KDDIは13日、「DION」の顧客情報約400万件が流出したことを受け、小野寺正代表取締役社長兼会長らが記者会見し、顧客に謝罪するとともに、流出が発覚した経緯などを説明した。
■ 流出したのは、2003年12月18日当時登録されていた顧客情報「すべて」
|
記者会見で流出が発覚した経緯などを説明する小野寺正代表取締役社長兼会長(右)と吉満雅文プラットフォーム開発本部長(左)
|
まず、流出した顧客情報については、KDDIがデータを解析した結果、2003年12月18日以降のデータが含まれていないことがわかった。流出した時期は特定できていないものの、解約者も含み、当時登録されていたすべての顧客情報であることを確認したという。
なお、警視庁では13日、流出した顧客情報をもとにKDDIに現金を要求していた男性2人を恐喝未遂の容疑で逮捕したと発表。その中で、男性らは、KDDIの顧客情報440~450万件が含まれるデータを入手したとされている。KDDIによれば、内容を照合した結果、二重登録されていた顧客もおり、最終的に399万6,789万人分になると説明した。
また、性別や生年月日、連絡先メールアドレスが含まれていたのが一部の顧客に限定されていた点については、申し込み時にこれらの項目の記入が必須でないためと説明。氏名や住所、電話番号など必須の項目については全員分、性別など必須でない項目については登録していた人の分だけ流出したとしている。
なお、小野寺社長によれば、情報が流出した顧客に対しての補償は未定。また、流出したのはDIONの顧客情報だけであり、auについては問題ないとしている。
■ 社内の顧客情報管理システムの開発・保守用PCから持ち出される
流出が発覚した経緯については、KDDIの個人情報開示相談室に2006年5月30日、「KDDIの個人情報を入手した」との電話が入り、翌31日、そのうちの一部にあたる約40万人分の情報が記録されたCDが本社の受付に届けられた。事態の重大性を考え、同日、KDDIは小野寺社長を本部長とする「お客様情報流出対策本部」を設置してデータの解析や流出経路の調査を開始した。その結果、CDのデータは同社から流出したものであることを確認。現在までに社内調査を継続するとともに、警察にも相談しているという。その間、数度に渡りKDDIの役員が面会し、6月8日に399万6,789万人分の全データをUSBメモリで受け取ったとしている。
調査の結果、流出した情報は2003年12月18日時点でDIONの顧客情報を管理するシステムに格納されていたものであり、システムの開発・保守用に接続していたPCから引き出されたことが判明した。このシステムは完全にクローズドなシステムで、外部のインターネットへは接続していないという。また、通常は開発・保守用PCの中に顧客情報を保存する必要はないが、何らかの理由でダウンロードしてきたデータが外部に持ち出されたものと見ている。
小野寺社長は「外からアクセスするのは不可能。残念ながら、当社または外部ベンダーから流出したと考えざるを得ない状況」と説明する。2003年12月当時、顧客情報管理システムにアクセス可能だったのは、KDDIの社員が48人、業務を委託しているベンダーの社員が177人。このうちKDDI社員については現在までに退職者はいないが、委託先ベンダーについては判明していない。
当時、顧客情報管理システムに接続していた開発・保守用PCは全部で186台あり、IPアドレスおよびMACアドレスで認証することで限定していた。さらに、操作できる社員などについてもIDとパスワードで管理していた。しかし、アクセスログの保存期間は基本的に1年であり、当時の記録は残っていない。このため、開発・保守用PCに実際にアクセスされた時間やIDは現在となってはわからないという。また、システムルームへの入退室もICカードで管理していたが、これを持っていれば誰でも入れたとしている。
このように、顧客情報管理システムの開発・保守用PCにアクセスできた人物はある程度特定できるものの、これまで事実を公表していなかったため、調査は進んでいない。今後、データを持ち出した人物の特定などを進める。なお、委託先ベンダーの具体的な社名は明らかにしなかったが、現在も委託契約しているという。
流出時期については、現時点では不明。ただし、顧客情報管理システムのデータは毎日追加・更新されており、2003年12月18日時点のデータが長期間にわたってそのまま保存されていた可能性は低いため、2003年12月18日から比較的短期間のうちに持ち出されたと推定している。
■ 物理的なセキュリティ対策はもちろん、社員教育も徹底
顧客情報管理システムのセキュリティについては、これまでも順次強化してきたという。まず2005年1月、システムルームの入室管理をICカードから指紋認証に切り替え、監視カメラも導入した。さらに2006年2月、開発・保守用PCをシンクライアントに統一した。今後のセキュリティ強化の必要性についても、「今回の事案を徹底的に調査した上で見直しを図る。副社長をトップに明日以降、解明を進める」という。
さらに小野寺社長は「我々としては当時、かなりのセキュリティ対策はやっていたという理解だったが、結果的に不十分だったとことは明らか。悩ましいところだが、悪意を持ってデータを盗ろうとすれば、現状ではかなりのことをやらないと盗れないと思っているが、将来も絶対に大丈夫かというと、技術の進歩に伴ってできる可能性がゼロではない。物理的な対策をきちんとやっていくのは当然として、それ以上に組織・社員の教育を含めて徹底していかなければ、個人情報の漏洩に十分な対策はとれない。物理的な対策以外にも十分に検討していきたい」とコメントした。
■ URL
ニュースリリース
http://www.kddi.com/corporate/news_release/2006/0613/
KDDI、「DION」の顧客情報約400万人分流出を発表[INTERNET Watch]
http://internet.watch.impress.co.jp/cda/news/2006/06/13/12310.html
KDDIの顧客情報流出、恐喝未遂で容疑者2人を逮捕[INTERNET Watch]
http://internet.watch.impress.co.jp/cda/news/2006/06/13/12312.html
(永沢 茂)
2006/06/13 21:26
|