外部記憶媒体の所在不明、PCのサポート詐欺も 6月第2週までのインシデントまとめ

2026年6月第2週に確認されたセキュリティインシデントでは、外部記憶媒体やUSBメモリ、ノートPC、個人PCといった端末・媒体の管理に加え、元従業員のアクセス権限に関わる事案も確認された。

[中村篤志，キーマンズネット]

　今週は技術的な防御だけでなく、情報の所在管理や利用権限の把握が問われるケースが目立った。外部記憶媒体の所在不明やノートPCの紛失、個人PCのサポート詐欺被害、USBメモリの一時紛失など、情報の保管場所や利用端末に関わるものが中心だ。多くは外部から基幹システムを直接侵害された事案ではなく、業務データをどこに保存し、誰がどの端末や媒体、権限で扱っていたかが問題になった点に特徴がある。

1．九州電力送配電：最大1090万口分の顧客情報を保存した外部記憶媒体が所在不明

　九州電力送配電は2026年6月8日、一部システムのデータをバックアップするための外部記憶媒体が保管場所から所在不明になったと公表した。同社によると、当該外部記憶媒体には需要者名や供給場所住所、使用電力量データ、電話番号、小売電気事業者名などが保存されており、顧客情報の口数は最大1090万口分に上る。銀行口座やクレジットカード情報は含まれていないとしている。

　いきさつとしては、2026年4月27日にバックアップ作業完了時の保管を確認した後、5月26日に定期バックアップの準備をしようとした際、保管場所に外部記憶媒体がないことが判明した。4月27日から5月26日にかけてサーバ室に入退室した関係者へのヒアリングや現地調査を実施したものの、公表時点で発見には至っていない。

　同社によると、外部記憶媒体はサーバ室内のキャビネットに保管していたが、施錠していなかったという。現時点で顧客情報の流出の事実は確認されておらず、個人情報保護委員会と監督官庁に報告済みとしている。

出典：お客さま情報を保存した外部記憶媒体の所在不明について（九州電力送配電株式会社）

2．Kaizen Tech Agent：元従業員による社内情報持ち出しのおそれ、9721件が漏えいした可能性

　Kaizen Tech Agentは2026年6月10日、関係者の個人情報9721件が漏えいした可能性があると公表した。

　同社によると、2026年3月、元従業員による社内規定に違反する可能性のある行為を把握したことを端緒に社内調査を開始した。警視庁への相談や外部専門機関と連携し、影響範囲の特定と原因調査を進めたという。

　外部専門機関による調査は2026年4月14日に完了し、当該元従業員が2025年10月16日に社内情報を不正に取得し、社外に持ち出したおそれがあることが判明した。ただし同社は、当該元従業員へのヒアリングで本人が持ち出しを否認し、不正取得はしていない旨の誓約書の提出を受けたとも説明している。従って、本件は「漏えいした可能性がある」事案であり、漏えいが確定したとは断定できない。

　漏えいした可能性がある情報には、氏名や生年月日、性別、住所、電話番号、メールアドレス、勤務先名称、勤務先住所、勤務先部署名、銀行口座情報、緊急連絡先情報、面談時の記録などが含まれる。クレジットカード情報とマイナンバー情報は含まれていない。同社は、現時点で不正利用の事実は確認されていないとしている。

出典：個人情報の漏洩の疑いに関するご報告とお詫び（株式会社Kaizen Tech Agent）

3．高知工科大学：教員が出張中にノートPCを紛失、418件が漏えいした可能性

　高知工科大学は2026年6月9日、同大学教員が個人情報を含むノートPCを紛失し、個人情報漏えいの可能性があると公表した。

　同大学によると、教員は2026年5月下旬、高知県外への出張時に利用した列車内でノートPCを使用した後、置き忘れて降車した。降車後に紛失に気付き、PCの捜索と鉄道会社への確認、所轄警察署への遺失届を実行したが、公表時点で発見には至っていない。

