手のひらに収まる小さなSSDが1個、九州電力送配電のサーバー室から消えました。中に入っていたのは、離島の一部を除く九州ほぼ全域の契約者にあたる、最大1,090万口分の顧客情報。氏名や住所、使用電力量などが詰まっていたにもかかわらず、報道によれば暗号化もパスワードもかけられていなかったといいます。同社は窃盗の可能性も視野に被害届を出し、いまも行方は分かっていません。なぜ「一時的な運用」のはずだった外付け媒体が、これほど大量のデータを抱えたまま姿を消せてしまったのか。便利さの裏に潜む、私たちのデータ管理の死角を一緒に見ていきましょう。
九州電力送配電株式会社は2026年6月8日、お客さま情報を保存した外部記憶媒体が所在不明になったと発表した。媒体には需要者名、供給場所住所、使用電力量データ、電話番号、小売電気事業者名などが保存されており、対象は最大1,090万口分である。
銀行口座やクレジットカードの情報は含まれない。媒体はサーバー室のキャビネットに保管していたが、施錠していなかった。4月27日のバックアップ作業完了時には保管を確認していたが、5月26日に定期バックアップの準備中、所在不明が判明した。同社は入退室した関係者へのヒアリングや現地調査を実施したものの、発見に至っていない。
個人情報保護委員会および監督官庁には報告済みで、現時点で情報流出の事実は確認されていない。
From: 
お客さま情報を保存した外部記憶媒体の所在不明について(九州電力送配電)
※本記事のうち、媒体がSSD1個であること、暗号化・パスワードが未設定であったこと、福岡県警への被害届提出、委託先57人の入退室、944万件・146万件の内訳、監督官庁が資源エネルギー庁であることは、公式発表ではなく共同通信・日本経済新聞・地方局などの報道に基づきます。公式発表の表現は「外部記憶媒体」「最大1,090万口分」「監督官庁」です。
【編集部解説】
まず押さえておきたいのは、九州電力送配電がこの発表で使った「所在不明」という言葉の控えめさです。同社のリリースは終始「所在不明」と表現し、調査の範囲として「無断持ち出しの可能性も含めて」と記すにとどめています。一方で報道では、同社が6月4日に窃盗の疑いで福岡県警へ被害届を提出したと伝えられています。公式発表と報道を重ねると、実態は「うっかり置き忘れた」レベルにとどまらない事案として扱われていることがうかがえます。
問題の媒体が何だったのかは、公式発表では「外部記憶媒体」とだけ記され、種別やサイズは明かされていません。この点を補ったのは報道です。共同通信などによれば、これはSSD(ソリッドステートドライブ)1個で、地方局の報道では手のひらに収まるサイズと伝えられています。報道が正しければ、手のひらサイズの物体が——同じく報道ベースですが——個人だけでなく法人も含む九州ほぼ全域の契約情報を抱えたまま消えたことになります。事の重さが、ここで一気に立ち上がってきます。
セキュリティの観点で最も注目されているのもこの先です。共同通信や日本経済新聞によれば、このSSDには暗号化もパスワード設定もされていなかったとされています。暗号化とは、データを鍵がなければ読めない状態に変換しておく仕組みのこと。これがあれば、媒体そのものが第三者の手に渡っても中身は守られます。報道が事実であれば、今回は媒体流出時の「最後の防壁」を欠いていたことになります。
なぜそんな状態が生まれたのか。公式発表は、バックアップ用システムの容量が逼迫し、一時的に外部記憶媒体を使っていたと認めています。さらに、保管していたキャビネットには施錠がなかったことも明記されています。応急処置がそのまま運用され、施錠もされていなかった——この事実の並びは、暫定的な運用に管理ルールが追いついていなかった可能性を示唆していると、私は受け止めています。
影響範囲は決して小さくありません。公式に確認できる数字は「最大1,090万口分」です。その内訳について日経の報道は、2016年7月〜2024年1月に契約があった個人・法人の約944万件と、2025年10月〜2026年4月に引っ越しなどの手続きをした際の情報146万件、と伝えています。報道ベースの数字ではありますが、合算すると公式の1,090万口分とおおむね整合します。
幸い、口座番号やクレジットカード情報は含まれていません(これは公式発表で明記)。ただ油断は禁物です。氏名・住所・電話番号・契約事業者名がそろえば、「九電を名乗る不審な連絡」のような、いわゆるソーシャルエンジニアリング型の詐欺に悪用される素地になり得ます。金銭情報がないこと=安全、とは言い切れないのです。
人の問題も見逃せません。公式発表は入退室を「特定の関係者のみ」と説明していますが、報道では、最後に媒体を確認した4月27日から発覚した5月26日までの約1カ月間に、委託先会社の57人がサーバー室に出入りしていたと伝えられています。厳重に管理された部屋であっても、外部委託が絡めば関係者は数十人規模になる。物理的なアクセス管理の難しさが浮かび上がります。
