旅行の予約サイトで他人の個人情報が誤表示される、DB接続先がリセット状態に | 日経クロステック（xTECH）

「取材依頼の趣旨（後述）」とかけ離れた内容になっています。また内容が薄い（大切な部分がごそっと抜け落ちており教訓になるような話がほぼない）ばかりでなく、弊社がクライアントから高く評価いただいた不具合発生後の具体的な対応に言及することなく「立派だが・・・」と貶めるような記載となっています。また弊社の事後対応が中途半端でいまだにリスクを残しているかのように受け止められかねない記述もあります。

このような理由から記事の非掲載を求めましたが、残念ながら応じていただけませんでした。

編集長＞違っていたら書き直します。非掲載はできません。
NYANGO＞間違ってはないが取材依頼に記載された趣旨とまったく違う。利用されている表現がネガティブ。内容が薄い。本質的なところが抜けてる。フォーカスしているところが枝葉（細部の実装、一人親方）。誰の教訓になるの？
編集長＞いろんな読み方がある

という感じでらちがあきません。（ITに詳しくない若手の記者さん本人に苦情対応を丸投げするのでなく、編集長自らから電話してきたことについては高く評価します）

弊社としては風評被害を招きかねない内容と判断しておりますので、以下で弊社の見解を述べさせていただきます。

付録としてChatGPTに取材依頼をうける起因となった記事の要約・建設的批判もしてもらいました。ぜひ日経クロステック社の記事と比較してみてください。

参考/取材依頼内容

５月のシステム不具合に関する取材のお願い（日経クロステック）

NYANGOご担当者さま、〇〇〇〇ご担当者さま

初めてご連絡を差し上げます。技術系媒体「日経クロステック」のIT担当記者の〇〇〇〇と申します。
突然のお願いで恐れ入りますが、〇〇〇〇のシステムで2025年5月に顧客情報が閲覧可能となった事例について取材をお願いしたく、この度メールを差し上げました。

弊誌では、IT業界におけるヒヤリハットや不具合などの事例を当事者への取材をもとに深堀りして伝えております。昨今では情報漏洩などが多発しており、多くの企業や組織が障害について情報を公表しない方針をとる中で、貴団体のWebサイトを拝見し、時系列や原因などを丁寧に説明されている姿勢に非常に感銘を受けました。
～～～URL～～～

貴団体のシステムご担当者様にお話を伺い、貴重な体験や経験とその教訓、再発防止策を読者と共有する記事を執筆したいと考えております。
上記につきまして、もし取材をお受けいただけそうでしたら、8月中にて1時間半ほどご都合の良い日時をいくつかご教示いただけませんでしょうか。
こちらの取材依頼につきまして、もしご不明点などございましたら電話、メールにてお気兼ねなくお伝えくださいませ。

ご多用のところ恐れ入りますが、何卒ご検討いただけますと幸いです。よろしくお願い申し上げます。

〇〇
——————————————————————-
株式会社日経BP 日経コンピュータ編集
〇〇〇〇

〒105-8308　東京都港区虎ノ門4-3-12
携帯電話：080-1234-5678(まずはこちらにご連絡ください)
Email: 〇〇〇@nikkeibp.co.jp
——————————————————————–

弊社が取材を受け入れた理由について

弊社は一般には無名の企業ですが、地域ＯＴＡ業界ではオンリーワンなプロダクトを提供しており、クライアント様も拡大しているので非常に多忙です。

ですので、「興味があるので話を聞かせてください」的な軽いノリの問い合わせは全て断っています。また初回説明時に不勉強（本ホームページに書いてある内容に目を通していない）であればすぐに「提供できません。出直してください」とやっています。

「問い合わせに対応するか、弊社のサービスを提供するか」を判断するにあたって相手方の肩書は一切関係ありません。実際、「中央官庁」や「プロ野球球団」の問い合わせや打診も「不遜」さが少しでも感じられたら「出直してきてください。」とやっています。その逆に「個人」であっても、しっかりと読み込んできてくださってる方には門前払いすることはありません。（むしろ共感を覚えます 笑）

前置きが長くなりましたが、この取材を受入れたのは、弊社の記事を「しっかり読んでくれたんだな」「真摯に対応したその姿勢を好意的に評価くれたんだな」と感じたからです。「日経」という肩書も認識はしてましたがそれは決定的な理由ではありません。

【情報漏洩事案】お客様情報の誤表示に関するお詫びとご案内/2025年6月2日

昨今では情報漏洩などが多発しており、多くの企業や組織が障害について情報を公表しない方針をとる中で、貴団体のWebサイトを拝見し、時系列や原因などを丁寧に説明されている姿勢に非常に感銘を受けました。

取材依頼の趣旨と実際の記事の相違点

問題を起こした当事者が言うべきことではないので公には発信してきませんでしたが、書いちゃいます。

弊社のミスはあってはならないことで、誇れることではありませんが、その後の対応の「迅速さ」「透明性」「客観性」はどの業種のどの企業であっても「あるべき姿」としてベースラインにできるはずです。

迅速さ・・・問題を検知した当日にすべてのクライアントおよび関係した個人に対して、お詫び、事象・リスク、問い合わせ窓口等を連絡。各クライアントからの問い合わせに即応。

透明性・・・原因・経緯を包み隠さずに図を含めるなどして非専門家にもわかりやすく説明。（マルチスレッドなど技術寄りの内容は省略）

客観性・・・自社の恣意的な評価でなく、公的機関（個人情報保護委員会）の客観的指標を使って事態の重要度をわかりやすく説明

そういえば、ちょうどこの取材を受けている時に以下のような報道もありました。

前代未聞の報告遅れで楽天モバイルに行政指導

実際、複数のクライアントから「役所とかとの調整で大変だったけど真摯に対応してくれたことに満足している。感謝している。むしろ信頼が増した」と言っていただいています。このエピソードは弊社記事には書いておりませんでしたが、こういったことを書いてくれるのかな？と期待しておりました。（このコメントは、取材時に同席してくださったクライアントの発言要旨です）

ところが、実際に公開された記事では、こういった部分がバッサリ抜けて、枝葉である実装レベルの「マルチテナントがー、データベース接続先がーー、マルチスレッドがーーー」という話になってしまっています。これはこれで現場のエンジニア（日経テック読むかな？）には学びにはなるかもしれませんが、「不具合」は様々な要因で起こりえるので、ここだけフォーカスしてしまえば、「うちのシステムはマルチテナントじゃないし」で終わってしまいます。

お客様から「信頼が増した」と言われるほどの「迅速さ」「透明性」「客観性」については何の言及もないばかりか、、、

『一連の対応は立派といえるものの、一般的に1人での開発は思い違いなどがあっても第三者が指摘する機会がない。体制としては脆弱』

と切り捨てられています。これ誰の教訓になるの？「うちは一人じゃないし」で終わりですよね。記事の内容も薄ければ、考察も浅い・薄い。

クラウドと生成AIで一人でできることがどんだけ増えてるかわかってる？

顧客対応ができて、業務知識もあって、設計から実装までできるって生産性最強だからね。

聞くけど、一人でなければ脆弱じゃないの？ 楽天さんがうけた行政指導についてなんかコメントしてますか？

薄っぺらい一般論はChatGPTで間に合ってるの理解できてますか？

こんなんだからオールド（自主規制）

パパ、怒ってるニャ💦💦💦

これはしょうがないニャ。詐欺的ニャ

記事中でコメントしているコンサルティング会社の宣伝だってば。広告とかセミナー共催とかで利害関係あるのでは？

陰謀論キタ！

まず、深呼吸じゃよ

（取引先が２０社にふえてさらに大きな取引が２件はじまるので来年からエンジニア雇用します。応募してね！！）

付録/ChatGPTの要約・批判的考察と日経の記事比較

元となった弊社の記事をChatGPTで要約＆批判的に考察してもらった結果です。ぜひこの結果と、日経テックさんの記事を比べてください。どちらが学びになりますか？どこぞのCTOなる人のコメントとどちらが参考になりますか？

ChatGPTの所要時間は30秒。日経テックさんの記事は当方が取材対応に費やしただけで5時間以上使ってます。さらに取材に同席してくださったクライアント、日経側の記者さん、デスク、（本当にいたのかしらんけど）技術に詳しいという記者さんの時間を全部足すと20時間は費やしています。

評価は読者のみなさまにお任せいたします。

【ChatGPTへのプロンプト】以下の個人情報漏洩事案に対する記事を要約してください。また対応について評価してください。教訓を引き出してください。建設的に批判してください。結果は、Markdown記法（RAW表示）にしてください。 見出しは レベル3から開始してください。https://nyango.com/2025/06/02/personal-data-incident