　漏えいした可能性がある対象は、当該教員と過去にメールの送受信履歴があるメールアドレスや氏名など418件で、このうち高知工科大学の学生47人分を含む。メール本文と添付ファイルも対象に含まれる可能性がある。PC本体が手元にないため、具体的な本文などの特定には至っておらず、メールサーバの通信ログを精査して対象を特定したとしている。

　同大学は、当該PCのOSログインにパスワードを設定しておらず、第三者が起動して操作可能な状態だったと説明している。一方、業務に使用する主要データは外付けSSDに保存しており、当該PCには保存していなかったという。紛失判明と同日に、メール送受信やクラウドサービス、業務システムなどのログイン認証に必要な当該教員アカウントのパスワードを変更した。現時点で当該情報が不正利用された事実は確認されていない。

出典：個人情報を含むノートパソコン紛失のお知らせとお詫び（高知工科大学）

4．藤田医科大学病院：看護師の個人PCがサポート詐欺被害、患者情報1365件が漏えいした可能性

　藤田医科大学病院は2026年6月3日、同院に勤務する看護師が、院内規定に反して患者情報を個人用PCに保存していたところ、当該PCがサポート詐欺の被害に遭い、患者情報が外部に漏えいした可能性があると公表した。

　漏えいした可能性がある個人情報は1365件。対象には、2024〜2025年に末期腎不全の病名登録がある一部の患者と2004〜2025年に腹膜透析を受けた一部の患者、2021〜2024年に腎代替療法指導を受けた一部の患者が含まれる。情報項目は、氏名や性別、生年月日、患者ID、病名、転帰、入退院日、検査データのうち複数項目。住所や電話番号、メールアドレス、マイナンバーカード、クレジットカード情報は含まれていないとしている。

　2026年5月25日、当該看護師が自宅で個人PCを使用してWebサイトを閲覧していた際、警告音と警告表示が出現し、表示された連絡先に連絡した。その後、指示に従ってURLにアクセスしたところ、PCに不正侵入され、第三者による遠隔操作を受けたという。

　同院は、5月31日〜6月1日にかけて情報システム管理部門が調査した結果、サポート詐欺被害は個人PCにとどまり、カルテを含む病院本体のシステムへの影響はないことを確認したとしている。現時点で情報の不正利用などは確認されていない。

出典：個人情報漏洩に関するご報告とお詫び（藤田医科大学病院）

5．関西医科大学付属病院：患者約1800人分の個人情報入りUSBメモリを一時紛失

　関西医科大学付属病院は2026年6月3日、患者約1800人分の個人情報が保存されたUSBメモリを一時的に紛失する事案が発生したと公表した。

　同院によると、事案は2026年2月に発生した。脳神経内科に勤務する医師が使用していたUSBメモリを紛失したもので、USBメモリには患者氏名や患者ID、性別、病名、入退院日などが記録されていた。住所や電話番号、クレジットカード情報は含まれていないとしている。

　紛失したUSBメモリは数日後に発見され、既に回収済みだという。同院は、発見の状況から情報漏えいのリスクは極めて低いと考えていると説明している。また、公表時点で3カ月以上が経過しているが、当該情報が不正利用されるなどの二次被害は確認されていないという。

　同院は、記録媒体による情報の持ち出しに関するルールの再徹底、教職員への教育研修の強化などを進めるとしている。

出典：個人情報漏えいの可能性に関するご報告とお詫び（関西医科大学附属病院）

見落としやすい“入り口”をどう見るか

　今回取り上げた5件は、発生経路こそ異なるが、端末や外部記憶媒体、アクセス権限、保管ルールの管理が共通した論点になっている。

　外部記憶媒体やUSBメモリの事案では、保管場所や施錠、利用記録、棚卸しの運用が問われる。元従業員に関わる持ち出し疑いでは、退職者や異動者の権限削除、ダウンロード履歴の監査、業務上必要な範囲を超えたアクセスの検知が重要になる。ノートPCや個人PCの事案では、OSログインパスワードや端末暗号化、業務データの保存先、クラウドやメールへの再認証、紛失・詐欺被害発覚時のアカウント停止手順を点検したい。