_edited.png&w=3840&q=75){kind=small}
メール誤送信メール誤送信ヒューマンエラー個人情報漏洩ホテル業界
東急リゾーツ&ステイ、メール誤送信で約9.6万名分の宿泊者情報が漏洩
東急リゾーツ&ステイ株式会社
影響規模:95,986名分の宿泊者情報
インシデントの概要
2026年4月3日、東急リゾーツ&ステイ株式会社は、3月25日に発生したメール誤送信による個人情報漏洩を公表しました。
事実関係
| 項目 | 内容 |
|---|---|
| 発生日 | 2026年3月25日 |
| 原因 | 社員が社内関連部署宛のメールを誤って協力会社の従業員1名に送信 |
| 対象施設 | 東急ステイ大阪本町、東急ステイメルキュール大阪なんば、東急ステイ渋谷 |
| 対象期間 | 2025年4月1日〜2026年1月31日の宿泊者 |
| 影響人数 | 95,986名 |
漏洩した情報
- 宿泊者の氏名
- 勤務先(一部のみ)
- 予約番号、施設名、部屋タイプ、到着日、出発日
住所、生年月日、連絡先、クレジットカード番号、口座情報は含まれていません。
対応状況
- 誤送信当日に誤送信先へ謝罪し、メールおよび添付ファイルの削除を依頼
- 削除完了の報告を受領済み
- 現時点で情報の不正利用等の被害は確認されていない
なぜこのインシデントが起きたのか ー 原因分析
本件はヒューマンエラー(人為的ミス)が原因の典型的な情報漏洩です。
推定される直接原因
- メールの宛先誤入力: メールソフトのオートコンプリート機能により、意図しない宛先が選択された可能性
- 大容量CSVファイルの直接添付: 約9.6万名分のデータを含むCSVファイルが暗号化やパスワード保護なしで添付された可能性
- 送信前確認プロセスの欠如: 大量の個人情報を含むメール送信時の承認フローが設定されていなかった
企業が導入すべき再発防止策
1. メール誤送信防止ツールの導入
送信前に宛先・添付ファイルの確認画面を表示し、承認がなければ送信できない仕組みを導入しましょう。多くの企業向けメールセキュリティツールにこの機能が含まれています。
2. DLP(データ損失防止)ポリシーの設定
一定件数以上の個人情報(例:100件以上)を含むファイルの社外メール添付を自動的にブロックするDLPルールを設定しましょう。
3. ファイル共有方法の見直し
大量の個人情報を含むデータのやり取りは、メール添付ではなく、アクセスログが残るセキュアなファイル共有サービス(アクセス期限・パスワード付き)を使用すべきです。
4. 従業員教育の徹底
東急リゾーツ&ステイ自身も再発防止策として「社外と連絡可能なメールツールの社内利用制限」と「情報セキュリティ教育の徹底」を挙げています。形式的な研修ではなく、実際のインシデント事例を題材にした実践的なトレーニングが効果的です。