兵庫県は2025年10月27日、同月23日に発生したプレミアム付デジタル地域商品券「はばタンPay+」第4弾子育て応援枠の申込受付における個人情報漏えいについて、安全対策を講じた上で同日13時から申込受付を再開したと発表した。
10月23日午前9時に申込受付を開始したところ、申請サイト上で本人とは異なる別人の申請情報が表示される不具合が発生した。漏えいした可能性があるのは申請者17名と子ども17名の計34名分で、氏名、住所、生年月日、性別、電話番号、メールアドレス、マイナンバーカード、こども医療費受給者証、母子手帳などの本人確認資料の画像データが含まれる。
原因は申請完了後の個人情報を保管するサーバと二重申請時のエラー情報を保管するサーバの連携に問題があったためで、県はシステム改修を実施し安全性を確認した。申込期限は11月21日20時まで延長された。
From: 
兵庫県/「はばタンPay+」子育て応援枠の申込受付における個人情報漏えいについて
【編集部解説】
兵庫県の電子地域商品券「はばタンPay+」で発生した個人情報漏えい事案は、デジタル施策の急速な展開における構造的な課題を露呈させています。本案件が特に注目されるべき理由は、単なるシステムの脆弱性ではなく、利用者の信頼を損なわせる形での情報管理の失敗だからです。
プレミアム付デジタル商品券は、地方自治体が地域経済を活性化させるために発行するデジタル決済サービスです。購入額以上の利用価値を持つため、消費者にとっても小売事業者にとっても強いインセンティブがあります。兵庫県のはばタンPay+は、子育て世帯を対象とした子育て応援枠で人気が高く、多くの申請が殺到していました。
漏えいした情報にはマイナンバーカード画像が含まれていた点が極めて重要です。マイナンバーは日本の社会保障制度全般に紐付けられており、この情報の流出は本人確認資料そのものが世に知られることを意味します。つまり、金融詐欺や不正アクセス、なりすまし詐欺のリスクが格段に高まるのです。
今回の不具合は「二重登録専用サーバ」という特殊な構造設計に端を発しています。通常であれば、エラー情報と正常な登録情報は同じデータベース内で厳密に分離されるべきです。兵庫県のシステムは両者を別々のサーバで管理しており、その連携ロジックに欠陥があったために、別人情報が表示される事態が起こりました。
急速な需要増加への対応と、システム開発期間の短さが背景にあると考えられます。デジタル施策は往々にして、完璧さより迅速さが優先されることがあります。適切なセキュリティテスト、特に多数の同時アクセスや異常系の検証が十分でなかった可能性があります。
マイナンバーカード普及促進とデジタル社会の構築は政府の重点施策です。しかし、個人情報を大量に扱うシステムの構築には、それ相応の品質保証体制が不可欠です。今回の事案は、行政のデジタル化推進において、セキュリティ水準をいかに確保するかという根本的な問題を提示しています。
兵庫県は委託業者を公表し、責任体制の明確化を進めています。今後、自治体が実施するデジタル事業の発注仕様において、より厳密なセキュリティ要件の定義と、段階的なシステム公開(ベータテスト、段階的ロールアウト)が求められるようになる可能性が高いです。
マイナンバーカード画像が漏えいした利用者に対して、兵庫県は再発行支援や補償の可能性を検討しています。しかし、デジタル社会への信頼構築という観点からは、一度失われた信頼を回復することの難しさが課題となります。自治体が実施するデジタルサービスへの登録躊躇が広がる可能性も考慮すべき点です。
【用語解説】
デジタル地域商品券
自治体が地域経済活性化を目的に発行する電子決済型の商品券。利用者が一定額を購入すると、その購入額を上回る利用価値が付与されるプレミアム商品券として機能する。キャッシュレス決済の推進と消費喚起の両立を実現するツールとされている。
マイナンバーカード
個人に12桁の番号を付与し、社会保障、税務、災害対策に共通する本人確認資料として機能するカード。運転免許証の代替証明書としても利用可能であり、今後のデジタル社会構想の中核をなす。本人確認書類として最高レベルの信頼性を持つため、画像流出は極めて深刻な事象である。
なりすまし詐欺
他人になりすまして金銭詐欺や不正な契約を行う犯罪行為。マイナンバーなどの個人確認資料が流出した場合、金融機関での口座開設や融資申請などに悪用されるリスクが高まる。
二重登録
同一利用者が複数回にわたってシステムに申請情報を送信する行為。通常は検証機能で防止されるべき異常系だが、今回はこの異常系情報を保管するサーバ自体の存在が、後の不具合の原因となった。
【参考リンク】
【公式】はばタンPay+(プラス)第4弾(外部)
兵庫県発行のプレミアム付デジタル地域商品券「はばタンPay+」の公式サイト。申込方法、利用可能店舗、よくあるご質問などの情報を提供。
兵庫県産業労働部地域経済課(外部)
兵庫県が発表したはばタンPay+に関する公式情報を掲載するページ。プレスリリース、安全対策の詳細、申込受付期間の変更情報などが随時更新される。
兵庫県庁(外部)
兵庫県の公式ウェブサイト。県全体の政策、トピックス、各部局の発表資料などを提供している。
【参考動画】
【参考記事】
個人情報漏えいの「はばタンPay+」申し込み受付再開 斎藤知事も謝罪(外部)
サンテレビが報道した記事。2025年10月27日の申込受付再開時点での状況を報じている。斎藤知事の謝罪コメントが記載されている。
兵庫県「はばタンPay+」で個人情報漏洩、システム不具合で34人分の情報が流出(外部)
セキュリティ情報サイトによる詳細な技術解説。サーバ連携の不具合メカニズムを詳しく分析している。
兵庫県で電子商品券「はばタンPay+」子育て応援枠の申請者情報が漏えい(外部)
サイバーセキュリティ専門サイトによる報道。マイナンバーカード画像を含む本人確認資料の流出が明確に記載されている。
斎藤元彦知事、謝罪の後に「一方で…」→表現に波紋(外部)
J-CASTニュースによる記事。知事の謝罪表現に対する世論の反応、責任体制の不明確さに関する指摘を報道している。
斎藤知事 兵庫県の『電子マネー個人情報漏えい』問題で補償の可能性を言及(外部)
フジテレビ系の報道。マイナンバーカード再発行支援および補償の可能性に関する知事コメント、今後の対応方針が詳しく報じられている。
兵庫県、「はばタンPay+」のシステムを改修 – 申請受付を再開(外部)
セキュリティ情報配信サイトによる技術レポート。二重登録専用サーバの削除、システム改修の具体的な内容が詳述されている。
【編集部後記】
デジタル決済は生活を便利にする一方で、個人情報の取り扱いは私たち一人ひとりに直結しています。今回の兵庫県の事案は、行政が実施するシステムだからこそ発生する課題を示唆しています。
あなたが日々利用しているアプリやオンラインサービスは、どのようなセキュリティ設計になっているのか。気に留めてみることで、デジタル社会への付き合い方が変わるかもしれません。
