データセキュリティインシデント（更新版リリース）

オランダ、ユトレヒト、2026年2月13日

2026年2月13日更新：Eurail B.V. は、以前報告したセキュリティインシデントの影響を受けた特定の顧客データがダークウェブ上で販売され、サンプルデータセットが Telegram で公開されていることを確認しました。その範囲と影響について引き続き調査中です。

誠に遺憾ながら、Eurail BV のシステム内でセキュリティ侵害が発生し、顧客データへの不正アクセスが発生しました。発覚後、弊社は直ちにシステムの保護に取り掛かり、外部のサイバーセキュリティ専門家や法律顧問の支援を受けて調査を開始しました。弊社はこの問題を非常に深刻に受け止めており、現在、このインシデントの全容と、欧州委員会の DiscoverEU 活動の参加者を含む顧客への潜在的な影響を判断するために徹底的な調査を行っています。

弊社は、当該データがダークウェブ上で販売されており、サンプルデータセットが Telegram で公開されていることが判明しました。現在、これがどの特定のデータレコードに関係しているか、または影響を受ける顧客の何人に影響しているかを調査中です。

調査は外部のサイバーセキュリティ専門家と法律顧問の支援を受けて現在も継続中です。弊社の初期調査では、アクセスされたデータには、基本的な身元情報や連絡先の詳細を含む、顧客の注文および予約情報、さらに該当する場合は旅行同伴者に関する情報も含まれる可能性があることが示唆されています。提供されている場合は、パスポート番号、発行国、有効期限などのパスポート情報も含まれる場合があります。これらの情報は、チケット検札係がパスホルダーの身元を確認するために使用されます。標準的な手順として、Eurail B.V. からパスを購入された場合、銀行やクレジットカードの情報、またはパスポートの画像コピーは弊社に保管されません。DiscoverEU プログラムの一環としてパスを受領されたお客様は、こちらの声明をご参照ください。

現在進行中の調査では、関係する個人データの正確なカテゴリーに関する詳細な情報を提供する必要があります。調査の結果、アクセスされたデータの一部もデータベースからコピーされたことが判明しました。前述のとおり、一部のデータはダークウェブで販売されており、サンプルデータセットは Telegram で公開されています。しかし現時点では、どの具体的なデータに関するものかの情報は提供されていません。外部のサイバーセキュリティ専門家が引き続きダークウェブフォーラムを継続的に監視し続けます。

本インシデントは、欧州連合（EU）の GDPR 要件に従ってデータ保護機関に報告されており、現在（法律で義務付けられているとおり）EU 外の他のすべての関連データ保護当局に通知中です。

弊社が連絡先情報を入手できる場合、データがアクセスされ、公開された可能性があるお客様には直接通知されます。お客様への潜在的な悪影響を防ぎ、軽減することが弊社の最優先事項です。電話、電子メール、テキストメッセージなど、個人情報を要求する疑わしい通信やまたは予期しない通信には、常に注意を払うことをお勧めします。弊社が一方的な連絡を通じて機密情報を要求することはありません。予防措置として、お客様には Rail Planner アプリのパスワードを更新し、電子メール、ソーシャルメディア、銀行口座にリンクされているパスワードの変更を検討することをお勧めします。また、お客様は銀行口座の異常な取引を監視し、懸念事項があれば直ちに銀行に報告する必要があります。お客様が自身を守るために実行できる推奨手順に関する詳細なガイダンスは、ユーレイルのカスタマーサポートセンターから入手できます。

弊社はお客様の情報のセキュリティを真剣に受け止めており、今回の件でご心配をおかけしたことをお詫び申し上げます。

お客様からのご質問については、ユーレイルのカスタマーサポートセンターでご利用いただけるよくある質問をご参照いただくか、privacyhelp@eurail.comまでお問い合わせください。

2026年2月13日更新