佐川急便「スマートクラブ」、システム不具合で約7万人の個人情報漏洩の恐れ-サイバー攻撃ではないと明言

セキュリティニュース

投稿日時: 更新日時:

佐川急便「スマートクラブ」、システム不具合で約7万人の個人情報漏洩の恐れ-サイバー攻撃ではないと明言

佐川急便株式会社は2026年7月19日、同社が提供する会員制Webサービス「スマートクラブ」において、配達予定通知メールの一部で本来とは異なる顧客の氏名・メールアドレス・お問い合せ送り状番号が表示される事象が発生したと公表しました。原因はシステムの不具合であり、第三者による不正アクセスやサイバー攻撃によるものではないことを確認しているとしています。

サマリー

  • 佐川急便は2026年7月19日、会員制Webサービス「スマートクラブ」の配達予定通知メールの一部において、本来とは異なる顧客の情報が表示される事象が発生したと公表した
  • 発生確認日時は2026年7月15日夕方頃。対象情報は氏名・メールアドレス・お問い合せ送り状番号で、住所・クレジットカード情報は含まれていない
  • 調査の結果、本事象はシステム不具合に起因するものであり、第三者による不正アクセスやサイバー攻撃によるものではないことを確認している
  • 影響が及んだ可能性があるのは約7万人の顧客
  • 原因は、システムの不具合に対する復旧作業を実施した際、配達予定通知メールの設定に誤りが生じたこと
  • 同社は事象確認後、速やかに復旧対応を実施しており、現在は正常にサービスを利用できる状態になっている。発生原因を踏まえた対策も実施済み
  • 影響を受けた可能性のある顧客へは、お詫びおよび本事象に関する案内をメールで送付済み
項目 内容
公表日 2026年7月19日
対象サービス スマートクラブ(佐川急便の会員制Webサービス)
発生確認日時 2026年7月15日夕方頃
発生事象 配達予定通知メールの一部で別の顧客の情報が表示
対象情報 氏名、メールアドレス、お問い合せ送り状番号
対象外の情報 住所、クレジットカード情報
対象人数 約7万人
原因 システム不具合の復旧作業時に配達予定通知メールの設定に誤りが発生
不正アクセス・サイバー攻撃の有無 確認されていない(システム不具合と断定)
現在の状況 復旧対応完了、原因を踏まえた対策実施済み
問い合わせ先 佐川急便CSインフォメーションセンター(0120-28-3449、9時〜17時、土日祝含む)

何が起きたか

佐川急便の公表によれば、同社が提供する会員制Webサービス「スマートクラブ」において、配達予定通知メールの一部で、本来とは異なる顧客の氏名、メールアドレス、お問い合せ送り状番号が表示される事象が発生しました。発生が確認されたのは2026年7月15日夕方頃です。対象となった情報は氏名・メールアドレス・お問い合せ送り状番号で、住所やクレジットカード情報は含まれていません。

同社は調査の結果、本事象がシステムの不具合に起因するものであり、第三者による不正アクセスやサイバー攻撃によるものではないことを確認したとしています。具体的な原因は、システムの不具合に対する復旧作業を実施した際、配達予定通知メールの設定に誤りが生じたことだと説明されています。つまり、ある不具合を修正しようとした作業そのものが、別の設定ミスを引き起こし、結果として異なる顧客の個人情報が配達通知メールに混入するという事態につながったことになります。この事象により、影響が及んだ可能性がある顧客は約7万人にのぼります。

対応状況

佐川急便は本事象の確認後、速やかに復旧対応を実施しており、現在は正常にサービスを利用できる状態になっているとしています。発生原因を踏まえた対策もすでに実施済みです。影響を受けた可能性のある顧客に対しては、お詫びおよび本事象に関する案内をメールで送付しています。同社は、本事象の発生原因を踏まえた対策および再発防止の徹底に努めるとしています。

サイバー攻撃ではなくシステム不具合による情報漏えい

当サイトで以前紹介したToyota GAZOO Racingが抽選結果メールで他人の個人情報を誤送信した事案や、サイバーエージェント運営のドットマネーでシステム不具合により最大18,936件に他人の情報が表示・操作可能な状態になっていた事案のように、外部からの攻撃ではなく、自社システムの設定不備・不具合によって個人情報が意図しない相手に表示・送信されてしまうという事案は、不正アクセスによる情報漏えいとは異なる形で、繰り返し発生しています。今回の佐川急便の事案も、この系統に位置づけられるものです。

こうした事案に共通するのは、原因が悪意ある第三者の攻撃ではなく、自社のシステム開発・運用プロセスにおける設定ミスやテスト不足にある点です。特に今回のケースでは、既存の不具合に対する復旧作業そのものが新たな設定ミスを引き起こしたとされており、緊急対応時の変更管理プロセスの重要性を示す事例だといえます。

情報システム部門への示唆

今回の事案が示す教訓は、システム障害への復旧作業自体が、新たなインシデントの発生源になりうるという点です。緊急の復旧作業では、通常の開発・リリースプロセスで求められるレビューやテストの工程が省略・簡略化されがちですが、それが今回のような設定ミスにつながるリスクを高めます。自組織で緊急の復旧作業を行う際には、可能な限り変更内容を最小限にとどめ、複数人によるダブルチェックを経てから本番環境へ適用する運用を、緊急時であっても徹底することが重要です。

出典