概要
JR九州のグループ会社がサイバー攻撃を受け、JR九州を除くグループ内58社に所属する従業員1万4638人分の個人情報が漏えいした恐れがあることが明らかになった。2025年10月17日に不正アクセスが検知・防御されたが、その後の調査により情報漏えいの可能性が判明した。対象には従業員、派遣スタッフ、退職者の情報が含まれる。
詳細な説明
JR九州は1月19日に発表したところによると、2025年10月17日にグループ会社のネットワーク環境が第三者による不正アクセスを受けた。セキュリティーツールが不正アクセスを検知・防御したが、その後の調査の結果、JR九州を除くグループ会社58社の従業員、派遣スタッフ、元従業員の情報が漏えいした可能性があると判明した。
漏えいした可能性がある情報は、氏名、会社付与のメールアドレス、PCのログインIDである。対象期間は最大で2016年3月から2025年10月までであり、この間にグループ会社に在籍していた者が対象となっている。
対象者数が最も多い企業はJR九州エンジニアリングの1970人、次いでJR九州サービスサポートの1202人、JR九州メンテナンスの1057人などとなっている。現時点では、従業員の情報が実際に漏えいした事実は確認されていない。
影響と対策
従業員の個人情報が実際に漏えいした場合、第三者による不正利用につながるおそれがあるため、関係者にとっては影響が小さくない。JR九州は対象の従業員・元従業員に個別で通知を行っているが、退職などで連絡がつかない人がいるため、公表をもって通知に代えている。また、個人情報保護委員会への報告は既に完了している。
グループ各社は、被害の範囲や原因を調べるとともに、情報セキュリティの強化と再発防止に努めるとしている。
まとめ
JR九州グループ会社へのサイバー攻撃により、58社の従業員1万4638人分の個人情報が漏えいした恐れが報じられた。現段階では調査中であり、実際の漏えいの有無や被害の全容把握が焦点となる。関係者は続報と公式発表を確認し、適切な対応を取る必要がある。
