株式会社ジェイティービーは14日、同社のグループ会社でインターネット販売などを手掛ける株式会社i.JTBのサーバーに外部から不正アクセスがあり、顧客情報が流出した可能性があると発表した。約793万人分の個人情報が含まれたデータファイルを、侵入者がサーバー内に作成し、削除していたことが分かったという。ただし、現時点で流出の事実については確認されておらず、個人情報の悪用被害を受けたとの報告はないとしている。

3月15日、取引先を装ったメールの添付ファイルを開いたことで同社のPCがウイルスに感染。その後、3月19～24日に、本来は個人情報を保有していないサーバーにおいて内部から外部への不審な通信を複数確認。ネットワーク内のすべてのサーバーおよびPCを調査したところ、外部からの不正侵入者が3月21日、同サーバー内にデータファイルを作成して削除していたことが分かった。

同ファイルを復元したところ、約793万人分の個人情報が含まれていたことを特定。個人情報の項目は、氏名（漢字、カタカナ、ローマ字）、性別、生年月日、メールアドレス、住所、郵便番号、電話番号、パスポート番号、スポート取得日のうちの一部または全部。なお、パスポート番号とパスポート取得日については、現在も有効なものは約4300件。また、クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていないとしている。

対象となる顧客は、「JTBホームページ」「るるぶトラベル」「JAPANiCAN」でオンライン予約した人や、提携サイトでJTBの商品を予約した人。商品よっては対象外のものもある。また、オンラインで予約して店舗で精算した場合も含まれる。対象となる顧客には順次、メールで連絡するという。

これを受け、提携先の1つである「dトラベル」を提供する株式会社NTTドコモでも個人情報流出の可能性を発表。約793万人分のうち約33万人分が、dトラベルの個人情報だったとしている。対象となるのは、2014年2月27日から2016年3月21日までの期間に、dトラベルで国内宿、国内ツアー、海外ツアーを予約した顧客の情報。