九州旅客鉄道株式会社(JR九州)は、広報を通じて、グループ会社のネットワーク環境が第三者による不正アクセスを受けたことにより、従業員等の個人情報が漏えいした可能性があると明らかにしました。
本記事では、公式発表と報道をもとに、事案の概要、発覚の経緯、企業の対応について整理・解説いたします。
目次
JR九州がグループ会社ネットワークへの不正アクセスによる被害を発表
九州旅客鉄道株式会社(JR九州)は、2026年1月19日付で、同社を除くグループ会社58社のネットワーク環境が第三者からの不正アクセスを受けた可能性があると発表しました。
公式発表によれば、2025年10月17日にセキュリティツールにより不正アクセスが検知・防御されたものの、その後の調査で個人情報が漏えいした可能性があると判断されたとされています。
漏えいの可能性がある情報には、従業員や派遣スタッフ、退職者など計1万4,638名分の氏名、会社付与のメールアドレス、PCログインIDなどが含まれています。
報道では、1万4,600人余りの個人情報が影響を受けた可能性があると報じられており、現時点では実際の情報漏えいは確認されていないとしています。
2025年10月にJR九州は不正アクセスを受ける
公式発表および報道を踏まえると、本件は以下のような流れで明らかになりました。
- 2025年10月17日:JR九州グループ会社のネットワーク環境で、第三者による不正アクセスがセキュリティツールにより検知・防御される。
- その後の調査:システム内部の調査により、PCログイン情報等の情報が漏えいした可能性があることが判明。
- 2026年1月19日:JR九州が公式に不正アクセスと個人情報漏えいの可能性を公表。
- 報道時点(1月20〜21日):報道機関は「現時点で漏えい事実は確認されていない」と伝えている
不正アクセス発覚の経緯
本件は、2025年10月17日にセキュリティツールが第三者による不正アクセスを検知したことから発覚しました。
その後、内部の詳細調査を進めた結果、アクセスを受けたネットワーク環境に保存されていた従業員等の情報に対して、外部からの取得や漏えいの可能性があると判断されました。
公式声明では、現時点で実際の漏えいや悪用は確認されていないとしつつ、影響を受けた可能性がある個人情報について追加調査を行っていると説明されています。
JR九州の対応
JR九州は、本件を受けて以下の対応を進めています。
- 2026年1月9日(金):個人情報保護委員会へ速報報告
- 2026年1月21日(水)〜:対象者914名に対して個別連絡の開始
- 関係者に向けた注意喚起(不審な連絡への対応等)
- 委託先企業も含めたセキュリティ対策の見直し・強化
公式発表では、現時点で情報漏えいの事実は確認されていないとされていますが、今後も注意深く状況を監視し、必要な対応を進めるとしています。
出典:JR九州
企業が同様の事態に直面した場合の対応フロー
今回のJR九州の事例は、不正アクセスを検知した後の初動対応の重要性と、グループ全体での情報セキュリティ管理体制の整備がいかに不可欠であるかを示しています。
企業が同様の状況に直面した場合、以下のような対応フローが推奨されます。
- 初動調査:不正アクセス・漏えいの有無と範囲を即時調査
- フォレンジック調査の依頼:証拠データ保全と侵入経路の特定を行う(ログ改ざんを防ぐため)
- 被害者への通知:影響利用者への通知とサポート体制の構築
- 関係当局への報告:30日以内に総務省へ報告書を提出し、必要に応じて公表
- 再発防止策の策定と運用:本人確認・ID管理の強化、不正検知AIの導入など
情報漏洩が発生した場合に最も重要となるのは迅速な初動対応と証拠となるデータ保全です。フォレンジック調査を活用することで、侵入経路や被害範囲を正確に特定でき、再発防止に直結します。
個人情報漏洩した場合の報告義務
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
情報漏えいが発生した際に、企業は個人情報保護委員会へ2回報告する必要があります。それぞれ報告内容と報告期限が定められているため、注意しましょう。
- 漏えい等の事実が発覚したら、3〜5日以内に個人情報保護委員会へ通報
- 発覚から30日以内に被害を調査して個人情報保護委員会へ報告
データ漏えいが発生した場合は、外部の調査専門業者に調査を依頼することが重要です。
特にフォレンジック調査会社は、デジタル機器のデータ保全やアクセス調査に関する専門技術を保有しています。この技術により漏えいの原因や影響範囲を的確に把握し、再発防止策を十分に講じることができます。また、調査報告書も作成してもらえるため、個人情報保護委員会へそのまま報告することも可能です。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが発生した場合、内容によっては特定の機関への報告義務が生じることがあります。自社のみで調査を行った場合、報告書の内容が認められないケースもあり、第三者機関による調査が一般的です。
私たちデジタルデータフォレンジック(DDF)は、官公庁、上場企業、捜査機関など、多様な組織のインシデント対応を行ってきた実績があります。
相談や見積もりは無料で、24時間365日体制でご依頼を受け付けています。早期対応が被害拡大防止の鍵となりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.9万件以上のフォレンジック調査サービスです
まとめ
JR九州は、2025年10月17日に発生した不正アクセスを受けて、同社を除くグループ会社58社に関連する従業員等約1万4,638人分の個人情報が漏えいした可能性があると公表しました。
現時点では実際の漏えいは確認されていませんが、影響の大きさと情報セキュリティの観点から、対象者への通知や対策の強化が進められています。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
