　アッカ・ネットワークスは、同社の顧客情報の一部が外部に流出していたことを明らかにし、3月25日に説明会見を行った。アッカ・ネットワークスの坂田好男社長は、利用者に対して謝罪するとともに、入手したリストの分析やアクセスログの解析など調査を進めていること、当面はプロモーション活動を自粛することなどを説明した。

陳謝する経営陣。中央がアッカネットワークスの坂田好男社長

　坂田氏によると、3月22日に朝日新聞社から201人分のリストの照会を受け、同社の顧客情報と照合したところ、合致することを確認したという。入手したリストに含まれていた個人情報は、氏名、郵便番号、住所、電話番号、申し込み連絡用のメールアドレス、性別。性別に関しては「弊社では情報として取得していないため、流出していた個人情報は加工されていた可能性もある」という。クレジットカード番号などの信用情報は、ISPの管轄となっているため、含まれていない。

坂田社長

　リストを分析したところ、同社の提携ISP12社のうち7社のユーザーまたがり、また利用中のユーザーと既に解約した元ユーザーが混在していた。さらに、特定期間のデータが抽出されていることも判明。「住所変更などのタイミングで絞り込みを行ったところ、2003年3月末から5月上旬の期間のデータが抽出されたと推定される」（アッカの湯崎秀彦副社長）。住所も特定地域に集中していたが、「（入手先から）リストは全体の一部であると説明されているため、地域性に意味があるかどうかはわからない」としている。

　情報流出が発覚した201名のユーザーに対しては、メールや手紙で謝罪するとともに、ISPと相談のうえメールアドレスの変更などに応じていく予定だ。「利用者の不利益を最小限に止めるのが先決。事態は重く受け止めており、しっかりした対策をとったうえで、（進退など）責任の所在を明らかにしていくつもりだ」（坂田氏）。また電話窓口を開設し、ユーザーからの問い合わせに対応する。電話番号は0120-140-107。

　なお、「ソフトバンクBBのように、個人情報が流出した顧客に金券などを配布するのか？」という質問に対しては、「調査結果を踏まえ、ISPと話し合いながら、誠意ある対応をしていきたい」と回答した。

内部からの流出？

　同社が保管している顧客情報は、解約済みの利用者も含めて約140万件に上る。30万人の情報が流出したとの報道もあるが、確認はできていない。逆に、140万件全ての顧客情報が流出した可能性についても「否定できない、というよりも“わからない”」。

　同社は、朝日新聞社からリストを受け取った22日のうちに社内に緊急対策委員会を設置し、原因究明のために社内アクセスログ、顧客情報を閲覧できる部屋への入退室ログ、従業員の出勤情報などを調査している。流出経路はまだ特定できていないが、今のところ外部から不正アクセスを受けた形跡はないようだ。坂田氏は、「あらゆる可能性を排除していないが、外部からのアクセスについては当初から対策を講じている。内部から流出した可能性が高いだろう」として、社内から持ち出された可能性を示した。

　一方、湯崎氏は、再発防止策として“入口”と“出口”の両方を抑える形で対策を進めていると状況を報告した。第1に、顧客データへのアクセスを厳しく制限する。これまで、テクニカル部門、サポート部門など計466人が顧客情報を参照することができたが、それをユーザーサポートで必要な62人に限定。17あった共有アカウントも廃止したという。

　顧客情報にアクセスできる部屋は「高セキュリティルーム」とし、入室を厳しく制限する。具体的には、端末をインターネットにつなげる手段をなくし、USBなど端末の外部インタフェースも物理的に排除。高セキュリティルームの中で行う作業は事前登録制とし、監視のための人員も配置する。

　さらに、顧客データベースへのアクセス権限はワンタイム化し、権利発行日のみの使用とする。また社内メールも一定期間保存したのち、不審な内容のものがないかチェック。これらの措置を3月26日から進め、4月上旬までにはほぼ終了させるとした。

　坂田氏によると、こうした社内的な措置にくわえ、外部機関によるセキュリティチェックも導入する方針だという。「事故対策、セキュリティ対策を含め、外部のセキュリティ監査を導入してチェックする。また、社内のセキュリティ意識を高めるため、やはり外部の力を借りるつもりだ」。