-月次バックアップとSSDの紛失
同社の説明によれば、託送システムおよびスイッチング支援システムでは本来データ保存用サーバーへ定期的にバックアップを行っていましたが、同サーバーの容量が不足したため、一時的にSSDを用いたバックアップに切り替えていました。サーバー容量の増設は技術的な要因により2028年度ごろまで実施できないことが判明していたため、暫定的に2026年1月から2028年度までの期間、過去データをSSDへバックアップする運用を計画・決定していたとされています。
バックアップ作業は委託先に依頼し、2026年1月以降、月1回程度実施されていました。2026年4月27日の作業完了時にはSSDを所定の場所(サーバー室内のキャビネット)に保管しましたが、5月26日に次回作業の準備を行った際、SSDが見当たらないことが判明しています。
サーバー自体は身分証明書による本人確認、カード認証、生体認証、監視カメラなど多重のセキュリティ対策が施されたサーバー室内に設置されていましたが、SSDを保管していたキャビネットは施錠されておらず、SSD自体の暗号化やパスワード保護も行われていませんでした。同社はその後、関係者への聞き取りや入退室記録の確認、現地調査を実施しましたが発見には至らず、2026年6月4日に警察へ被害届を提出しています。同社グループのサイバーセキュリティ専門部署による継続的な監視の結果、本稿執筆時点でフリマサイトへの出品やインターネット上への情報流出は確認されていないとされています。
対象となる情報の内訳
対象となる2つのシステムのうち、託送システムは小売電気事業者へ電力使用量等の情報を提供するためのシステムで、需要者名・供給場所住所・電力使用量・小売事業者名・供給地点特定番号等が保存されており、対象期間は2016年7月6日から2024年1月31日、最大1,216万件(個人899万件、法人等317万件)にのぼります。このうち約150万件は、需要者が小売電気事業者を切り替えた際に需要者名の表記がカタカナから漢字へ変更となり、名寄せができなかったものが含まれています。
もう一つのスイッチング支援システムは、小売電気事業者からの契約切替等の申込みを受け付けるシステムで、需要者名・供給場所住所・電話番号・契約電力・申込日・供給地点特定番号等が保存されており、対象期間は2025年10月6日から2026年4月26日、最大79万件(個人53万件、法人等26万件)です。両システムに登録されているケースも59万件(個人51万件、法人等8万件)あり、これらを合算した合計が個人1,003万件・法人等351万件、総計1,354万件となっています。両システムとも銀行口座やクレジットカードの情報は保有しておらず、電話番号が含まれるのはスイッチング支援システム分と両システム重複分のみです。
原因-4つの管理上の不備
同社が示した発生原因は、外部記憶媒体の取扱いと委託先の監督が不十分だったことに集約されます。
具体的には、1つ目として外部記憶媒体の使用に関する必要性・妥当性の確認が不十分で、データ退避を技術的な対処としてのみ扱い、リスクに応じた統制や承認プロセスを経る発想に至らなかったこと、
2つ目として物理的な保管が不十分で、多重のセキュリティ対策が施された管理区域であることへの安心感から委託先へキャビネットの施錠を明示していなかったこと、
3つ目としてデータそのものへの保護措置が不十分で、サーバー室の安全性と媒体単体の安全性を混同し暗号化やパスワード保護といった媒体自体への対策が不足していたこと、
4つ目として委託先がシステムの開発・保守も担っていたことから同社を信頼し、外部記憶媒体の保管まで含めて明確な指示をしないまま任せていたことが挙げられています。
再発防止策-外部記憶媒体使用の三原則
同社は再発防止策の基本的な考え方として、外部記憶媒体使用の三原則「使わない・持ち出させない・読み取れない」を掲げています。「使わない」については、外部記憶媒体を原則使用せず、やむを得ず使用する場合は使用の必要性・妥当性や保管方法を含めて権限者の承認を必要とするルールを整備します。「持ち出させない」については、鍵付きの保管場所への施錠保管と鍵の受け渡しの厳正な管理、視認性の高いケースやタグの装着といった物理的対策を組み合わせます。「読み取れない」については、不正な持ち出しや紛失が生じた場合でも情報漏えいリスクを低減できるよう、原則としてパスワード保護や暗号化を施す方針です。これらとあわせて、委託先への指示を明確化する社内規定の改正、従業員・委託先への情報セキュリティ教育の毎年継続的な実施、そして社内規定の遵守状況や教育実施状況を毎年自主点検し経営層へ報告する体制の整備も進めるとしています。
対象となるお客さまへは、準備が整い次第(2026年8月上旬以降)、順次ダイレクトメールで個別に通知される予定です。件数が膨大なため複数回に分けて発送するとしており、住所不明等でダイレクトメールが届かない顧客に対してはホームページでの公表をもって通知に代えるとしています。専用のコールセンターも設置される予定です。
情報システム部門への示唆
今回の事案は、当サイトで以前紹介したみずほ銀行の再々委託先における記録媒体紛失事案とも共通する、委託先へのバックアップ作業依頼という一見ありふれた業務の中に潜んでいたリスクが顕在化した事例です。
特に印象的なのは、サーバー室自体には身分証明書確認・カード認証・生体認証・監視カメラという極めて手厚いセキュリティ対策が施されていたにもかかわらず、その内部にある一つのキャビネットの施錠という基本的な対策が漏れていた点です。
多重のセキュリティ対策を導入していることが、かえって個々の管理対象への注意を薄れさせてしまうという、いわば「安心感の死角」ともいえる構造は、他組織にとっても示唆に富む教訓です。
自組織で外部記憶媒体を業務に利用している場合、今回同社が示した三原則「使わない・持ち出させない・読み取れない」を参考に、まず外部記憶媒体の使用自体を極力避けられないか検討し、やむを得ず使用する場合は権限者の承認プロセスを設けることをお勧めします。委託先に媒体の管理を任せる場合は、保管場所や施錠の要否、暗号化の有無といった具体的な管理方法を仕様書や作業手順書に明記し、口頭の信頼関係だけに頼らない明確な指示を行うことが重要です。また、サーバー室のような物理セキュリティが整った環境であっても、その内部で扱う個々の媒体・機器に対する追加の管理策(施錠、暗号化)が必要かどうかを、環境全体のセキュリティレベルとは切り離して個別に評価する視点を持つことをお勧めします。








