ＪＲ九州は１２日、豪華寝台列車「ななつ星ｉｎ九州」の関連商品を販売するインターネットサイト「ななつ星ギャラリー」に外部から不正アクセスがあり、登録会員最大７９９６人分の氏名、住所などの個人情報が流出した恐れがあると発表した。うち２８１６人分は、クレジットカードのカード番号やセキュリティーコードなどの情報を含む可能性があるとしている。
流出の可能性があるのは、サイトを開設した２０１３年１０月５日から、不正の情報を受け閉鎖した１９年３月１１日までの間に利用した顧客の情報。ＪＲ九州によると、利用者からカード会社を通じて「身に覚えがない利用記録がある」との連絡があったという。調査の結果、１８年１０月２４日に不正アクセスされた記録があった。ＪＲ九州はインターネットでのななつ星の乗車予約なども中止している。
被害の状況は、「流出の可能性が高い個人情報（最大7,996名）※クレジットカード情報の流出（最大3,086件(2,816名)）を含む」としており、最大2,816名分に関しては、
①「カード番号」「有効期限」「セキュリティコード」が流出
②「氏名」「住所」「郵便番号」「電話番号」「FAX番号」「性別」「生年月日」「メールアドレス」「職業」「パスワード（暗号化処理済）」「秘密の質問の答え（暗号化処理済）」について流出の可能性が高いとしており、この情報が悪用されると、深刻な被害が及ぶ可能性頑張ってある。