結論:侵入もマルウェアもなしに、媒体1つで過去最大級の漏えい候補になる。バックアップ媒体・物理保管・持ち出し統制は「ランサム対策の裏側」として今すぐ総点検すべきだ
九州電力送配電は2026年6月8日、顧客情報を保存したバックアップ用の外部記憶媒体が所在不明になったと公表した。媒体には 最大1,090万口分——九州全域の電気契約のほぼ全てに相当——の需要者名・住所・電話番号・使用電力量データ等が保存されていた。銀行口座・クレジットカード情報は含まれず、現時点で流出の事実は確認されていないが、持ち出しの可能性も含め調査が続いている。
時系列はこうだ。4月27日のバックアップ完了時には媒体の存在が確認されていたが、5月26日、定期バックアップの準備中に所在不明が発覚。約1か月の間に消失した。保管場所はサーバ室内のキャビネットで、施錠されていなかった。経済産業省は公表と同じ6月8日、電気事業法に基づく報告徴収を実施し、事実関係・経緯・原因・実効的な再発防止策の報告を求めた(期限7月8日)。
本質は「九電の特殊事情」ではない。EDRやランサムウェア対策にどれだけ投資しても、バックアップ媒体の保管庫に鍵がかかっていなければ、攻撃ゼロで最大級の漏えい候補が成立する——多くの企業が同じ穴を抱えている、という点にある。
押さえるべき1点:バックアップ媒体は「全データの複製が1か所に固まった資産」だ。それが無施錠の棚にある状態は、本番DBを廊下に置いているのと同じである。自社の媒体の保管場所・施錠・台帳を、今週中に現物で確認してほしい。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
事案の概要
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年6月8日(九州電力送配電) |
| 事象 | バックアップ用外部記憶媒体がサーバ室内のキャビネット(無施錠)から所在不明 |
| 対象情報 | 需要者名・供給場所住所・電話番号・使用電力量データ・小売電気事業者名 |
| 規模 | 最大1,090万口分(九州全域の電気契約のほぼ全てに相当) |
| 含まれない情報 | 銀行口座・クレジットカード情報 |
| 時系列 | 4月27日バックアップ完了時に存在確認 → 5月26日定期バックアップ準備中に所在不明発覚 |
| 流出確認 | 現時点で流出の事実は未確認。持ち出しの可能性も含め調査中 |
| 行政対応 | 経済産業省が電気事業法に基づき報告徴収(事実関係・原因・再発防止策、7月8日期限)。個人情報保護委員会等へ報告済み |
なぜ「物理の穴」は見落とされるのか
セキュリティ投資の議論は「ネットワーク越しの脅威」に集中しがちだ。その裏で物理・運用の統制が緩む構造的理由が3つある。
第一に、バックアップは“守りの最後の砦”として扱われ、それ自体が守られる対象だと意識されにくい。ランサムウェア対策でオフライン媒体を増やした企業ほど、皮肉にも「持ち運べる全データの複製」が増えている。3-2-1ルール(バックアップ3-2-1ルール実践ガイド参照)は優れた原則だが、分散した媒体それぞれの保管・施錠・台帳まで設計して初めて完結する。
第二に、サーバ室の「中」は安全だという思い込みだ。入退室管理のあるサーバ室でも、室内のキャビネットが無施錠なら、入室権限を持つ全員(社員・委託先・清掃・工事)に対して媒体は無防備になる。「部屋の鍵」と「棚の鍵」は別の統制である。
第三に、媒体は「消えたこと」に気づきにくい。サイバー攻撃はアラートが鳴るが、媒体の消失は次に使うときまで発覚しない。本事案でも発覚は約1か月後の定期作業時だった。台帳と現物突合がなければ消失時期の特定すら困難になり、調査・報告・本人対応のすべてが重くなる。
なお、改正個人情報保護法では悪質・大規模な違反への課徴金制度の導入が閣議決定されており(個人情報保護法改正と課徴金時代の体制づくり)、漏えい時に「適切に管理していたと説明できるか」の重みは制度面でも増していく。物理管理の不備は、その説明を最初から不可能にする。
バックアップ媒体管理の総点検チェックリスト(10項目)
自社・委託先の現場で、書面ではなく現物で確認してほしい。
-
台帳の存在:媒体(テープ・HDD・SSD・USB等)の一覧台帳があり、本数・内容・保管場所が記録されているか。
-
現物突合:台帳と現物を定期的(最低四半期ごと)に突合し、記録を残しているか。
-
