大阪マラソンのボランティア4101人の電話番号・メールが2日間「丸見え」になっていた
大阪マラソン2026のボランティア管理システムで認証機能が誤って解除され、4101人の氏名・電話番号・メールが閲覧可能に。経緯と対応を整理
ニュース
kkm
Backend Engineer / AWS / Django
大阪マラソン2026のボランティア管理システムで、登録者4101人の個人情報が他のユーザーから閲覧できる状態になっていました。原因は、システムの閉鎖作業中に認証機能が誤って解除されたことです。3月16日から18日までの2日間、氏名・携帯電話番号・メールアドレスなどが外部から見える状態でした。
4101人の電話番号とメールアドレスが他人から見える状態だった
漏洩した個人情報は、大阪マラソン2026のボランティアとして登録した4101人分です。対象となった項目は、氏名、所属団体名、携帯電話番号、メールアドレスの4つです。
大阪市の発表によると、実際にデータが閲覧された範囲は以下のとおりです。
| 閲覧された範囲 | 対象人数 | 閲覧された項目 |
|---|---|---|
| 氏名・団体名のみ | 3,477人 | 氏名、所属団体名 |
| 全項目 | 18人 | 氏名、所属団体名、 携帯電話番号、メールアドレス |
「閲覧可能な状態にあった」人数は4101人ですが、実際に他のユーザーに閲覧されたのは3495人分です。ただし、閲覧したのが悪意ある第三者なのか、たまたまアクセスした一般のボランティアなのかは区別がつきません。
なぜ認証が外れたのか
大阪マラソン2026は3月上旬に開催を終えており、大会後にボランティア管理システムの閉鎖作業が行われていました。
問題が起きたのは3月16日です。システム構築会社が閉鎖作業の一環として、システムの個人認証機能を解除する設定を行いました。本来は認証を維持したままシステムを閉鎖すべきところを、閉鎖の前に認証だけを先に外してしまったのです。
この結果、システムにログインしたボランティア登録者が、本来は自分の情報しか見られないはずの画面から、他の登録者の個人情報も閲覧できる状態になりました。
3月18日、あるボランティア登録者が「他人の個人情報が見える」と委託事業者に連絡。委託事業者が事実を確認し、同日17時19分にシステム構築会社へ即時閉鎖を指示して作業が完了しました。発生から閉鎖まで約2日間です。
関係者の構造は、大阪マラソン組織委員会(大阪府・大阪市・公益財団法人大阪陸上競技協会等で構成)が委託事業者にシステム運用を委託し、その委託事業者がさらにシステム構築会社に発注するという多層構造でした。実際にミスが起きたのはこの末端のシステム構築会社です。委託事業者名・システム構築会社名は公表されていません。
ボランティアはどう対応すればいいのか
大阪マラソン組織委員会は3月21日、対象の4101人全員にメールで通知と謝罪を行いました。専用の問い合わせ窓口も開設されています。
大阪市の発表時点(3月25日)では、二次被害(漏洩した情報を使った詐欺やなりすましなど)は確認されていません。
ただし、携帯電話番号とメールアドレスが漏洩した18人については、今後フィッシングメールや不審な電話が届く可能性があります。心当たりのない連絡には注意が必要です。問い合わせ先は大阪マラソンコールセンター(072-886-8930、平日10:00〜17:00)またはメール(support@osaka-marathon.com)です。
行政イベントの個人情報漏洩は繰り返されている
今回のような「システム閉鎖・移行時の設定ミスによる情報漏洩」は珍しいケースではありません。作業手順のミス、多層委託による責任の曖昧さ、チェック体制の不備が重なって発生するパターンです。
大阪市は再発防止策として、個人情報管理の再点検、職員研修の強化、マニュアル順守の徹底、そして責任者による二段階チェック体制の構築をシステム構築会社に指導したとしています。
ボランティアは善意で参加しています。その個人情報が、閉鎖作業の手順ミスひとつで丸見えになってしまう。委託先の委託先で起きたミスの責任を誰が取るのか、という問題は今回に限った話ではありません。