JR九州は4月12日、豪華寝台列車『ななつ星in九州』関連商品の通販サイト「ななつ星Gallery」で、クレジットカードなどの個人情報が流出していたことを明らかにした。
カード情報の登録がある会員2816人、カード情報のない会員最大3148人などを含む最大7996人分の情報が、サイトが開設された2013年10月5日から第三者の攻撃による不正アクセスにより流出していたとしており、基本的な会員情報のほかに、カード番号・有効期限・セキュリティコード・パスワードなども流出したという。
これを受けてJR九州では、決済代行会社からカード情報の流出懸念が伝えられた3月11日にサイトを閉鎖。第三者機関(P.C.F. FRONTEO株式会社)へ調査を、カード会社に対しては取引のモニタリング強化を依頼した。
また、情報が流出した可能性のある顧客に対しては、4月12日からメールまたは郵便でお詫びと経緯についての書面を送付。カードの再発行手数料が顧客の負担とならないよう、カード会社へ依頼した。
JR九州では「ななつ星Gallery」の再開は未定としており、「このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、今後二度と同様の事態を発生させることがないよう、再発防止策の構築並びにお客さま情報保護体制の一層の強化に取り組んでまいります」としている。
なお、『ななつ星in九州』の車内で利用したカードの情報はシステムが異なるため、流出などの事実は確認されていないという。