1090万人のデータが「無施錠のキャビネット」に — 九州電力送配電SSD紛失が教える物理セキュリティの盲点


九州電力送配電 SSD紛失の構図 サーバー 容量が ひっ迫! 一時的に バックアップ SSD 1090万件 手のひらサイズ ⚠ 暗号化なし 取得者はデータを丸読み可 保管 キャビネット 無施錠! 鍵なし ⚠ 物理施錠なし 誰でも持ち出せる状態 二重のセキュリティ欠如 「一時的だから」が最大のリスク要因 九州全域の契約者ほぼ全員(1090万口)が対象 — 2026年6月8日発表
九州電力送配電SSD紛失:暗号化なし・施錠なしという二重の欠如
ひよこ ひよこ
ペンギン先生!九州電力の子会社が1090万人分の顧客情報が入ったSSDをなくしたって聞いたんだけど、本当なの?
ペンギン先生 ペンギン先生
本当だよ。2026年6月8日に九州電力送配電が発表した事件だよ。九州全域で電気を使っているほぼすべての顧客の名前・住所・電話番号・使用電力量が入ったSSDが、5月26日から所在不明になっているんだ。
ひよこ ひよこ
SSDって小さな記憶媒体だよね?手のひらサイズのものに九州全土の情報が入るなんて、それだけで怖いな。
ペンギン先生 ペンギン先生
そうだよ。現代のSSDはコンパクトなのに大容量で、企業の基幹データを丸ごと持ち運べてしまうんだ。それが今回の事件の核心でもあって、「小さいから大丈夫」という感覚が逆に危険を招きやすいんだよ。
ひよこ ひよこ
そのSSDってちゃんと守られてたの?暗号化とかされてたんじゃないの?
ペンギン先生 ペンギン先生
ここが一番の問題でね。このSSDは暗号化されていなかったんだ。暗号化っていうのは、たとえデータを盗まれても、専用の鍵(パスワード)がないと中が読めないようにする技術だよ。暗号化なしだと、SSDを手にした人はデータをそのまま読めてしまうんだ。
ひよこ ひよこ
保管場所は安全な部屋だったの?
ペンギン先生 ペンギン先生
それも問題があってね。SSDは鍵のかかっていないキャビネットに入れられていたんだ。デジタルの守り(暗号化)も、物理的な守り(施錠)も、どちらもなかった状態。二重に無防備だったんだよ。
ひよこ ひよこ
なんでそんな大事なデータをそこまで無防備に保管してたの?
ペンギン先生 ペンギン先生
サーバーの容量がひっ迫したので、「一時的に」バックアップとしてSSDに保存したのが原因みたいだよ。「一時的だから」と気が緩んだんだろうね。でもデータの価値は保管期間に関係ない。どこに、何日間だけ保存する場合でも、センシティブな情報には同じレベルのセキュリティが必要なんだ。
ひよこ ひよこ
この事件で、私たちはどんな被害を受けるかもしれないの?
ペンギン先生 ペンギン先生
銀行口座やクレジットカード情報は含まれていないけど、名前・住所・電話番号が漏れると、なりすまし詐欺やフィッシング攻撃に使われる可能性があるんだよ。「電力会社からのお知らせです」という偽の電話やメールが来たら要注意だよ。
ひよこ ひよこ
企業はどうすればよかったの?
ペンギン先生 ペンギン先生
「暗号化・施錠・アクセス管理」の三本柱を守ることだよ。一時的な保管でも必ず暗号化する、持ち出し可能な媒体は施錠された場所で管理する、誰がアクセスしたかを記録する。今回の事件は経産省も事実報告を求めていて、警察も窃盗として捜査中なんだ。「一時的だから」という判断が最大のリスクだったという教訓を、多くの企業が学ぶべき事件だよ。
ひよこ ひよこ
デジタルでもアナログでも、「一時的だから大丈夫」は禁物なんだね。小さなSSD1枚が持つ責任の重さを改めて感じたよ!
ペンギン先生 ペンギン先生
まさにそうだよ。クラウド全盛の時代でも、物理的な記憶媒体の管理は今でも重要なんだ。目に見える「モノ」として扱うからこそ、「どこに置いたか分からない」という事態が起きてしまう。デジタルデータは目に見えないけど、入れ物は目に見える — その「目に見える部分」のセキュリティを忘れないようにしようね。