九州電力の子会社「九州電力送配電」は、1000万件を超える、九州本土で電気を使うほぼすべての顧客の名前や住所などの個人情報を保存した記録媒体を、紛失したことを明らかにし、謝罪しました。
「九州電力送配電」は8日、会見を開き、SSD=ソリッド・ステート・ドライブと呼ばれる記録媒体1枚を紛失したと明らかにしました。
SSDには、九州の離島を除く本土で電気を使うほぼすべての顧客、のべ1090万件の名前や住所、それに連絡先などの個人情報が保存されていたということです。
銀行口座やクレジットカードの情報は含まれていないということです。
*****一部省略しています。全文はリンク先でご確認ください。*****
特に批判が集中したのは管理体制で、委託先作業員が定期的にSSDへデータを移していたことや、保管場所のキャビネットが施錠されていなかったこと、さらにSSDに暗号化やパスワード設定がなかったことに対し、「信じられない運用」「個人情報管理として論外」と厳しく非難された。サーバー容量不足を理由に外部媒体へ退避していたという説明についても、「ストレージ増設で済む話では」「バックアップ運用自体がおかしい」とIT関係者らしき利用者から疑問が呈されていた。
また、「情報流出は確認されていない」という会社側の説明に対しても、「確認できていないだけだろ」「流出の有無なんて分からない」と冷ややかな反応が多かった。処分や補償についても関心が高く、「ベネッセ事件並みの対応が必要では」「関係者の責任を明確にすべき」との意見も見られた。
全体としては、「単なる紛失という説明を信じていない」「管理体制が杜撰すぎる」「九州全域規模の情報が危険にさらされた重大インシデントだ」という受け止めが主流だった。公式には流出は確認されていないものの、スレ住民の多くは既に第三者の手に渡っている可能性を強く疑っていた。なお、九州電力送配電はSSDの所在不明を公表し、経済産業省から報告徴収を受けている。(九電通商)【ChatGPTを使用】
セキュリティの世界では「人は必ずミスをする」「物は必ず紛失する」という前提で設計します。そのため、
- データを暗号化する
- 持ち出しを制限する
- アクセス記録を残す
- 媒体を施錠管理する
- 大量データを1台に集約しない
といった防御を何重にも張るのが普通です。
今回はスレでも指摘されているように、「サーバー容量不足だからSSDへ退避」「委託先作業員が扱う」「暗号化なし」「施錠なし」という複数の問題が同時に発生しているように見えます。もし事実なら、単独のヒューマンエラーというより運用設計そのものに課題があった可能性があります。(note(ノート))
一方で、現時点では流出が確認されたわけではありません。SSDが単純な管理ミスで社内のどこかから見つかる可能性もありますし、実際に第三者が取得した証拠も公表されていません。(イノベトピア)
ただ、個人的には「紛失」よりも「なぜ1090万件もの個人情報が、暗号化されていない可搬媒体1台に入っていたのか」の方が重大な論点だと思います。
もし自分が九州在住の契約者なら、今後しばらくは
- 電力会社を名乗る電話
- 契約変更を装うSMS
- 電気料金還付をうたうメール
には特に警戒します。氏名・住所・契約情報の組み合わせは、特殊詐欺やなりすまし営業の精度を上げる材料になり得るからです。今回の件は「漏洩が起きたか」だけでなく、「漏洩しても被害が広がらない仕組みが整っていたか」が問われる事案だと考えます。【ChatGPTを使用】
タウンページ(電話帳)程度じゃねえかw
タウンページ以上の貴重な情報だよ
1000万件のデータを外に持ち歩く?
わざとやね
こいつの周辺関係調べたらすぐに出るやろ
ベネッセ「お咎めなし?連日謝罪会見して会員全員に500円の補償を払ったうちが馬鹿みたいじゃないか!」
>>1
>委託先の作業員がSSDに個人情報を移していたということです
信じられん運用
本体の九電含めて社員の給料半分にして、電気代半分にしろよ
気になるのは暗号化したのかな?ってこと
言及がないことから実は平文
だれでも見れちゃいまーす濃厚だなwww
ありがと
それならワンチャン売っぱらったんじゃね?
