ニュース
2004/03/19 07:51 更新


Yahoo! BBの情報漏えいに関する答申公表、孫氏は「性悪説に立つ」と反応

ソフトバンクBBで発生した顧客情報漏えい事件を受けて設置された個人情報管理諮問委員会は、3月18日、調査を踏まえた第一回答申をまとめ、公表した。

 ソフトバンクBBで発生した顧客情報漏えい事件を受けて設置された個人情報管理諮問委員会は3月18日、第一回答申をまとめ、公表した。

 同委員会は初代内閣広報官の宮脇磊介(らいすけ)氏、金融審議委員会の高橋伸子氏、弁護士の牧野二郎氏から構成されている。一連の情報漏えい事件を受けて3月3日に設置されて以来、ソフトバンクBBの情報管理体制の調査と、それを踏まえた提言や改善策の進捗確認、運用状況のチェックなどを行ってきた。

会見の模様

会見には個人情報管理諮問委員会の3氏のほか、技術諮問委員会の佐々木良一氏も登場した

 この第一回答申は、報道陣への公開に先立ってソフトバンクBB側に伝えられたという。同委員会によると、報告を受けた孫正義社長は、「自分は今まで性善説に立ってきたが、これからは性悪説に立ち、従業員という仲間を疑わなければならない。辛いことだが、預かっている個人情報の重さを考えればやってかなければならない」と述べたという。

 宮脇氏はこの事件について、「IT化が進めば進むほど脆弱性も高まる。そういった脆弱性を身近に感じさせた象徴的事件」であり、一企業の問題にとどまらず、企業や政府、自治体全体の問題だと指摘。今後も同種の問題が起きる可能性はあり、「日本社会全体に対する警告と受け止めなければならない」(同氏)という。

宮脇氏

初代内閣広報官の宮脇磊介氏

 ただ、事件発生から現在に至るソフトバンクBBの対応について宮脇氏は、おおむね「これまでの日本の企業文化とは異なる、メリハリの効いた対応」と評価した。情報を隠蔽せずに公開したこと、第三者である諮問委員会に診断を委ねたこと、またCISO(情報セキュリティ担当役員)を立てて情報セキュリティ体制を確立させたことを踏まえてのことという。「今後の危機管理においては“オープン”と“スピード”が合言葉になるだろう」(同氏)。

第1の事件――顧客情報のグループ表示も可能だった

 個人情報の流出の経緯については牧野氏が説明に当たった。今のところ、流出経路をはじめ事件のすべてが明らかになっているわけではないが、「現時点での情報を見れば、ソフトバンクBBの落ち度は認められない」(同氏)という。

 同委員会では情報漏えいを2つの事件に分け、それぞれの管理体制や対応について検証。現時点で得られた情報を元に説明を行った。

牧野氏

答申の詳細について説明した弁護士の牧野二郎氏

 うち1件では、ソフトバンク関連会社の派遣社員だった容疑者が、中部サポートセンターから情報を持ち出したものと見られている。本来こういった業務では、必要以上に情報を閲覧できないよう1件ずつ顧客情報を表示するべきだ。しかし「工事や事故時の包括的な対応を目的に、地域やNTTの局舎ごとに顧客情報を一覧表示できる機能が付けられており、サポート部門も同じものを利用していた」(牧野氏)。この一覧表示機能は2003年8月まで動作していたという。

 また、得られた情報を外部に持ち出した手段としては、Webメールを利用した可能性があるとの見方だ。社内電子メールシステムのログには、それらしきやり取りの痕跡は残されていなかった。また、PCにはUSBポート以外の外部記憶装置は付属しておらず、作業机の状況からも「メディアの持ち込み、持ち出しといった怪しい利用は不可能だったと思われる」(牧野氏)。

 場所の管理(物理的なセキュリティ対策)や人の管理については、センターの施錠、スーパーバイザーによる監視やスタッフの相互監視などおおむね妥当な対策が取られていたと判断した。ただ、「容疑者が他のスタッフよりも早く出勤することが多く、その際、監視が薄くなっていた可能性はある」(同氏)。この点についてサポートセンターの担当者は、「むしろ早く出勤することはいいことだと思っていたので、特に注意はしなかった」と述べたという。

 以上を踏まえると、この件について「システム上の管理義務違反については疑問の余地なしとはしない」(牧野氏)。ただ、総合的に見ると管理義務違反とまではいえない、という結論だ。

第2の事件――正規アカウント所有者の犯行?

