大阪マラソン組織委員会 設定ミスでボランティア個人情報漏えい 2026年3月 | セキュリティ事件簿#2026-150

 

公表日：2026年3月25日

組織：大阪マラソン組織委員会事務局

原因：システム閉鎖作業時の認証機能オフ（設定ミス）

攻撃手法：誤設定による情報公開（内部ミス）

影響範囲：ボランティア4,101名の情報（氏名・所属等3,477名、連絡先含む18名）

深刻度：中（個人情報漏えい・二次被害は未確認）

分類：設定ミス / 委託先運用ミス

本件は、システム閉鎖時の設定ミスにより認証が解除され、ボランティア参加者間で個人情報が閲覧可能となった情報漏えい事案である。

事件概要

大阪マラソン組織委員会事務局は2026年3月、ボランティア登録情報システムにおいて設定ミスにより個人情報が閲覧可能な状態となり、情報漏えいが発生したと発表した。

同システムでは、閉鎖作業中に認証機能がオフとなったことで、他の参加者の情報にアクセスできる状態が生じていた。

影響として、ボランティア4,101名のうち最大で氏名や所属団体名、連絡先情報などが閲覧可能となっていた。

同委員会は対象者への連絡と謝罪を行うとともに、再発防止策として委託事業者への管理体制強化の指示などを実施している。

本記事では、同委員会が公表した公式リリースをもとに発表内容を整理して掲載する。

分析

今回の事案では、システムの閉鎖作業中に認証機能が無効化されたことで、利用者間で個人情報が閲覧可能となった点が特徴である。

一般的にこうした事案は、設定変更や運用手順の不備によりアクセス制御が適切に機能しなくなるケースとして発生することがある。

また、委託事業者やシステム構築会社が関与する場合、作業手順や確認体制の不足が影響することも多い。

通常はログ確認や影響範囲の特定を行い、対象者への通知や再発防止策の実施が進められる。

今回の発表からは、システム運用終了時の管理手順とチェック体制の重要性が示された事案と考えられる。

この事件からわかること

今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。

• システムの終了や変更時にもアクセス制御の確認が重要となる
  運用停止や閉鎖作業の過程で設定変更が行われるため、通常時とは異なるリスクが発生することがある。
  
  
• 委託先を含めた管理体制の整備が求められる
  外部事業者が関与する場合、作業手順や責任分担を明確にし、複数人での確認体制を整えることが一般的である。
  
  
• 情報漏えいは利用者間でも発生し得る
  外部攻撃だけでなく、同一サービス利用者間で情報が閲覧可能となるケースもある。
  
  
• インシデント発覚後の迅速な通知と対応が重要となる
  対象者への連絡や問い合わせ窓口の設置など、利用者対応が早期に行われることが求められる。

関連事件

• 小林クリエイト プログラム不具合でシステム障害　2026年3月 | セキュリティ事件簿#2026-134
  
  
• 合同会社coastline 設定不備で顧客情報流出　2026年3月 | セキュリティ事件簿#2026-118
  
  
• 金原出版株式会社 設定ミスでメールアドレス漏えいの可能性　2026年3月 | セキュリティ事件簿#2026-112
  
  
• 【セキュリティ事件簿#2025-574】ふるさと島根定住財団　財団「企業管理システム」における個人情報の漏えいについて　2025/12/23

公式発表（アーカイブ）

2026 年 3 月 25 日リリース分：個人情報漏えいについて

大阪マラソン2026のボランティア登録情報システムにおいて、保有する個人情報が一定期間他のボランティア参加者にも閲覧可能な状態になっており、個人情報が漏えいしたことが判明しました。

なお、現時点においては、本件に起因する個人情報の不正利用といった二次被害の発生は確認されていません。

このような事態を招いたことを深くお詫びいたしますとともに、今後、再発防止に取り組んでまいります。

１. 閲覧可能となっていた個人情報　

　インターネットからボランティア参加登録をされた4,101人のうち、以下の情報

　氏名、所属団体名が掲載されたページの閲覧：3,477名

　氏名、所属団体名、携帯電話番号、メールアドレスが掲載されたページの閲覧：18名

２. 閲覧可能となっていた期間　

　令和８年3月16日（月）から3月18日（水）（3日間）

　※ボランティア参加者のみにお知らせした専用URLから閲覧可能　

３．事案の経緯

　令和８年3月18日（水曜日）

　・システムを利用したボランティア参加者から委託事業者へ、他のボランティア参加者の個人情報が

　　閲覧できる状態となっていることの連絡があった。

　・委託事業者が連絡のあった事象を確認した後、システム構築会社に対し、システムに

　　登録されているボランティア参加登録情報を非公開とするよう指示した。

　令和８年３月19日（木曜日）

　・委託事業者が組織委員会事務局へ本事案を報告した。

　令和８年３月21日（土曜日）

・委託事業者が、システムに登録されていたボランティア参加者4,101名に対し、

　電子メールで経緯の説明と謝罪を行うとともに、問合せの専用窓口を設置しその旨案内した。

４．原因　

　大阪マラソン2026の終了に伴い、委託事業者から指示を受けたシステム構築会社が、

　システムの閉鎖作業を行う前に、誤ってシステムの個人認証機能をオフにしたため、

　システム利用者が、通常は個人認証によりアクセスが不可能な他のボランティアの個人情報を

　閲覧できる状況が発生した。

５．再発防止策

　・組織委員会から委託事業者に対し、個人情報の適正な管理について再点検を行うとともに、

　　社員への個人情報に関する研修の実施や、マニュアルの順守、責任者による2段階チェック体制を

　　構築することを指示するよう指導を行った。

　・組織委員会事務局職員に対し、本事案を周知し、個人情報を取り扱う他の業務において

　　同様の事案が発生しないよう注意喚起を行った。

６．本件に関するお問い合わせ窓口

　株式会社JTB 西日本MICE事業部 大阪マラソン担当

　メールアドレス：vo-osaka-marathon@bsec.jp

　電話番号：06-6120-1233

　受付時間： 9:30～17:30

リリース文（アーカイブ）

セキュリティインシデント（事件簿）総合ページへ