Perusahaan Energi Jepang Kehilangan Hard Disk Berisi Data 10,9 Juta Pelanggan
Perusahaan penyedia tenaga listrik regional terkemuka di Jepang, Kyushu Electric Power Co., Inc., resmi mengumumkan insiden pelanggaran keamanan fisik (physical security incident) yang sangat serius. Sebuah perangkat keras penyimpanan eksternal (hard disk) yang memuat data pribadi milik lebih dari 10 juta pelanggan dilaporkan hilang dari ruang peladen (server room) perusahaan.
Kyushu Electric merupakan salah satu raksasa utilitas listrik utama yang menyuplai daya ke seluruh wilayah Kyushu, mencakup tujuh prefektur besar termasuk Fukuoka, Saga, Nagasaki, Kumamoto, Oita, Miyazaki, dan Kagoshima. Dengan total populasi wilayah mencapai 12,6 juta jiwa, insiden hilangnya data yang berdampak pada 10,9 juta akun ini praktis melanda hampir seluruh basis pelanggan mereka.
Kronologi Kelalaian di Ruang Peladen Utama
Berdasarkan rilis kronologi resmi dari pihak manajemen, insiden ini berawal dari aktivitas pencadangan (backup) data rutin yang dilakukan oleh tim TI perusahaan untuk mengosongkan kapasitas penyimpanan server lokal.
- 27 April: Karena keterbatasan ruang penyimpanan internal, tim TI memindahkan salinan data cadangan tersebut ke dalam sebuah perangkat keras penyimpanan eksternal (external hard disk). Driver tersebut kemudian disimpan di dalam lemari kabinet khusus di dalam ruang server yang diklaim dilindungi oleh lapisan keamanan fisik berlapis.
- 26 Mei: Saat petugas TI hendak mengambil kembali perangkat tersebut sebulan kemudian, mereka terkejut menemukan pintu kabinet penyimpanan dalam kondisi tidak terkunci, dan hard disk di dalamnya telah raib.
Pihak perusahaan telah melakukan proses wawancara mendalam kepada seluruh personel yang tercatat memiliki akses masuk ke ruang server tersebut serta melakukan penyisiran menyeluruh di area gedung, namun hard disk tersebut tetap tidak ditemukan.
Jenis Informasi yang Hilang
Kyushu Electric mengonfirmasi bahwa dokumen cadangan di dalam hard disk tersebut memuat rincian data pelanggan yang sangat ekstensif. Data yang terekspos meliputi:
- Nama lengkap pelanggan.
- Alamat lengkap lokasi penyusutan/layanan listrik.
- Riwayat data penggunaan volume listrik.
- Nomor telepon aktif.
- Nama-nama perusahaan penyedia listrik ritel terafiliasi.
Kabar baiknya, pihak perusahaan menegaskan bahwa tidak ada informasi rekening bank maupun data kartu kredit pelanggan yang disimpan di dalam perangkat yang hilang tersebut. Mereka juga berjanji akan mengirimkan surat pemberitahuan resmi secara individual kepada setiap konsumen yang terdampak dalam waktu dekat.
Penyelidikan Polisi dan Tenggat Waktu dari Pemerintah
Media penyiaran publik Jepang, NHK, melaporkan bahwa terdapat 57 orang staf yang terverifikasi memiliki hak akses resmi untuk masuk ke dalam ruang server sensitif tersebut sepanjang periode kehilangan. Akibat kuatnya dugaan adanya keterlibatan orang dalam (insider threat) atau pencurian dengan sengaja, Kyushu Electric telah resmi mengajukan laporan pidana ke pihak kepolisian setempat pada tanggal 4 Juni.
| Lembaga Pengawas | Tindakan & Instruksi Hukum |
| Kepolisian Jepang | Melakukan investigasi kriminal atas dugaan pemindahan atau pencurian perangkat tanpa izin dari area obyek vital. |
| Kementerian Ekonomi, Perdagangan, dan Industri (METI) | Memberikan tenggat waktu ketat kepada Kyushu Electric hingga 8 Juli untuk menyerahkan laporan forensik menyeluruh serta rincian rencana pencegahan agar kasus serupa tidak terulang. |
| Komisi Perlindungan Informasi Pribadi (PIPC) | Menerima laporan dan memantau potensi sanksi administratif terkait kepatuhan undang-undang perlindungan data pribadi Jepang. |
Kasus ini menjadi pukulan telak bagi tata kelola keamanan fisik perusahaan infrastruktur penting di Jepang, sekaligus menjadi pengingat bahwa perlindungan data siber tidak akan berguna jika proteksi fisik terhadap perangkat keras penyimpanan cadangan diabaikan.
Sumber: Kyushu Electric Power Co. Official Bulletin & NHK News Japan
