結論:侵入もマルウェアもなしに、媒体1つで過去最大級の漏えい候補になる。バックアップ媒体
九州電力送配電は2026年6月8日、顧客情報を保存したバックアップ用の外部記憶媒体が所在不明になったと公表した。媒体には 最大1,090万口分——九州全域の電気契約のほぼ全てに相当——の需要者名・住所・電話番号・使用電力量データ等が保存されていた。銀行口座・クレジットカード情報は含まれず、現時点で流出の事実は確認されていないが、持ち出しの可能性も含め調査が続いている。
時系列はこうだ。4月27日のバックアップ完了時には媒体の存在が確認されていたが、5月26日、定期バックアップの準備中に所在不明が発覚。約1か月の間に消失した。保管場所はサーバ室内のキャビネットで、施錠されていなかった。経済産業省は公表と同じ6月8日、電気事業法に基づく報告徴収を実施し、事実関係・経緯・原因・実効的な再発防止策の報告を求めた(期限7月8日)。
本質は「九電の特殊事情」ではない。EDRやランサムウェア対策にどれだけ投資しても、バックアップ媒体の保管庫に鍵がかかっていなければ、攻撃ゼロで最大級の漏えい候補が成立する——多くの企業が同じ穴を抱えている、という点にある。
押さえるべき1点:バックアップ媒体は「全データの複製が1か所に固まった資産」だ。それが無施錠の棚にある状態は、本番DBを廊下に置いているのと同じである。自社の媒体の保管場所・施錠・台帳を、今週中に現物で確認してほしい。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
事案の概要
横にスクロールして確認できます
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年6月8日(九州電力送配電) |
| 事象 | バックアップ用外部記憶媒体がサーバ室内のキャビネット(無施錠)から所在不明 |
| 対象情報 | 需要者名・供給場所住所・電話番号・使用電力量データ・小売電気事業者名 |
| 規模 | 最大1,090万口分(九州全域の電気契約のほぼ全てに相当) |
| 含まれない情報 | 銀行口座・クレジットカード情報 |
| 時系列 | 4月27日バックアップ完了時に存在確認 → 5月26日定期バックアップ準備中に所在不明発覚 |
| 流出確認 | 現時点で流出の事実は未確認。持ち出しの可能性も含め調査中 |
| 行政対応 | 経済産業省が電気事業法に基づき報告徴収(事実関係・原因・再発防止策、7月8日期限)。個人情報保護委員会等へ報告済み |
なぜ「物理の穴」は見落とされるのか
セキュリティ投資の議論は「ネットワーク越しの脅威」に集中しがちだ。その裏で物理・運用の統制が緩む構造的理由が3つある。
第一に、バックアップは“守りの最後の砦”として扱われ、それ自体が守られる対象だと意識されにくい。ランサムウェア対策でオフライン媒体を増やした企業ほど、皮肉にも「持ち運べる全データの複製」が増えている。3-2-1ルール(バックアップ3-2-1ルール実践ガイド参照)は優れた原則だが、分散した媒体それぞれの保管・施錠・台帳まで設計して初めて完結する。
第二に、サーバ室の「中」は安全だという思い込みだ。入退室管理のあるサーバ室でも、室内のキャビネットが無施錠なら、入室権限を持つ全員(社員・委託先・清掃・工事)に対して媒体は無防備になる。「部屋の鍵」と「棚の鍵」は別の統制である。
第三に、媒体は「消えたこと」に気づきにくい。サイバー攻撃はアラートが鳴るが、媒体の消失は次に使うときまで発覚しない。本事案でも発覚は約1か月後の定期作業時だった。台帳と現物突合がなければ消失時期の特定すら困難になり、調査・報告・本人対応のすべてが重くなる。
なお、改正個人情報保護法では悪質・大規模な違反への課徴金制度の導入が閣議決定されており(個人情報保護法改正と課徴金時代の体制づくり)、漏えい時に「適切に管理していたと説明できるか」の重みは制度面でも増していく。物理管理の不備は、その説明を最初から不可能にする。
バックアップ媒体管理の総点検チェックリスト(10項目)
自社・委託先の現場で、書面ではなく現物で確認してほしい。
-
台帳の存在:媒体(テープ・HDD・SSD・USB等)の一覧台帳があり、本数・内容・保管場所が記録されているか。
-
現物突合:台帳と現物を定期的(最低四半期ごと)に突合し、記録を残しているか。
-
施錠保管:媒体は施錠された保管庫にあるか。「サーバ室内だから」を施錠の代わりにしていないか。
-
鍵の管理:保管庫の鍵・暗証の保有者が限定され、記録されているか。
-
暗号化:媒体内のデータは暗号化され、紛失しても「読めない」状態か。
-
持ち出し手順:媒体の持ち出し・返却に承認と記録があるか。
-
入室と接触の分離:入室権限者全員(委託先・保守業者含む)が媒体に触れられる状態になっていないか。
-
退職・異動時の統制:アクセス権と鍵の回収が手順化されているか。
-
廃棄の証跡:廃棄時に消去・破壊の証明を取得しているか。
-
発覚時の初動:所在不明発覚時の報告先(社内・個人情報保護委員会・監督官庁)と手順が文書化されているか。
