総務省、KDDIに是正勧告──1月のau解約ユーザー情報紛失を受け

[岩城俊介，ITmedia]

　総務省は3月9日、2007年1月に発覚した、KDDIによるau解約ユーザー約22万分の個人情報が紛失した事案について、個人情報の保護に関する法律（個人情報保護法）第34条第1項の規定に基づく勧告を行った。

　この事案は同社の小山テクニカルセンター内で、2007年1月15日時点のau解約ユーザー22万4183名分の顧客情報の一部を記録した光磁気ディスクの紛失が発覚したもの。同ディスクには名前や住所、生年月日、解約時点の携帯電話番号、連絡先電話番号、管理用コードが含まれていたとし、総務省は個人情報保護法第32条に基づき、漏えいの発生状況、発生原因、措置模様などについての報告を求めていた。

　同省はこの報告を受け、「個人データを記録した光磁気ディスクの取扱いが不適切であったこと」「委託先に対する指導・監督が徹底されていなかったこと」などを事由に、本件発生時のKDDIは、個人情報の管理体制が不十分だったことが認められた、とした。

　なお、同社は2006年6月にもISP「DION」ユーザー約400万人分の情報流出事件を起こしている。当時、同省から再発防止に努めるよう厳重注意を受けていたにも関わらず、再度大規模な情報流出事件を起こしたことも重大であり、個人情報に関わる安全管理措置などに大きな問題があったことも認められたとしている。

　同省はKDDIに対し、

• 個人データの安全管理のための措置
• 個人データの安全管理を図るための委託先に対する監督

　を徹底し、「個人データの安全管理のための措置の徹底」に基づいてとった措置を2007年4月9日までに報告すること、と勧告した。

　KDDIは「多数のユーザー情報を取り扱う通信事業者としての立場を強く認識し、本件に関する管理責任を明確化するため3月1日に社内処分を行うとともに、全社で情報セキュリティ強化策に取り組む」としている。