ソフトバンクBBは3月18日、同社がヤフーと共同で運営するADSLサービスYahoo! BBの顧客情報が流出した問題について、個人情報管理諮問委員会が提出した答申内容を公開した。依然として情報流出の経路は不明だが、調査の結果システム上の管理義務違反があったとまでは言えないと結論づけた。また、ヤフーは同日、Yahoo! JAPANにおいてセキュリティ強化特集を開始した。
ソフトバンクBBの個人情報管理諮問委員会は、顧客情報流出の再発防止と管理体制の強化を目的に、同社が3月3日に設立したもの。メンバーは初代内閣広報官の宮脇磊介氏、生活経済ジャーナリストで金融審議会委員を務める高橋伸子氏、弁護士の牧野二郎氏の3名。委員会では同社の情報セキュリティ管理責任者に任命された常務取締役の阿多親市氏などから聞き取り調査を行った。
委員会の答申はまず、2件の恐喝事件の情報流出について考えられる経路を紹介した。fuu fuuと名乗っていた木全泰之容疑者については、同氏が勤務していたソフトバンクBBの中部サポートセンターにて情報持ち出しが行われた可能性があるという。データの持ち出し方法については、ウェブメールを活用したのではないかと見ている。ソフトバンクBBでは今回の事件を受け、サポートセンターのスタッフは顧客の一覧を見ることができないようにしたほか、インターネットの利用にも大幅な制限を加えたという。
湯浅輝昭容疑者については、ソフトバンクBBが保有するデータベースのデータと基本的に一致することから、データベースにアクセスする正規パスワードを持つ者、もしくはそのパスワードを入手した者が正規アクセスによって情報を不正に持ち出したのではないかとした。ソフトバンクBBでは4カ所にデータベースを設置しており、当時発行されていたアクセスアカウント数は135件あったという。現在はオリジナルデータベースにアクセス件を持つ者を3名に絞り、時限付きアカウントを6名に与えている。また、通常業務ではオリジナルデータベースを使わず、必要な項目のみを切り出したデータベースを利用するようにしている。
委員会では2件の犯行時期が近いことから、関連性があるとみている。ただしその証拠となるものはみつかっていない。2件の背後にはさらに別の人物がいる可能性が高いとして、今後新たな事件が起こる可能性があると警戒している。
「法的注意義務には違反せず」
ソフトバンクBBの情報管理体制については、諮問委員会は法的注意義務に違反しているとまでは言えないと結論づけた。これは、他のコールセンターの体制などを見た場合に、明らかな落ち度があるとは言えないためだ。そのほか、恐喝行為に屈したり事件を隠匿したりせず、早期に責任体制を明確化した点などを評価した。顧客に対する500円のおわび料は、他社のケースと比較して相当な範囲にあるとしている。
委員会では今後の流出を防ぐための施策として、会社組織の再検討や権限配分の明確化、本人確認に生体認証などを取り入れることを提言している。
今回のYahoo! BBの顧客情報流出事件を受けて、Yahoo! JAPANでは同日より「春のセキュリティー強化特集」と題したサイト(http://event.yahoo.co.jp/security/)を公開した。これは5月31日までの期間、3回に渡ってインターネットを利用する際に注意すべきセキュリティ情報を提供するもの。パスワードの管理を厳重にするなどの個人情報管理上の注意点や、ブロードバンド接続や無線LAN環境のセキュリティ、オークションやショッピングを利用する際のセキュリティについてそれぞれ解説する予定となっている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス