日本航空(JAL)は2026年2月17日、「手荷物当日配送サービス」の予約システムで発生した不正アクセスについて、当初発表していた第三者によるものではなく、実際にはJALグループ外の委託先社員が誤操作でデータを消去した上、発覚を免れようとログを改ざんしていたと明らかにした。JALは日経クロステックの取材に対し、委託先社員に対する権限の付与や棚卸しなどの管理が不十分であったと認めている。
問題の起きた手荷物当日配送サービスは、乗客がJALグループの国内線を利用する際、出発空港で手荷物を預ければ、そのまま到着空港の近隣都市の指定ホテルへ配送するものだ。
JALは2月10日、同サービスの予約システムが正常に利用できなくなっているほか、システム運用部門の調査で「第三者による不正アクセスの痕跡が確認された」と公表。2024年7月10日以降に同サービスを利用した最大約2万8000人の個人情報について、漏洩の有無を調査中だとしていた。
作業中にデータ誤消去、予約システムが正常稼働不能に
しかし、外部専門機関による調査の結果、外部からの不正アクセスではなかったと判明した。実際にはシステムの保守を担う委託先社員が、作業中に誤ってデータを消去していた。これにより予約システムが正常に稼働しなくなっていた。
この委託先社員は自らの誤操作が発覚するのを恐れ、手荷物システムへのアクセスログからデータの誤消去に関係する記録を削除・変更していた。
顧客情報の漏洩については、実際には「外部専門機関による詳細な操作ログ復元などの調査の結果、なかったことを確認している」(広報)と説明している。
