九州電力株式会社は2026年6月、サーバーバックアップ用に使用した外付けストレージデバイスを紛失したと発表した。そのデバイスには顧客名・住所・電力使用量など1,090万件を超える顧客情報が格納されており、九州7県(福岡・佐賀・長崎・熊本・大分・宮崎・鹿児島)の総人口約1,260万人のうち実に86%に相当する規模の情報流出リスクが生じている。
何が起きたか
九州電力のIT担当者は、サーバーストレージの容量不足への対処として、2026年4月27日に外付けストレージデバイスへのバックアップ作業を実施した。バックアップ完了後、デバイスは複数の物理的なセキュリティ層で保護されているとされたサーバー室内のキャビネットに保管された。
ところが5月26日、担当者が回収しようとしたところ、キャビネットの鍵が開いた状態になっており、デバイス自体が消えていた。
紛失したデバイスに含まれていたデータは以下のとおり:
- 顧客氏名
- サービス提供住所(電力供給先の住所)
- 電力使用量データ
- 電話番号
- 小売電気事業者名
- その他関連情報
同社は銀行口座情報やクレジットカードデータは格納されていなかったと明言している。
事後対応と現状
紛失発覚後、九州電力はサーバー室に入室歴のある全関係者(57名)への聞き取り調査を実施。しかし現時点でデバイスは発見されていない。6月4日には不正持ち出しを疑い警察へ届け出ており、個人情報保護委員会および経済産業省にも報告済みだ。
経済産業省は九州電力に対し、2026年7月8日までに事件の詳細と再発防止策の報告を求めている。同社は引き続き被害を受けた顧客に個別通知を行う予定としている。
実務への影響——日本のエンタープライズが今すぐ確認すべきこと
この事案が示す最大の教訓は「物理セキュリティはデジタルセキュリティと同じ重みで管理せよ」という点だ。いくらファイアウォールやEDRを強化しても、生データが入ったデバイスが物理的に持ち出せる環境では意味がない。
IT管理者が今日から見直すべき具体的なポイントを挙げる:
1. 外付けストレージは必ず暗号化する デバイスが紛失・盗難にあっても、暗号化されていれば情報の悪用リスクは大幅に下がる。BitLockerやVeraCryptなど、OSレベルの暗号化を標準化する。
2. 媒体管理台帳の徹底 USBメモリ・外付けHDDなどの可搬媒体は、貸出・返却を記録する台帳管理を義務づける。「誰がいつ持ち出し、いつ返却したか」の証跡がなければ、紛失時の原因特定ができない。
3. 物理アクセス制御の見直し サーバー室への入室履歴をICカード等で記録し、アクセス権限を最小化する。57名がアクセス可能という状況は、ゼロトラストの観点から見てもリスクが高すぎる。人数ではなく「誰が本当に必要か」を問い直す時期だ。
4. バックアップ設計の再考 「容量が足りないから外付けHDDを使った」という経緯自体が、バックアップ設計の問題を示している。クラウドストレージやNLEによるバックアップ自動化で、可搬媒体への依存を減らすべきだ。
筆者の見解
セキュリティは正直なところ得意分野ではないのだが、この事案には技術的に気になる点がいくつもある。
最も気になるのは「複数の物理的セキュリティ層で保護されていた」にもかかわらず鍵が開いていたという事実だ。これは運用ルールが形骸化していた可能性が高い。鍵の管理手順、施錠確認フロー、そのどこかに「やってるつもり」のギャップがあったのではないか。
日本の大手エンタープライズに多いのが、ゼロトラストへの移行を進める一方で、旧来の「社内に入ればOK」的な物理セキュリティ感覚が残っているケースだ。ネットワーク層では最新の認証を導入しているのに、物理アクセスの管理はアナログのまま、という「悪魔合体」状態になっている現場を筆者もいくつか見てきた。
Just-In-Timeアクセスの考え方はデジタルの世界だけの話ではない。物理的なサーバー室へのアクセスも、必要なときに必要な人だけが入れる仕組みにしなければ、どれだけ論理セキュリティを磨いても意味がない。
今回の九州電力の対応は、発覚後に警察への届け出・監督官庁への報告・個別顧客通知という手順を踏んでおり、開示姿勢は評価できる。問題が起きたときに隠蔽するより、正面から向き合う姿勢は正しい。あとは再発防止策の中身が問われる。7月8日の経産省への報告がどういう内容になるか、注目したい。
この事案を他人事にせず、自社の可搬媒体管理・物理アクセス制御を今週中に棚卸しするのが、IT担当者として取れる最善の行動だ。
出典: この記事は Japanese energy firm loses drive with data of 10.9 million clients の内容をもとに、筆者の見解を加えて独自に執筆したものです。