規制面では、電気の送配電は社会インフラであるだけに監視の目も厳しくなります。公式発表は報告先を個人情報保護委員会と「監督官庁」とするにとどめていますが、報道ではこの監督官庁が資源エネルギー庁だとされています。いずれにせよ、重要インフラ事業者としての説明責任が問われる局面です。今後の調査結果次第では、業界全体の媒体管理ルールが見直される契機にもなり得ます。
長期的に見れば、この事案が突きつける教訓はシンプルだと、私は考えています。「保存データは原則すべて暗号化する」「物理媒体はゼロトラストで扱う」——本来は当たり前であるはずのこの基本を、社会インフラ企業ほど徹底しなければならない、ということ。これは公式の事実認定ではなく、報道された経緯を踏まえた私自身の見解です。スマートメーターやIoTの普及で電力会社が扱うデータは増え続けます。だからこそ、今回の一個のSSDの行方は、これからのデータ時代における管理水準を映す鏡として読むべきだと感じています。
【用語解説】
SSD(ソリッドステートドライブ)
半導体メモリにデータを記録する記憶装置だ。ハードディスクのような円盤を持たず、小型・軽量で衝撃に強い。報道によれば今回紛失したのは手のひらサイズの外付けSSD1個であり、大容量を小さな筐体に収められる利点が、そのまま「持ち運びやすさ=紛失・盗難のしやすさ」という弱点にもなった。
暗号化
データを特定の鍵がなければ読めない形に変換する技術である。媒体そのものが第三者の手に渡っても、暗号化されていれば中身は保護される。報道によれば今回のSSDには暗号化が施されておらず、情報流出を防ぐ最後の防壁が機能しない状態だったとされる。
バックアップ
障害や消失に備え、データの複製を別の場所に保存しておくこと。本来はデータを守るための作業だが、その複製を保存した媒体の管理が甘ければ、かえって情報漏えいの新たな経路になり得る。今回はこの逆説が現実化した事例といえる。
ソーシャルエンジニアリング
技術的なハッキングではなく、人の心理や信頼につけ込んで情報を引き出す手口の総称だ。氏名・住所・電話番号・契約事業者名がそろうと、「電力会社を装った詐欺電話」などに悪用される危険が高まる。金融情報が含まれないことが「安全」を意味しない理由はここにある。
ゼロトラスト
「内部のネットワークや人間も無条件には信頼しない」という前提で設計するセキュリティの考え方である。サーバー室が施錠管理されていても、出入りする全員を信頼できるとは限らない。物理媒体の取り扱いにこの発想を適用していれば、被害を防げた可能性がある。
スマートメーター
通信機能を備えた次世代の電力量計で、検針や使用量データの収集を自動化する。電力会社が扱う顧客データが膨大化する背景には、この普及がある。データが増えるほど、その管理水準が問われることになる。
IoT(モノのインターネット)
あらゆる機器をネットワークにつなぐ技術や概念のこと。電力インフラのIoT化は利便性を高める一方、収集・蓄積されるデータの保護責任を事業者に重くのしかける。
【参考リンク】
九州電力送配電株式会社(外部)
九州全域の送電・配電を担う一般送配電事業者。本件の発表元で、停電情報や各種お申込みなど生活インフラ情報を提供する。
個人情報保護委員会(PPC)(外部)
個人情報保護法を所管する内閣府の外局。漏えい等事案の報告先で、各種ガイドラインや相談窓口を整備する監督機関である。
資源エネルギー庁(外部)
経済産業省の外局で、電力・ガスなどエネルギー政策を所管する。電力は重要インフラであり、報道では本件の報告先とされている。
【参考記事】
顧客情報入りSSDを紛失 九電送配電、1090万件分(共同通信)(外部)
紛失はSSD1個と判明。暗号化やパスワード設定がなく、窃盗の疑いで福岡県警に被害届を出した点を報じた速報。
九州電力送配電、顧客情報1090万件が漏洩のおそれ(日本経済新聞)(外部)
対象を944万件と146万件に分けて提示。委託先57人の出入りや報告先など、最も詳細な数値を伝えた記事。
九州電力送配電 顧客情報入ったSSD紛失 大分では90万件分が流出おそれ(OBS大分放送)(外部)
大分県内だけで約90万件が対象と報道。57人への聞き取りや、保管キャビネット未施錠の事実も伝えた。
九州電力送配電 1090万件の個人情報を紛失 保管場所にSSDがなく発覚(FBS福岡放送)(外部)
業務委託先の職員が紛失に気付いた経緯や、6月4日の被害届受理、稲月副社長の再発防止表明を報じた。
【編集部後記】
この記事を書きながら、私は自分のデスクの引き出しに眠っている古いUSBメモリのことを思い出していました。中身が何だったか、正直もう覚えていません。みなさんにも、似た「忘れもの」はないでしょうか。今回の一件は、九州電力送配電という大きな組織の話であると同時に、私たち一人ひとりのデータとの付き合い方を問い直す出来事でもあると感じています。
便利な道具ほど、その背後にある責任は静かに重くなっていく。そんなことを、小さなSSDの行方から一緒に考えていけたらうれしいです。これからも、未来の「期待」と「不安」の両方に寄り添いながら、お伝えしていきます。
