宿泊施設を運営する東急グループ「東急リゾーツ&ステイ」社が、顧客9万5986名分の個人情報を含むファイルをメールで誤送信した。
この事故は2026年3月25日午前0時40分頃に発生しており、同社社員が社内関連部署に送る予定だったメールを、委託先の協力会社に勤める従業員1名に誤って送信してしまったという。
添付されたファイルには、2025年4月1日から2026年1月31日までの間に「東急ステイ大阪本町」、「東急ステイメルキュール大阪なんば」、「東急ステイ渋谷」に宿泊した顧客の氏名、勤務先、予約番号、利用施設名、部屋タイプ、到着日、出発日が記録されていた。
一方でクレジットカード番号、銀行口座情報といったより機密性の高い項目は含まれていなかったとのこと。
同社社員は同日午後2時頃に誤送信に気づき、即座に協力会社側に連絡して謝罪。
メール本文と添付ファイルの完全な削除を要請した。
協力会社からは削除完了の報告を受け取っており、現時点で情報が不正利用されたり二次被害が発生したりした事実は確認されていないとされている。
事故の根本原因は、メール送信時の宛先確認が不徹底だったことにある。
同社は再発防止策として、個人データを扱う社外送信業務においてMicrosoft Outlook(一般的なメールクライアントソフト)の使用を禁止し、代わりにMicrosoft Teams(Microsoftが提供する社内コミュニケーション・ファイル共有ツール)への運用限定を決定。
また、全従業員に対する情報セキュリティーと個人情報保護に関する定期教育を強化する方針を示した。
また、影響対象となった顧客9万5986名に対しては、個別連絡の実施は明記されていないものの、同社は公式ウェブサイト上で2026年4月3日に詳細な謝罪と通知をPDF形式で公開。
この中で、事故の経緯、影響範囲、対応状況を説明し、不安解消を図っており、問い合わせ窓口を設置して個別対応する体制を整えている。