施錠保管:媒体は施錠された保管庫にあるか。「サーバ室内だから」を施錠の代わりにしていないか。
-
鍵の管理:保管庫の鍵・暗証の保有者が限定され、記録されているか。
-
暗号化:媒体内のデータは暗号化され、紛失しても「読めない」状態か。
-
持ち出し手順:媒体の持ち出し・返却に承認と記録があるか。
-
入室と接触の分離:入室権限者全員(委託先・保守業者含む)が媒体に触れられる状態になっていないか。
-
退職・異動時の統制:アクセス権と鍵の回収が手順化されているか。
-
廃棄の証跡:廃棄時に消去・破壊の証明を取得しているか。
-
発覚時の初動:所在不明発覚時の報告先(社内・個人情報保護委員会・監督官庁)と手順が文書化されているか。
施錠は「なくさない」ため、暗号化は「なくしても漏れない」ための、独立した防御層である。どちらか一方では足りない。
ランサム対策と物理管理は「同じ予算枠」で考える
本事案の教訓はセキュリティ投資の配分の歪みだ。攻撃シナリオへの備えが進む一方、媒体の施錠や台帳整備といった地味な統制は後回しにされやすい。しかし被害規模で見れば、媒体1つの消失は大規模なサイバー攻撃に匹敵しうる。バックアップ製品の脆弱性が攻撃経路になる事例も続いており(Veeam Backup & ReplicationのRCE脆弱性)、「バックアップ」という領域自体が論理・物理の両面から狙われる資産になっている。
また、初動の巧拙が被害と信頼の毀損を左右する点はサイバー起因のインシデントと変わらない(コタ社ランサムウェア事案の初動対応の教訓)。物理起因の漏えい候補にも、検知(台帳突合)・報告・本人対応のフローをあらかじめ用意しておくべきだ。
よくある質問(FAQ)
Q. 流出が確認されていないなら、大ごとではないのでは? A. 所在不明の時点で「漏えいのおそれ」として扱われ、調査・行政報告・対象者対応が発生する。本事案でも報告徴収と個人情報保護委員会への報告に至っており、流出未確認でも対応コストと信頼への影響は大きい。
Q. 媒体を暗号化していれば施錠は不要か? A. 不要にはならない。暗号化は紛失時の被害を抑える層、施錠・台帳は紛失自体を防ぎ早期に検知する層であり、役割が異なる。暗号化の方式・鍵管理が不適切なら「暗号化済み」の主張自体が崩れる。両方を独立に整備すべきだ。
Q. クラウドバックアップに移行すれば物理リスクはなくなるか? A. 媒体の紛失リスクは減るが、アクセスキー管理・設定不備・退職者アカウントといった別の運用リスクに置き換わる。オフライン媒体を併用するなら本記事のチェックリストがそのまま適用される。「移行したから点検不要」にはならない。
いつGXOに相談すべきか
-
バックアップ媒体の台帳がない、または現物突合を最後にいつやったか分からない
-
保管庫の施錠・鍵管理・入室統制が書面どおり運用されている自信がない
-
媒体紛失のおそれが発覚した際の報告・対応フローが文書化されていない
GXOのセキュリティ診断は、ネットワークだけでなく媒体管理・物理保管・運用統制まで含めて棚卸しし、優先順位を付けて是正計画に落とし込む。点検を継続的に回したい場合はセキュリティ顧問(リテイナー)で伴走する。→ 媒体管理・物理セキュリティの相談はこちら
関連記事
参考資料
-
九州電力送配電「お客さま情報を保存した外部記憶媒体の所在不明について」(2026年6月8日) https://www.kyuden.co.jp/td/press/2026/260608.html
-
九州電力送配電「経済産業省からの報告徴収の受領について」(2026年6月8日) https://www.kyuden.co.jp/td/press/2026/260608b-1.html
-
経済産業省 ニュースリリース(2026年6月8日) https://www.meti.go.jp/press/2026/06/20260608001/20260608001.html
本記事は2026年6月11日時点の公開情報をもとに作成。本事案は調査継続中であり、最新情報は九州電力送配電および経済産業省の一次情報を確認すること。
攻撃されなくても漏れる|媒体管理・物理保管・運用統制の総点検
バックアップ媒体の台帳整備と現物突合、保管庫の施錠・鍵管理、暗号化と持ち出し統制、紛失発覚時の報告フローまで、ネットワーク対策の「裏側」を診断し是正計画に落とし込みます。
※ 営業電話はしません | オンライン対応可 | 総務 / 情シス同席歓迎