 もう1つの事件では、情報の入手経路は確定されていない。顧客情報を格納したデータベースにアクセスした経路として複数の手法が考えられるが、論理的な推測として「現実的な可能性があるのは、“正規アクセス、正規パスワード所有者による利用”もしくは“正規アクセス権者からパスワードを漏らされた者の侵入”のどちらか」(牧野氏)。ファイアウォール越しの外部からの侵入よりも、内部犯行の可能性が高いという見方だ。

 このデータベースは、データセンター内に配置され、入退室管理をはじめとする物理的アクセスは妥当な程度に管理されていたという。一方で、データベースへのアクセス権限については、「IDとパスワードは、担当者からの請求に応じて必要に応じる形で発行していた」(同氏)。結果として、データベースにアクセス可能なアカウント件数は135件に上り、うち数件は複数のユーザーが共有するグループアカウントとなっていた。

 背景には、積極的な企業合同や業務遂行上の必要があったとはいえ、「人事組織の統合や組織変更、事業フローの見直しなどを進め、必要最低限のパスワード設定や階層的なアクセス設定などが導入されるべきだった」という。

否定できない二次流出の可能性

 現在もなお、事件に関する捜査が続いているが、容疑者らのパソコンのスキルが不十分という情報もあることから、「逮捕された者たちだけが犯人とは思えない」(牧野氏)。

 しかも、1つめの事件では家宅捜索によってデータ類を押収できたが、2つめの事件では、受領したデータが「オリジナルではない可能性も十分にある」。1件目の事件にしても、どこかにコピーが残されている可能性は否定できない。

 幸いにして今のところ、「入手した情報が、名簿マーケットなどに流出した兆候は見られない」(牧野氏)し、匿名掲示板やWinnyなどの動向を見ても特別な兆候は見られないという。だが「ほとぼりが冷めたころにまた情報が流出する可能性は否定できない」(同氏)ことから、継続的な監視が必要としている。

 二次流出が発生すれば、顧客の手元に不要なダイレクトメールやスパム、詐欺まがいのメールが届くことになりかねない。

 ソフトバンクBBではこの日、スパム対策などの機能を備えたセキュリティソフトウェアの顧客向け無料ダウンロードを開始している。これについては「今後発生するかもしれないスパム増加対策などに、一定の効果が期待される」と評価した。

 またソフトバンクBBは、顧客に対し、一律500円のお詫び料を支払うことを明らかにしている。同委員会では、過去の事例を踏まえ「お詫びの意味としては一定の妥当性がある金額」としている。

 ただ、顧客が本当に懸念しているのは、金額の多寡よりも自己の情報に対するコントロールが失われたこと、そのもののはずだ。今後起こりうる事態に備えた十全な情報の提供や、情報の変更、消去も含めた対処が誠実になされているかについての言及はなかった。

今後の継続的な改善を

 同委員会では、この事件を機に、ソフトバンクBBではさらに徹底した改革、改善が望ましいと結論付けている。具体的には、会社組織の再検討や各部門を監査する専門委員会の設置、PKI技術などを組み合わせた本人確認制度(認証制度)の採用などだ。

 なおソフトバンクBBでは同日、セキュリティ管理体制の強化を目的とした「技術諮問委員会」を設置している。委員会メンバーは慶応義塾大学環境情報学部教授の村井純氏と、東京電機大学工学部情報メディア学科教授の佐々木良一氏で、個人情報管理の全体的な仕組みや管理体制全般について、定期的に取締役会へ提言を行うという。

