セキュリティニュース

JR西日本「瑞風」の顧客データ約900件が消失 誤削除が原因

西日本旅客鉄道株式会社(大阪市北区)と株式会社日本旅行は24日、豪華寝台列車「TWILIGHT EXPRESS 瑞風」の乗客データ約900件が消失したと発表した。日本旅行のデータサーバ内に保管していた個人データを誤って削除したことが原因という。両社は不正アクセスやシステム不具合はなく、外部への情報流出もないとしている。

「TWILIGHT EXPRESS 瑞風」に関するお客様の個人データ一部滅失についてより引用

約1年分のデータが消失

11月28日、日本旅行のデータサーバ内に保管していた瑞風乗客の個人データの一部が消失していることが判明した。消失したデータは2024年10月2日から2025年11月26日の一部運行日に乗車した顧客のもので、約900件に上る。

データには乗車日、客室番号、提供サービス内容、アレルギー情報などが含まれていた。ただし、氏名、住所、クレジットカード情報は含まれていないという。JR西日本は瑞風の販売業務を日本旅行に委託しており、顧客データは日本旅行のサーバで管理されていた。

誤操作を防ぐ仕組みなし

両社の調査によると、データファイルを誤って削除したことが原因と推定される。また、誤った操作を防ぐシステムの仕様となっていなかったことも明らかになった。

調査の結果、システムの不具合や第三者による不正アクセスは確認されなかった。社外への個人データの流出もないという。今回の事案は、サイバー攻撃ではなく、内部のオペレーションミスが原因だ。

システム仕様変更へ

両社は再発防止策として、システムの仕様変更と関係者への教育徹底を実施する。具体的には、重要なデータを誤って削除できないようなシステム設計の見直しや、操作前の確認プロセスの導入などが想定される。

本件は個人情報保護委員会に報告済みだ。該当する顧客には、申し込みをした旅行会社を通じてJR西日本から郵送で順次連絡している。

豪華列車のデータ管理に課題

TWILIGHT EXPRESS 瑞風は、2017年に運行を開始したJR西日本の豪華寝台列車だ。1泊2日から2泊3日のコースがあり、上質な車両と食事、きめ細かなサービスで知られる。料金は1人30万円から130万円程度と高額で、富裕層向けの商品として人気を集めている。

こうした高級サービスでは、顧客の嗜好やアレルギー情報など、きめ細かな情報管理が求められる。今回の事案は、サービスの質を維持するための重要なデータが失われたことを意味し、顧客対応に影響が出る可能性がある。

両社は「お客様にご心配をおかけすることをお詫び申し上げます」としている。問い合わせはJR西日本お客様センター(電話0570-00-2486、受付時間9時から19時、年中無休)で受け付けている。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,