九州電力送配電、1090万口分の顧客情報を保存した媒体が行方不明に：1カ月間紛失に気付かず

九州電力送配電は1090万口分の顧客情報を保存したバックアップ用外部記憶媒体が所在不明になったと発表した。媒体は施錠されていないキャビネットで保管されていたという。厳重な入退室管理が実施されるサーバ室内で、なぜ媒体は消えたのか。

[田渕聖人，＠IT]

　九州電力送配電は2026年6月8日、顧客情報を保存したバックアップ用の外部記憶媒体（SSD）が所在不明になったと発表した。

　SSDには需要者名（契約者の氏名や名称）や供給場所住所、使用電力量データ、電話番号、小売電気事業者名などが保存されており、最大1090万口分の情報が漏えいする恐れがあるという。銀行口座情報やクレジットカード情報は含まれておらず、現時点で情報流出の事実は確認されていない。

　九州電力送配電は九州電力の100％子会社で、九州7県（福岡や佐賀、長崎、大分、熊本、宮崎、鹿児島）において、発電所から各家庭や企業に電気を送る「送配電ネットワーク」を管理・運営している。

なぜ約1カ月もの間、誰も気付かなかったのか

　同社によると、対象システムではサーバのデータ容量を確保するため定期的にバックアップを取得していたが、バックアップシステムの容量が逼迫（ひっぱく）したことから、一時的にSSDを利用したバックアップ運用を実施していたという。

　九州電力送配電によると、問題のSSDは、多重のセキュリティ対策が施されたサーバ室内のキャビネットで保管していたが、キャビネットは施錠されていなかったという。同社は2026年4月27日のバックアップ作業完了時に媒体の保管を確認していた。その後、同年5月26日に定期バックアップ作業の準備を進めた際、保管場所から媒体がなくなっていることが判明した。

　発覚後、2026年4月27日〜5月26日にサーバ室に入退室した関係者への聞き取りや現地調査を実施したが、記事執筆時点で媒体は発見されていない。サーバ室への入退室は特定の関係者に限定され、記録も管理されているが、同社は無断持ち出しの可能性も含めて調査を続けている。

　九州電力送配電は、個人情報保護委員会および監督官庁に報告済みとしており、媒体の捜索を継続するとともに、対象顧客への個別通知や再発防止策の検討を進めるとしている。

〜記者の目：ニュースをちょっと深掘り〜

クラウドや専用ストレージを活用したバックアップ運用が一般化する一方で、容量不足やシステム移行を理由に外部記憶媒体を利用するケースは依然として存在する。こうした一時的な例外運用は、通常運用と比べて管理ルールが緩みやすく、新たなリスクを生むこともある。今回のインシデントはまさにそのケースだ。

気になるのは「媒体がなくなったこと」そのものよりも「なくなっていることに約1カ月間気付かなかった」点だろう。サーバ室への入退室管理はされていたが、媒体の所在確認は次回のバックアップ作業まで実施されていなかったことになる。

バックアップシステムの容量不足を背景にSSDによる運用が実施されていたことから、問題は単なる紛失ではなく、例外運用を含めたデータ管理プロセス全体に及ぶ可能性がある。1090万口分という規模もさることながら、重要インフラ事業者における物理媒体管理の在り方を改めて問いかける事案となりそうだ。（田渕聖人）