九州電力、子会社で最大1,090万口の顧客情報入りメディアを紛失、管理体制に懸念

今回の紛失事案は、子会社である九州電力送配電のデータバックアップ運用の過程で発生した。同社ではデータ容量が急増しバックアップシステムの容量が逼迫したため、一時的に外部記憶媒体（メディア）を使ったバックアップを行っていたが、このメディアが所在不明となった。特筆すべきは、紛失現場となったサーバ室自体は多重のセキュリティ対策が施され、特定の関係者しか入退室できない仕組みであったものの、内部のメディア保管用キャビネットが施錠されていなかった点である。バックアップが完了した4月27日から、次回作業のために紛失が発覚した5月26日までの約1ヶ月間、誰でも触れられる状態にあった。関係者へのヒアリングや現地調査を進めているが、未だ発見に至っておらず、インサイダー（内部関係者）による無断持ち出しの可能性も排除できない深刻な状況である。

紛失した可能性のあるデータ件数は最大1,090万口に上り、電力業界の過去のインシデントや他業界の事例と比較しても、極めて大規模な水準である。これは日本の総世帯数（約5,400万世帯）の約2割に相当し、九州電力管内の実質的な全契約者データが含まれている可能性がある。銀行口座やクレジットカードなどの決済情報は含まれていないものの、需要者名や供給場所住所、さらには日々の生活実態を推測し得る使用電力量データが含まれており、仮に流出した場合のプライバシー侵害リスクは極めて高い。個人情報保護委員会や経済産業省など監督官庁への報告は完了しているが、地域インフラを担う公共企業としての社会的責任の追及は免れない。

この事案は、九州電力の経営およびガバナンス体制に冷や水を浴びせる。インフラ企業として最優先されるべき「安心・安全」への信頼が揺らいだことで、ESG（環境・社会・ガバナンス）重視の姿勢を取る国内外の機関投資家からの評価に短期的・中長期的に影響を及ぼす可能性がある。就職活動中の学生にとっても、先進的なデジタル化を進める同社のイメージと、実態としての物理セキュリティ管理体制の乖離はネガティブな要素となり得る。同社は今後、対象顧客への個別通知や管理方法の徹底的な再発防止策を講じるとしているが、信頼回復には相応のコストと時間を要する見通しだ。以下の通り、今回の紛失規模は他事例と比較して突出している。

今回のインシデントにおける影響範囲を可視化するため、以下にその規模感の比較を示す。他電力会社における過去の情報漏洩・紛失の多くは数万件から数十万件規模であり、今回の1,090万口は、国内の個人情報関連インシデントの中でも歴史的な規模に達している。決済情報が含まれていないとはいえ、個人特定が容易な住所や電話番号、消費電力というプライベートなライフラインデータがこれほど一括して紛失した前例は極めて稀である。今後の再発防止策においては、システムそのものの自動暗号化や、持ち出し検知システムの導入など、ハード・ソフト両面での抜本的な改革が求められる。