北海道ガス(札幌市東区)と子会社の北海道LNGは5月7日、ガス配送業務で使う「LNG受発注システム」のサーバーに外部から不正アクセスがあり、取引先担当者と両社従業員の個人情報が流出した可能性があると発表した。対象は計296件で、会社名や氏名、メールアドレスのほか、暗号化されたログイン用パスワードも含まれるという。両社は外部専門機関と調査を進めており、現時点で情報の不正利用などの二次被害は確認されていないとしている。
3行で読む本件
見出し
何が起きた:北海道LNGが運用する「LNG受発注システム」のサーバーに対し、2026年1月22日に外部からの不正アクセスの痕跡が確認された。
影響:取引先のご担当者と両社従業員に関する会社名、氏名、メールアドレス、暗号化されたログインパスワード計296件が漏えいした可能性がある。
対応:個人情報保護委員会への報告、不正アクセスの遮断、監視強化を実施。本人通知未完了の13件分について公表に踏み切った。
わかっていること/わかっていないこと
わかっていること
・不正アクセスの痕跡が確認されたのは2026年1月22日、確認場所は委託先の北海道LNGが運用する「LNG受発注システム」
・漏えいの可能性がある情報は、会社名、氏名、メールアドレス、暗号化されたログイン用パスワード
・対象件数は計296件(本人通知完了283件、未完了13件)
・個人情報保護委員会への報告は完了。外部からのアクセス遮断や監視強化を実施済み
・外部専門機関と調査を継続中で、現時点で情報の不正利用など二次被害は確認されていない
わかっていないこと
・不正アクセスの侵入経路や具体的な攻撃手法
・攻撃者の特定状況
・実際に情報が外部へ持ち出されたか否かの確定
・本人通知未完了13件のうち、何件が取引先の元担当者で、何件が元従業員かの内訳は北海道ガス分9件(取引先元担当者6件・元従業員3件)、北海道LNG分4件(取引先元担当者3件・元従業員1件)と公表されているが、漏えい確定の有無までは未公表
子会社サーバーが標的、暗号化パスワードも対象に
不正アクセスを受けたのは、北海道ガスがLNG配送を委託している子会社・北海道LNGが運用する受発注システムのサーバーだ。同システムには取引先のご担当者と両社の従業員がアカウントを登録しており、ログイン情報が管理されていた。
同社によると、流出の恐れがある情報には暗号化されたパスワードも含まれる。暗号化が施されているとはいえ、メールアドレスとの組み合わせ次第では、フィッシングメールの標的にされる懸念は残る。同社は対象者に対し、不審なメールへの注意を呼びかけている。
1月の検知から公表まで約3カ月半
北海道LNGは1月22日に侵入の痕跡を検知。発覚直後に個人情報保護委員会へ報告し、外部からのアクセス遮断と監視強化などの対策を講じたとしている。
対象者には個別案内を実施しているが、退職などにより本人への通知が完了していない13件があったことから、個人情報保護法の趣旨に沿って公表に踏み切ったとしている。
主な経緯
2026年1月22日 委託先の北海道LNGで「LNG受発注システム」への不正アクセスの痕跡を確認
同日以降 個人情報保護委員会へ報告。外部からのアクセス遮断、監視強化を実施
(時期は非公表) 対象者への個別通知を順次開始(283件で完了)
2026年5月7日 本人通知未完了の13件分について、両社が連名で公表
問い合わせ窓口
本件に関する問い合わせ窓口は北海道ガス お客さまセンター(電話011-792-8263、受付時間9時~17時、土日・祝日を除く)。同社は「本件を重く受け止め、再発防止とより一層のセキュリティ強化に努める」としている。