 「セキュリティの性格上、(対策は)常に時代に合わせて変化し、ブラッシュアップさせていかなくてはならない」(牧野氏)。

 さらに、個人情報保護法の施行によってある程度カバーできると期待できるものの、現行法規では顧客名簿の持ち出しを処罰できる体制になっていたないことも指摘。「過去の事件も含めて情報漏えいの多くは、派遣労働や業務委託で起きている。しかし現行法では、これをきちんと管理、監督する枠組みがない」(同氏)ことも問題であり、今後の法整備が必要としている。

……そして、いくばくかのツッコミ

 個人情報管理諮問委員会では、今回の事件の原因や管理体制を調査した結果、管理体制に落ち度は認められなかった、と判断している。にもかかわらず、大量の個人情報が流出してしまった。なぜだろう?

 何より、犯人が責められるべきであることは言うまでもない。しかし、調査では「妥当」と判断されたソフトバンクBBの運用体制にも、いくつか疑問が残る点がある。

 たとえば、第1の事件で、サポートセンターの机の配置は「相互にモニターを見やすいところに設置」されていた。これは相互監視が容易ということだが、同時にショルダーハッキング、つまり盗み見も容易に行えるということでもある。また、事件発生当時はUSB機器の価格が高かったことなどから、USBメモリ経由で情報が流出した可能性を「考えにくい」としているが、CD-Rやフロッピーディスクなどに比べ、USBは目に付きにくい形で容易に持ち歩ける。

 第2の事件についても同様だ。データベースへのアクセス手段としては無線LAN経由の侵入という可能性もあるが、同委員会ではWEPキーの解読が困難であることを理由として、この経路は「考えにくい」とした。しかし実際には、WEPキーの盗聴、解読は可能であり、それを行うためのソフトウェアも存在している。データベースのアカウントに対する監査体制にも検討の余地はあるだろう。

 また答申では、「セキュリティに関する注意規定が作成、公表されており、パスワードについての管理体制が確立されていた」と評価されているが、その規定は実効性のある形で運用されていたのだろうか。そして社員や現場の人々は、自分が扱っている情報の重要性を理解し、規定を遵守していたのだろうか。今後、いくら認証の強化やアクセス権限の分割、ログの監査などを行ったとしても、人と組織が変わらなければ意味はない。ソフトバンクBBではe-ラーニングを活用しての従業員教育を実施したほか、改めて全従業員および派遣会社、派遣社員との間で誓約書を取り交わしたという。これが継続的になされることを期待したい。

 ここで難しいのは、抑止力と心理面の影響のバランスだ。あまりに厳格な対策を取ることによる従業員のストレスにも考慮し、「誇りを持って働ける環境作りが重要だ」と高橋氏は指摘している。

 一連の答申は、限られた時間と調査の中で、「今後二度と情報漏えい事件を起こさせないという決意の下、セキュリティをどう高めるかに注力してまとめたもの」(牧野氏)という。二度と起こすまいという決意は重要だが、決して100%はありえないのがセキュリティの世界だ。性悪説に立ち、常に最悪の事態を想定して手を打っておくことの重要性が、改めてあぶりだされた。

関連記事
▼ソフトバンクBB、阿多常務をセキュリティ責任者に 緊急対策を発表
▼ソフトバンクBB、社外の専門家による個人情報管理委員会を設置
▼Yahoo!BBで、451万人の情報流出が判明
▼Yahoo!BBの顧客情報流出、緊急記者会見での一問一答
▼Yahoo!BB顧客情報流出、恐喝未遂で男を逮捕
▼Yahoo!BBでユーザー情報が流出

関連リンク
▼ソフトバンクBB

[高橋睦美,ITmedia]

Copyright© 2016 ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -