2025年5月30日に行われたシステム改修に起因し、旅行予約サイト「ちいプラ」を利用する一部ユーザーにおいて、他の利用者の個人情報が誤って表示される事案が発生していたことが明らかになった。
運営の「NYANGO（ニャンゴ）」社によると、これは外部からの攻撃や不正アクセスによるものではなく、システム改修に伴う内部の不具合が原因だという。

問題が発生したのは、ちいプラ標準パッケージを導入している複数の地域予約サイトにおいて、新規会員登録を完了した際に、他地域（地域A）に同一顧客IDを持つ既存会員の情報が表示されてしまうというもの。
影響があった期間は2025年5月30日午前2時から6月2日午後1時まで。
対象となったのは、新規会員登録を行った109名と、同一IDを持つ他地域の既存会員109名の計218名とされている。
表示された可能性がある情報は以下の通り（登録状況により異なる）：

◆メールアドレス（全件）
氏名
居住国・住所
電話番号
生年月日
利用履歴
クレジットカード情報の一部（下4桁、ブランド名、有効期限）

◆発覚から対応までの経緯
2025年5月30日 午前2時 システム改修により不具合が発生
2025年6月2日 午前10時 利用者からの指摘で問題を検知
2025年6月2日 午後1時 問題の原因調査と修正を完了
同日午後11時まで 影響範囲を調査し、対象ユーザーと地域関係者に通知

対象ユーザーには2025年6月2日午後10時頃にメールで案内が送付された。
メール送信時にエラーは発生していないという。
2025年6月7日午前10時時点で、当該事案に関して利用者や地域窓口からの苦情・問い合わせは発生しておらず、情報の悪用も確認されていないと報告されている。
運営側は、流出した情報が不特定多数に閲覧されたわけではなく、表示対象は個別の1名であること、パスワードやカード全情報が流出していないことから、リスクは限定的であると説明。
一方で、表示されたメールアドレスを使ったフィッシング詐欺などに注意を呼びかけており、不審なメールへの対応としては「リンクをクリックせず、正規の方法でサイトへアクセスするように」としている。
また、誤って他人の情報が表示されたユーザーに対しては、当該情報の破棄を依頼しており、不正ログインなどの行為は「不正アクセス禁止法」に抵触する可能性があるとして慎重な対応を求めている。

今回の問題を受けて、以下の再発防止策が講じられた。
・ダミーデータベースの導入
不具合時に実データにアクセスしないよう、接続先を空のダミーデータベースへ切り替え済み（6月4日実施）
・マルチテナント環境の再現対応
開発環境でも本番と同様のマルチテナント構成を再現可能にし、テスト精度を向上。
・キー設計の見直し
顧客や予約情報の一意性を全サイトで保証するよう、キー値の設計を変更（6月20日までに完了予定）

NYANGOは、「お客様の大切な個人情報が誤って第三者に表示されたことを深く反省し、改めてお詫び申し上げる」とした上で、再発防止に向けた管理体制の見直しと情報セキュリティの強化を進めると表明している。

【参考記事】
https://nyango.com/company/