事案の概要（要約）

• 発生時期・原因
• 2025年5月30日 午前2時頃、システム改修をリリースした際に不具合が混入。
• マルチテナント対応の実装中に誤った設定があり、複数の地域サイトで顧客情報が混在・表示される状態となった。 (nyango.com)
• 漏えい・誤表示された情報
• メールアドレス、お名前、住所、電話番号、生年月日、利用履歴。
• クレジットカード情報の一部（カード番号下4桁、カードブランド、有効期限）。
• パスワード、カード番号全体、CVCは漏れていないとされている。 (nyango.com)
• 影響範囲
• 新規会員登録完了時に、他地域予約サイトの同一顧客IDに紐づく既存会員情報が閲覧可能になったケース。
• 2025年5月30日～6月2日午後1時までに新規登録された109名と、同IDを持つ既存109名、計218名が影響対象。 (nyango.com)
• 発見・対応までの流れ
• 6月2日午前10時頃、顧客から指摘があり検知。直後に調査開始 → 同日午後1時頃に修正実施。
• 同日午後から影響範囲調査、関係者への通知を実施。6月2日22時前後に影響を受けた顧客へ案内。悪用の報告は現時点でなし。 (nyango.com)
• 再発防止策
• 開発環境をマルチテナント状態にできるよう整備し、類似の不具合を検出可能にする。
• 機密性の高い情報のキー値を各サイト間で一意にする設計に変更し、異常状態が起きても他顧客情報が参照されないようにする。
• 管理体制の見直し、システム強化、関係者教育の徹底を実施予定。 (nyango.com)

対応の評価

良い点

• 迅速な対応：不具合の検知から修正までが比較的速やかで、影響範囲調査や通知も同日中あるいは72時間以内に行われた点は評価に値します。 (nyango.com)
• 被害規模が限定されている：該当した顧客は109名、新規と既存で合計218名（ただし重複で109名とも。発表では109名）と比較的小規模であった点。悪用の報告も現時点ではない点も重要です。 (nyango.com)
• 透明な公開：事案の内容、影響範囲、対応内容を詳細に説明する形での公開がなされている点は、透明性の観点で良好です。 (scan.netsecurity.ne.jp)

改善が望ましい点

• 検知の遅れ：不具合は5月30日午前2時に発生していたが、検知されたのは6月2日午前10時。約2日半、問題が放置されていたことになります。自動アラートやログ監視の体制強化が必要です。
• 開発環境と本番環境の乖離：開発環境がシングルテナント運用であったため、マルチテナントで起こる不具合を事前に検出できず、本番環境でのみ発覚しました。開発と本番の環境を一致させることは基本的な品質保証の一部です。
• キー設計の甘さ：顧客情報に使う識別キーが、テナント間で重複する可能性があり、それが誤表示につながった設計上のミスが明白です。ID設計の段階での検討不足があったといえます。

教訓・今後の改善に向けた提言

1. 開発環境の本番への近似性の確保

• 開発・検証環境においても本番と同様のマルチテナント設定を用意し、リリース前に全シナリオでテストを行うべきです。

1. 自動監視・アラート体制の整備

• データベース異常アクセスや不正なクロステナント閲覧などを検知するログモニタリング・アラートを導入し、問題を早期に発見できるようにすることが重要です。

1. 識別設計の見直し

• 顧客IDなどのキーはテナントをまたがって一意性を持たせ、交差参照やデータ漏れが起こらないよう設計を見直す必要がある。

1. 権限・分離の強化

• 各テナント間でのデータアクセス権の分離を徹底し、誤操作や不具合による横断的なアクセスを制限する仕組みを整える。

1. リスクレビュー・コードレビューの強化

• システム改修時には、変更が各機能・テナントにどう影響するかをリスクレビューし、特に影響範囲が大きい変更は複数担当者によるコードレビューやペアプログラミングを行うべきです。

1. 教育・運用ルールの徹底

• 開発者や運用担当者に対して、マルチテナント構成に特化した開発・運用教育を継続的に行い、注意点を共有すること。

1. 侵害後のフォローアップ

• 今後も影響を受けた顧客からの問い合わせ・苦情がないか継続的にモニタリングし、必要に応じて追加のフォローや説明を行う体制を整える。

総括（建設的な批判）

本件は、攻撃ではなく開発上の不具合に起因したシステム内の情報誤表示という形の「漏えい」事案であり、比較的小規模かつ迅速な是正がなされた点は一定の評価に値します。その一方で、「開発環境の問題」「監視体制の不備」「設計段階での配慮不足」など根本的な開発プロセスの課題が浮き彫りになったとも言えます。透明な報告が行われたことは良いですが、同様のミスを防止するためには、開発→本番へのテストと品質保証を強化し、組織全体としての情報セキュリティ・ガバナンス体制を向上させる必要があります。