施錠は「なくさない」ため、暗号化は「なくしても漏れない」ための、独立した防御層である。どちらか一方では足りない。
ランサム対策と物理管理は「同じ予算枠」で考える
本事案の教訓はセキュリティ投資の配分の歪みだ。攻撃シナリオへの備えが進む一方、媒体の施錠や台帳整備といった地味な統制は後回しにされやすい。しかし被害規模で見れば、媒体1つの消失は大規模なサイバー攻撃に匹敵しうる。バックアップ製品の脆弱性が攻撃経路になる事例も続いており(Veeam Backup & ReplicationのRCE脆弱性)、「バックアップ」という領域自体が論理・物理の両面から狙われる資産になっている。
また、初動の巧拙が被害と信頼の毀損を左右する点はサイバー起因のインシデントと変わらない(コタ社ランサムウェア事案の初動対応の教訓)。物理起因の漏えい候補にも、検知(台帳突合)・報告・本人対応のフローをあらかじめ用意しておくべきだ。
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。
実務判断のポイント
この記事を読むべきなのは、経営者、CIO、情シス、セキュリティ担当、開発責任者です。単に情報を把握するだけでなく、脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応の相談に進めるべきかを判断するための材料として整理する必要があります。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。サイバー攻撃ゼロでも最大1,090万口|九電送配電の記憶媒体所在不明が突きつける「物理の穴」とバックアップ媒体管理に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの実務補足
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、診断、監査、保守契約、月次レポート、緊急対応支援へ接続。さらに、チェックリスト型診断を入口に、継続監視・改善支援へ展開。
相談につながる進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問(FAQ)
Q. 流出が確認されていないなら、大ごとではないのでは? A. 所在不明の時点で「漏えいのおそれ」として扱われ、調査・行政報告・対象者対応が発生する。本事案でも報告徴収と個人情報保護委員会への報告に至っており、流出未確認でも対応コストと信頼への影響は大きい。
Q. 媒体を暗号化していれば施錠は不要か? A. 不要にはならない。暗号化は紛失時の被害を抑える層、施錠・台帳は紛失自体を防ぎ早期に検知する層であり、役割が異なる。暗号化の方式・鍵管理が不適切なら「暗号化済み」の主張自体が崩れる。両方を独立に整備すべきだ。
Q. クラウドバックアップに移行すれば物理リスクはなくなるか? A. 媒体の紛失リスクは減るが、アクセスキー管理・設定不備・退職者アカウントといった別の運用リスクに置き換わる。オフライン媒体を併用するなら本記事のチェックリストがそのまま適用される。「移行したから点検不要」にはならない。
いつGXOに相談すべきか
-
バックアップ媒体の台帳がない、または現物突合を最後にいつやったか分からない
-
保管庫の施錠・鍵管理・入室統制が書面どおり運用されている自信がない
-
媒体紛失のおそれが発覚した際の報告・対応フローが文書化されていない
GXOのセキュリティ診断は、ネットワークだけでなく媒体管理・物理保管・運用統制まで含めて棚卸しし、優先順位を付けて是正計画に落とし込む。点検を継続的に回したい場合はセキュリティ顧問(リテイナー)で伴走する。→ 媒体管理・物理セキュリティの相談はこちら
関連記事
参考資料
-
九州電力送配電「お客さま情報を保存した外部記憶媒体の所在不明について」(2026年6月8日) https://www.kyuden.co.jp/td/press/2026/260608.html
-
九州電力送配電「経済産業省からの報告徴収の受領について」(2026年6月8日) https://www.kyuden.co.jp/td/press/2026/260608b-1.html
-
経済産業省 ニュースリリース(2026年6月8日) https://www.meti.go.jp/press/2026/06/20260608001/20260608001.html
本記事は2026年6月11日時点の公開情報をもとに作成。本事案は調査継続中であり、最新情報は九州電力送配電および経済産業省の一次情報を確認すること。
攻撃されなくても漏れる|媒体管理・物理保管・運用統制の総点検
バックアップ媒体の台帳整備と現物突合、保管庫の施錠・鍵管理、暗号化と持ち出し統制、紛失発覚時の報告フローまで、ネットワーク対策の「裏側」を診断し是正計画に落とし込みます。
※ 営業電話はしません | オンライン対応可 | 総務 / 情シス同席歓迎
参考情報
- 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。






