「DION」400万人分のユーザー情報流出 KDDI小野寺社長が謝罪

» 2006年06月13日 17時07分 公開
[岡田有花,ITmedia]

 KDDIは6月13日、ISP「DION」ユーザー399万6789人分の氏名、住所、連絡先電話番号が外部流出していたことを確認したと発表した。情報は、2003年12月18日までにDIONに申し込んだ全ユーザー分で、任意登録項目だった連絡先メールアドレス(44万7175人分)、性別(2万6493人分)、生年月日(9万8150人分)も流出した。口座番号などの信用情報や、DIONのメールアドレス、パスワード、通信記録などは流出していない。

 情報を収録したCD-ROMなどが外部から持ち込まれ、流出が発覚した。警視庁は同日、KDDIに情報を持ち込んで現金を脅し取ろうとした疑いで、男2人を恐喝未遂容疑で逮捕した(関連記事参照)

 ISPの個人情報流出事件としては、2004年2月に発覚した「Yahoo!BB」の451万人に次ぐ規模。

画像 謝罪するKDDIの小野寺社長(右)と、同社プラットフォーム開発本部長の吉満雅文氏

 KDDIの小野寺正社長同日、都内で会見し、「ご迷惑をかけて申し訳ない」と謝罪した。個々のユーザーに対する金銭的な補償などは「考えていない」とした。流出が確認されたユーザーにはお詫びのメール、文書を送るとしている。

 流出による2次被害は「確認していない」という。問い合わせ窓口の電話番号は0077-78-9100。

流出発覚の経緯

 小野寺社長によると、同社の電話相談窓口「個人情報開示相談室」に今年5月30日、ある人物から「個人情報を入手した」と電話連絡があったという。その人物は翌5月31日、40万人分のユーザー情報を収録したCD-ROMを「入手した情報の一部」として、同社東京本社の受付に持ち込んだ。同社はこの情報を解析し、DIONのユーザー情報と一致することを確認。31日中に情報流出対策本部を設置し、社内調査を進めるとともに警察当局に相談した。

 その後、同社役員が情報を持ち込んだ人物と会って話し、保有している情報をすべて渡してもらえるよう交渉。6月8日に、399万6789人分の全情報が入ったUSBメモリを手渡しで受け取った。

 小野寺社長によるとこの人物は「当社が知っていたり、過去に関係があった人物ではない」という。交渉の詳細や恐喝の有無については「捜査中につき回答は控えたい」としている。

 警視庁は男らが持っていた情報は「450万人分」と発表しているが、これは2重に登録したユーザーも含まれているためで、399万6789人分は「名寄せした結果」という。

内部から流出か 経路は「不明」

 流出した情報は、DIONのユーザー情報管理システムに保存していたもので、同社システムルーム内で開発や保守に利用していたPC 186台からアクセス可能だった。これらのPCは本来、ユーザー情報にアクセスする必要のない端末だったが、何者かが何らかの理由で同PCから情報にアクセスし、ダウンロードして持ち出したと見られている。

 システムルーム入室には、ICカードが必要。PCはMACアドレスとIPアドレスを登録・管理しており、外部ネットワークにはつながっていなかった。また、PC内のデータにアクセスするには、ユーザーID・パスワードが必要だった。

画像

 これらの状況から小野寺社長は「当社または関係者から流出したと推定せざるを得ない」としている。2003年12月当時、データにアクセスできたのは同社社員48人と、外部ベンダー(1社)のスタッフ177人。同社社員については、現時点で退職者はいないという。

 情報が抜き取られた時期は「2003年12月18日以降の比較的短い期間内だろう」としているが、特定できていない。同社は、アクセス履歴などの保存期限を1年としており、当時のアクセス履歴や入退室履歴は「残っていない」という。

今後の対策は

 今回の事件について小野寺社長は「KDDIの信頼を失うもの。対応をきっちりご報告することで、信頼回復に努めたい」と語った。経営責任については「痛感しているが、詳細が不明なため、後日発表したい」としている。

 同社は、副社長をトップに据えた対策委員会を設置。「社内から流出したとすれば、コンプライアンス上大きな問題」とし、原因究明と再発防止に務めるとともに、全社でセキュリティ対策を洗い直したいとしている。物理的な対策を行っていく一方で、組織や社員教育など人員面での対策も進めてくという。

 昨年4月の個人情報保護法の本格施行以前から情報セキュリティの確保には力を入れてきたと小野寺社長は強調する。2005年1月にはシステムルーム入出を指紋認証制にし、監視カメラを設置。2006年にはPCをシンクライアント化し、データをPC内に保存できないようにした。

 ただ、流出はこれらの対策を取る前で、流出元のPCもシンクライアントではない。「当時としてはかなりの対策をしてきたつもりだったが、結果的に不十分だったことは否めない」と小野寺社長も認める。

 現在のセキュリティ策は高レベルで「悪意を持った人が当社の顧客情報を抜き取ろうとすればかなりの努力が必要」だが、「技術が進歩した将来になれば、(抜き取られる)可能性はゼロではない」と語り、再度対策を徹底する。

 また、auのユーザー情報は別に管理しているため、影響はないとしている(関連記事参照)

Copyright © ITmedia, Inc. All Rights Reserved.