>>1
>情報流出の事実は確認されていない
確認していないんだから確認されるわけねえだろ。まじでオールドメディアは役に立たないな。
広告料貰ってるからズブズブなんだろ。
個人情報保護法改正しないとこういう事件は無くならない
改正したって無くならねーよバーカww
ゆるくすれば事件にならない
なんで57人の実名公表も処分もねーの??
やってない奴も巻き添えとかどこの魔中国だよ
SSD管理の共犯者だよ
こんな雑な運用してても消えるまで問題にならねえのがすごいなw
>>1
> 顧客の個人情報はサーバーで管理されていますが、サーバーの容量に余裕がなくなっていたため、月に1回程度、委託先の作業員がSSDに個人情報を移していたということです。
月1って何かが根本的におかしい気はする
かといってTAPEならいいのかとかそういう話ではないと思うが普通はどうするの?
サーバーの容量くらいすぐ増やせる
外付けにしないって中華SSDかよって
>>389
普通はそもそもデータが溢れない(必要なストレージはサーバー内部に十分収まるし拡張もできる)
そもそも固定の顧客データが毎月膨大に膨れ上がるなんて怪奇現象がありえない
バックアップを取るならとるでそのための装置一式もサーバールームにおさまるので外部的に何かを付け足す必要などない
この>>1の説明は何もかもがおかしい
異常な状態だね
最初からデータ盗むために持ち出してたって方が理解できるくらいあり得ない
名義変更やら工事図面やらで顧客データは膨れるし30分ごとに電力使用量データが貯まる
電力使用量なんて1ヶ月分あればいいだろ
古いデータは消すかテープにでも保存しとけばいい
>>1
「サーバ室にあるはずの記憶媒体が行方不明」 九電子会社 最大1090万件分の顧客情報を保存 キャビネット施錠せず
https://www.itmedia.co.jp/news/articles/2606/08/news135.html
>外部記憶媒体も同室内のキャビネットに保管。サーバ室への入退室は厳重に管理し、特定の関係者のみが可能としていたが、キャビネット自体は施錠していなかった。
1090万人ものデータならいくつか複数の媒体に分けておくべき
流出した時のリスクは常に考えておかないとな
盗まれとるやんけww
ほぼ九州の人口じゃん!
QTネットって自前のIT持ってるのに、なんで。
あそこは割と運営が優秀なんや
マジで九州可哀想
>>1
>委託先の作業員がSSDに
ちょw
ネット破られての漏洩ではなく
紛失とか笑うに笑えない
>>690
×紛失
○窃盗
しかも盗んでくださいと言わんばかりの対応
紛失と言うか盗まれたんでしょうね
警察に被害届を出してほしい
謝罪だけで許されていいのかな
わざとの可能性がある
多分300万くらいだな。
名簿屋はヤクザや反社組織に4倍〜5倍で売る。
裏に流れた時は1200~1500万円とかになってるのか
末端に流れるときは更に高くなってる。
多分、仕入れ値の8倍から10倍。
借金している奴が売買したか
内部人間の窃盗以外考えられんやろ
メルカリかな?
九州で670万、沖縄あわせても700万世帯ってことのようだが…
あとの300万超はなんだろ?企業?
>>212
法人の支店支社もだけど、自販機やATMも含まれてるかも
>需要者名、供給場所住所、使用電力量データ、電話番号、小売電気事業者名 等
ア、ナルほど!
ぬるい調査してる場合かよ
実際にそうだとしても、反社に流れたとか言えない
振り込んどくアルネ
あくまで紛失ですよねー
(´・ω・`) 盗みを働いたら、腕を切り落とすくらいしないと、効果がない気がするの…
で、ビッグデータ入手か
ちょろい社会だな
おすすめ商品!
