チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「九電送配電のSSD紛失、1090万件って九州ほぼ全員でしゅよね?」
「うちの個人情報も入ってるかもしれないんでしゅか?」
チップスSSDがサーバー室から無くなったって、ニュースで見て怖くなったでしゅ……。
ボスふふふ、暗号化なしで持ち出された可能性が濃厚だ。インフラ系では国内最大規模のインシデントになりかねん。
本記事では九州電力送配電の最大1090万件流出事案の経緯を整理し、暗号化していない記録媒体を抱える企業が今日中にやるべき対策を解説します。
5分後には、自社の記録媒体運用が同じ轍を踏まないための具体的な点検ポイントが揃います。
オススメ案件
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずは事件の事実関係と被害の広がりを整理します。
九州電力送配電は2026年6月8日、九州ほぼ全域の電力契約者の個人情報を保存したSSDを社内サーバー室から紛失したと発表しました。
対象は2016年7月から2026年4月までに同社と契約があった個人・法人の最大1090万件にのぼります。
含まれていた情報は氏名・住所・電話番号などの基本情報で、口座番号やクレジットカード情報は含まれていません。
SSDは5月26日のバックアップ準備作業の際に保管場所で確認できず、社内捜索でも見つからないまま事案として表面化しました。
今回判明している事実は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 件数 | 最大1090万件(個人・法人含む) |
| 対象期間 | 2016年7月〜2026年4月の契約データ |
| 含まれる情報 | 氏名・住所・電話番号など |
| 発覚日 | 2026年5月26日(バックアップ準備時) |
| 暗号化 | 未実施(パスワードもなし) |
チップス九州の電気使ってる人ほぼ全員じゃないでしゅか!?
ボスそうだ。インフラ事業者で1000万件級は前例が少ない。社外への漏洩は未確認だが、無断持ち出しの線で警察が動いている段階だな。
本事案で問われるのは、現代の運用にそぐわない記録媒体の扱いです。
個人情報保護委員会は、ガイドラインで電子媒体を持ち運ぶ場合には暗号化等の措置を講じるよう求めています。
仮にSSDが電子政府推奨暗号で暗号化され、復号鍵が分離保管されていれば、漏洩したとしても「高度な暗号化により秘匿性が高い」と評価され、報告義務の対象外となる場合があります。
今回はパスワード設定すらされておらず、第三者が拾えばそのまま読める状態でした。
1090万件分のデータが裸で保管され、サーバー室への入退室管理だけが防壁という構造そのものが、現代の運用基準とは大きく乖離していたといえます。
同様の運用を続けないためのチェックポイントは以下のとおりです。
チップスうちの会社も古いHDDを倉庫に置きっぱなしでしゅ……まずいでしゅか?
ボスまずいな。中身を把握できていない媒体は、すでに「漏洩予備軍」だ。棚卸と暗号化を最優先で進めてほしい。
九州電力送配電のSSD紛失事案は、1090万件という規模もさることながら、暗号化されていない記録媒体を抱え続けることのリスクをはっきり示しました。
クラウドや認証の脆弱性ばかりが注目されがちですが、物理媒体の管理は今でも事故の温床です。
媒体棚卸・暗号化・保存期間見直しの3点を今日から動かすことで、同じ過ちを防ぐ余地は十分あります。
セキュリティ実務を強化したい方は、ぜひフリーランス案件で経験を広げてみてください。
参考: 朝日新聞「九州電力送配電 最大1090万件の電力契約情報漏洩の恐れ」 / 個人情報保護委員会「個人データの漏えい等の事案が発生した場合等の対応について Q&A」
オススメ案件
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