まとめ

取材依頼への対応は慎重に (*´▽｀*)

Due to a malfunction in the system modifications implemented at 2:00 a.m. on May 30, 2025, an issue occurred in which other customer information was displayed to customers under certain conditions.

Specifically, when new member registration is completed on regional OTA sites that have implemented the Chipla standard package, customer information with the same customer ID on other sites will be viewable.

The problem affected 106 new customers and existing customers who had signed up at the time the issue occurred.

*This issue and the system malfunction have already been resolved.

Information made available

• email address
• Name
• address
• telephone number
• birthday
• Reservation history

*This varies depending on your registration status and usage.

*There will be no password leaks (Passwords cannot be displayed on My Page. They are stored in a database using irreversible encryption, so even system administrators cannot know about them.)

*Credit card information will not be leaked. It is not stored on the server.

Status

• Date and time of occurrence: Around 2:00 AM on May 30, 2025
• Resolution date and time: June 2, 2025, around 13:00
• This issue is now resolved.
• Affected customers
  • Customers who completed membership registration during the period: 109 people
  • Customers with the same ID as the above member on a certain local site: 109

Requests and responses to customers

New customer with other customer information displayed

Please discard any information that was displayed incorrectly. Also, please refrain from attempting to log in using a known email address, as this is a violation of the Unauthorized Access Prevention Act.

Customers whose information has been made available to other customers

We sincerely apologize for causing concern. We have explained the risks of misuse and how to deal with them.

Consideration of the risk of exploitation

Considering the following, we believe that there is little risk that the information that has been made available will be misused.

However, there is a possibility that it may be used in attacks described below.

• The customer whose information was incorrectly displayed is one person, not an unspecified number of people.
• There will be no leakage of passwords or credit card information.
• It was a system malfunction and was not leaked as a result of a malicious attack.
• Once you are logged out, you will not be able to view the page. ← Forced logout of all customers has been implemented.
• The problem has been fixed.
• Because this is a reservation site, not a product sales site or stock trading site, any damage can be detected and responded to at the time of booking.

Possible attacks and countermeasures

There is no risk that the information made available through the above will be immediately misused.

A possible attack would be a “phishing scam” where the email address you viewed is masquerading as a real reservation site, leading you to a fake site where you are asked to enter important information. The method is as follows:

• Sending emails pretending to be from a booking site
• The subject of the email contains words that make you anxious, such as “urgent” or “action required.”
• Links in emails lead to fake websites
• Fake sites prompt you to enter your passwords and card details

As a workaround, please ignore any emails sent from any other email address than the one listed in the notification.

If you are unsure, please do not click on the link in the email, but instead access the link via web search or bookmarks.

If you are unsure, please log in to your customer page (listed in the email) and change your email address.

Initiatives to prevent recurrence

• Emulate multi-tenant behavior in your development environment
• Change the design so that key values ​​for highly sensitive information such as customer information and reservation information are unique across all sites.

Emulating multi-tenant behavior in development environments

This defect occurred due to a careless modification made while implementing multi-tenancy support. Since it did not reoccur in the development environment, it was released in the production environment.

The reason we didn’t reproduce it in the development environment is because it is running in single-tenant mode. We will prepare the development environment so that we can emulate a multi-tenant state.

Redesign of sensitive information key values

We will change the design so that key values ​​for highly confidential information such as customer information and reservation information are unique across all sites. This will ensure that even in the unlikely event that an unintended state occurs, an error will not occur and other customers’ information will not be viewable.

lastly

We are very sorry for this serious incident in which your important personal information was mistakenly displayed to a third party. We sincerely apologize for
the inconvenience and concern this has caused you.

We take this incident very seriously and will endeavor to prevent a recurrence by reviewing our management system, strengthening our systems, and providing thorough education. We will continue
to work on further strengthening our information management system so that we can continue to earn your continued trust.

Contact for this matter

If you have any questions or inquiries, please contact us at the details below.

Customer Support

概要

2025年5月30日午前2時に実施したシステム改修の不具合により、特定の条件下で、お客様に他のお客様情報が表示される情報漏洩事案を発生させてしまいました。（外部からの攻撃や不正アクセスによるものではありません）

具体的には、ちいプラ標準パッケージを導入してくださっている各地域様の予約サイトで、新規会員登録完了時に、他予約サイト（下図の地域A）の同一顧客IDを持つお客様情報が閲覧可能になるというものでした。

不具合がある時期（日本時間の2025年5月30日午前2時～2025年6月2日午後1時）に新規会員登録されたお客様と他予約サイト(下図の地域A）の既存のお客様のそれぞれ109名様に影響がありました。関連するお客様には、2025年6月2日22時前後にご案内させて頂きました。（メール送信エラーになった件数は０件です）

＜追記＞2025年6月6日午前9:30現在（お客様へのご案内から72時間以上が経過）、本件に関するお客様からの問い合わせ・苦情・要望は０件となっています。各地域様の窓口も同様（０件）です。悪用された事例も確認されておりません。

＜追記＞2025年6月7日午前10:00現在、本件に関するお客様からの問い合わせ・苦情・要望等は０件です。各地域様の窓口も同様（０件）です。悪用された事例も確認されておりません。

※本事象とシステムの不具合は、すでに解消されており、同様の事象が発生しないための再発防止対策も実施済です。後述しています。

※専用サーバーを利用している「日本秘湯を守る会」様を除く全ての地域OTAサイトが対象となります

このたびは、お客様の個人情報が第三者に表示されるという重大な事案を発生させてしまい、誠に申し訳ございませんでした。
ご迷惑、ご心配をおかけしましたこと、心よりお詫び申し上げます。今回の事象を重く受け止め、再発防止に向けた管理体制の見直し・システムの強化および教育徹底など再発防止に努めてまいります。

誤って閲覧可能となった情報/漏洩情報

• メールアドレス
• お名前
• お住まいの国
• 住所
• 電話番号
• 生年月日
• 利用履歴
• クレジットカード情報の一部 ※悪用できる情報ではございません
  • カード番号の下４桁
  • カードブランド
  • 有効期限

※お客様の登録状況・利用状況により異なります。必ず登録されている情報は「メールアドレス」のみとなります。本登録が完了しているお客様の場合は「お名前」も含まれます。

※パスワードの漏洩はありません（マイページでは表示できません。データベースには不可逆暗号化して保持しておりシステム管理者であっても把握できません）

※クレジットカード情報が登録されていた場合、以下のように表示されます。カード番号全体、CVCはサーバーには保持しておりませんので漏洩は100%ございません。

対応状況

• 発生日時：2025年5月30日午前2時頃
• 解決日時：2025年6月2日13時頃
• 現在は解決済み
• 影響のあったお客様
  • 当該期間中に会員登録を完了したお客様：109名
  • ある地域サイトで上記の会員と同じIDを持つお客様：109名

お客様へのお願いとご対応

他のお客様情報が表示された新規ご登録のお客様

誤った情報を表示してしまい申し訳ありませんでした。重ねてお手数をおかけして恐れ入りますが、誤表示された情報は破棄していただけるようお願いいたします。

なお、表示されたメールアドレスを利用してログインを試みることは、不正アクセス防止法違反となりますので、お控えいただけるようお願い申し上げます。

他のお客様から情報閲覧が可能となったお客様

ご心配をおかけしてしまい誠に申し訳ありません。悪用されるリスクと対処方法について記載いたしました。

悪用されるリスクについての考察

以下を踏まえると閲覧可能となった情報が悪用されるリスクは大きくはないと考えられます。ただし、後述したような攻撃に利用される可能性がございます。

• 情報が誤表示されたお客様は不特定多数ではなく１名となります。
• パスワード・クレジットカード情報の漏洩はございません
• （システム側の不具合であり）悪意のある攻撃により漏洩したものではございません
• いったんログアウト状態になると閲覧はできません。← 全顧客の強制ログアウト対処済
• 物販サイトや株式売買サイトではなく、予約サイトであるため予約時点で不正取引を検知して対応できます。この時点で金銭的リスクはありません。

発生しうる攻撃と対処方法について

考えられる攻撃としては、閲覧したメールアドレスに実在の予約サイトを騙って偽サイトに誘導して、そこで重要情報を入力させる「フィッシング詐欺」となります。

その手口は以下となります。

• 予約サイトを騙ったメールを送信する
• メールの件名には「重要」「緊急」「30％割引」などといった文言が含まれる
• メール内リンクから偽サイトに誘導する
• 偽サイトでパスワードやカード情報の入力を促す

対処としては、お知らせに記載したメールアドレス以外からのお知らせは無視していただけるようお願いいたします。

判断しかねる場合は、メール内のリンクはクリックせず、Web検索やブックマークからアクセスしていただけるようお願いいたします。

また、ご不安な場合は、お客様マイページ（メールに記載しております）にログインして、メールアドレスを変更していただければと思います。

再発防止に向けた取り組み

• Defaultデータベースをダミーデータベースとします
• 開発環境でマルチテナント動作をエミューレ―ションします
• 顧客情報、予約情報など機密性の高い情報のキー値は、全サイトを通じて一意になるように設計を変更します

Defaultデータベースをダミーデータベースとします。

Defaultデータベースを地域Aに割り当てていたため、意図せず「データベース接続先情報がリセット」された時に地域Aにアクセスしてしまっておりました。割り当てを変更して新たに用意したダミーのデータベース（顧客データ、予約データ等が空）を割り当てます。これによって本件の「データベース接続先情報がリセット」が万が一発生しても本事象は発生しなくなります。（2025年6月4日21時に実施済）

※リセット発生時は、エラーになり処理が中断するため問題を即時に検知できるという効果もあります。今回、問題の発見が遅くなった（2日弱）のは、一見、正常動作しているためでした。

開発環境でマルチテナント動作をエミューレ―ションする

今回の不具合は、マルチテナント化（※）対応を行う中で不用意に実施した改修により発生しました。開発環境では再現しないものだったため本番環境にリリースしていました。開発環境で再現しなかった理由は、シングルテナントで動作しているためです。マルチテナント状態をエミュレーションできるように開発環境を整えます。

（※）全地域を同一基盤上で実行することでシステムの実行効率を大幅に向上させることができます。

機密性高い情報のキー値の設計変更

顧客情報、予約情報など機密性の高い情報のキー値は、全サイトを通じて一意になるように設計を変更します。これにより万が一、意図しない状態になってもエラーとなり他のお客様の情報が閲覧可能になることはありません。（対応期限：２０２５年６月２０日）

最後に

このたびは、お客様の大切な個人情報が第三者に誤って表示されるという重大な事案を発生させてしまい、誠に申し訳ございませんでした。
お客様にご迷惑、ご心配をおかけしましたこと、心よりお詫び申し上げます。

今回の事象を重く受け止め、再発防止に向けた管理体制の見直し・システムの強化および教育徹底など再発防止に努めてまいります。
今後とも変わらぬご信頼をいただけるよう、一層の情報管理体制の強化に取り組んでまいります。

本件に関するお問い合わせ先

ご不明点やご相談がございましたら、下記までお問い合わせくださいますようお願いいたします。

お問い合わせフォーム： こちらからお問い合わせください。

カスタマーサポート窓口

Appendix/個人情報保護委員会への報告

個人情報保護委員会は、個人情報保護法及びマイナンバー法に基づき設置・運営されている国の機関です。

• 個人情報保護委員会について
• 漏えい等の対応とお役立ち資料
• 漏えい等報告・本人への通知の義務化について

本件は「報告義務」要件となる「４つの重大な判定基準」には該当しませんでしたが「任意報告」いたしました。報告内容は、本ページに掲載した情報およびお客様にご案内したものと同等となります。

漏えい等事案報告フォーム

報告義務要件について

第1号(要配慮個人情報)

該当しません。

要配慮個人情報とは

• 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実
• その他政令で定めるもの
  ** 身体障害、知的障害、精神障害等の障害があること、
  ** 健康診断その他の検査の結果、保健指導、診療・調剤情報、
  ** 本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと
  ** 本人を非行少年又はその疑いがある者として、保護処分等の少年の保護事件に関する手続が行われたこと

第2号 (財産的被害 )

該当しません。

第3号(不正の目的)

不正アクセスではなく、システム不具合であるため該当しません。

第4号 (千人超 )

情報漏洩したお客様は、１０９名ですので該当しません。

※民間事業者の場合は、1000名、行政機関の場合は100名となっています。3セク・一般社団法人は「民間」扱いとなります。