JR九州は2019年4月12日(金)に、同社が運営する通販サイト「ななつ星Gallery」で、外部からの不正アクセスがあり、購入者のクレジットカード情報を含む、個人情報が流出したと公表しました。

流出した期間は、同サイトが開設していた全期間となる2013年10月5日(土)から2019年3月11日(月)までです。流出した可能性の高い個人情報は、最大で3,086件2,816人分のクレジットカード情報を含む7,966人分としています。流出した情報は、「カード番号」、「有効期限」、「セキュリティコード」に加え、「氏名」、「住所」、「郵便番号」、「電話番号」、「FAX番号」、「性別」、「生年月日」、「メールアドレス」、「職業」、暗号化処理済みの「パスワード」と「秘密の質問の答え」で、流出の可能性が高いとしています。

2019年3月11日(月)15時頃、決済代行会社からJR九州に対し、流失している懸念の連絡により、流出の可能性が発覚しました。その後、サイトを保守・管理を委託しているシステム会社に依頼し、同日直ちにサイトを閉鎖しています。あわせて速やかに第三者調査機関となる「P.C.F. FRONTEO」に調査を依頼するとともに、決済代行会社を通じ、クレジットカード会社に対し、クレジットカード取引の不正利用を監視する「モニタリング」の強化を依頼しています。

3月28日(木)に「P.C.F. FRONTEO」から調査報告書が提出され、サイト開設期間のすべての利用者の個人情報が流出したことが確認されました。同日中にJR九州は、個人情報保護委員会、九州運輸局、福岡県警察本部に報告を行い、決済代行会社、クレジットカード会社とも報告書の内容を共有しています。その後、決済代行会社、クレジットカード会社と協議し、対応体制を構築したうえで、内容発表を行いました。

JR九州は、個人情報が流出した可能性のある利用客に対してはメールおよび郵便で、お詫びと経緯について書面を送付したほか、クレジットカード会社と連携し、流出した可能性のあるクレジットカードの「モニタリング」の強化を継続し、不正利用の防止に努めるとしています。また、電話およびメールによる問合せ窓口を設けています。