ソフトバンクBBのCISOが語る、情報セキュリティへの取り組み（1/2 ページ）

シマンテックの年次カンファレンス「SecureXchange 2004」で、ソフトバンクBB CISOの阿多親市氏が、個人情漏えい出事件以後の対策状況を説明した。

[堀哲也，ITmedia]

　シマンテックの年次カンファレンス「SecureXchange 2004」で、ソフトバンクBBの情報セキュリティ管理責任者（CISO）阿多親市氏が11月5日、個人情漏えい事件以後の対策状況を説明した。

　「急激な成長の一方で、情報セキュリティ対策を何もやってこなかったと思われるかもしれないが、それ以前から取り組みはあった」（阿多氏)

「2月以降、心配させてしまった」と話を切り出したソフトバンクBB CISOの阿多氏

　Yahoo！BBの急成長の背景には、業務効率を優先し、業務委託を多用する低コストなオペレーションが支えてきた一面もあった、と阿多氏は述べる。「街頭のモデム配りを見て、いったい何をやってんだろう。PCでもわけが分からないのに、モデムの説明なんて頭がおかしいのでは、と思われたこともあると思う。しかし、こんなことをしてやっとNTTと肩を並べるところまできた」

　だが、成長ばかりに注力して、情報セキュリティへの取り組みをまったくしてこなかったかというと、阿多氏によればノーだ。

　情報漏えいが公になったは2004年2月だが、それ以前の03年9月には、Pマーク取得に向けた個人情報保護管理委員会を発足。10月には情報資産の洗い出し活動を展開、04年1月にはISMS認証基準に基づいたリスクアセスメントを行っていたという。そんな最中で情報漏えいの報道がなされることになった。

　04年1月、ソフトバンクBBは恐喝を受けたが、この時、二つの経営判断がなされたと説明する。一つは、企業恐喝には1円たりともお金はださない。二つ目は、顧客情報が流れ出ないようにするにはどうするか。

　「不幸中の幸いだったのは、恐喝だったため、犯人はお金が取れるまで人質は殺さない（顧客情報を流出させない）だろうということ。警察に相談すると、公になってしまうがと言われたが、その結果、予期せぬ形で報道されてしまった」

ソフトバンクBBの対策

　阿多氏によれば、事件の緊急対策として、400席の専用コールセンターを設置した。「（顧客情報は犯人が持っているだけで）もれていないとは思っていたが、報道の力は恐ろしい」と語り、警察や都庁などと“オレオレ詐欺”といった詐欺情報を交換しながら対応することになったという。「不思議な消費者センターとなっていた」。

　また、顧客データベースへ常時接続できるアカウントは同氏を含む3人に集約。そのほかのアカウントは申請ベースで、1月ごとに変更しなければならなくした。PCやUSBメモリといったメディアの持ち込み、外部デバイスの使用を禁じるなどの対策を行った。

　現在、ソフトバンクBBでは、情報セキュリティ対策に下記のような基本方針を立てて取り組んでいる。