KDDIは6月13日、同社のインターネット接続サービス「DION」の顧客情報が約400万人分流出したと発表した。同日、この顧客情報を使ってKDDIから金銭を脅し取ろうとした恐喝未遂の疑いで、容疑者2名が警視庁に逮捕されている。
逮捕されたのは神奈川県川崎市在住の職業不詳、箕村明夫容疑者(57歳)と、東京都足立区在住の職業不詳、鳥居朗彦容疑者(47歳)。KDDIが警視庁に相談し、事件が発覚した。
流出した情報は、2003年12月18日までにDIONに申し込んだ顧客の名前、住所、連絡先の電話番号が399万6789名分。なお、この中には当時すでに解約した人の情報も含まれる。また、DION申し込み時に性別、生年月日、連絡先メールアドレスを登録した人については、その情報も流出した。
KDDIによる事件発覚の経緯は次の通り。まず、5月30日、顧客情報を入手したとの連絡を電話で受け、5月31日にKDDIの会社受付において約40万件の顧客情報が入ったCD-ROMを受け取った。この時点で警視庁に相談をしている。その後、6月8日までに約450万件の個人情報が入ったUSBメモリをKDDI役員が受け取った。これらの情報をKDDIが保有する顧客データと照合したところ、重複分を除き、2003年12月18日までにDIONに申し込んだ399万6789名分の顧客情報がであることが分かった。
なお、KDDIによればDIONメールアドレス、パスワード、口座番号等の信用情報、通信記録については、今回情報が流出したシステムとは別のシステムで管理しているため、流出の恐れはないという。また、6月13日時点で顧客から情報流出による被害を受けたという連絡は来ていないとのことだ。
今回流出した情報はKDDIの社内にある専用PCからしかアクセスできず、そのPCがある部屋に入るためにはICカードが必要となっていた。また、PCを利用するにはIDとパスワードが必要で、外部へのインターネット接続はできないようになっていた。当時、このPCを利用できる権限を持っていたのは、KDDIの社員48名と委託ベンダー1社の177名、合計で225名のみだった。
KDDIではこの権限を持つ人間が、何らかの形で顧客情報をPCに保存し、外部に持ち出したとみている。ただしKDDIではこのPCのアクセスログ保管期間を1年間としており、現在はすでにそのログを廃棄してしまったという。このため、具体的に誰がいつどのように情報を持ち出したかという点については分かっていない。
KDDIでは個人情報保護法の施行に合わせ、すでにセキュリティを強化している。2005年1月には指紋認証を導入するとともに、作業の様子をすべてビデオに録画するようにした。また、2006年2月には、PCにデータを保存できないシンクライアント端末に移行していた。作業ログの保存期間については、「今後見直していく」としている。
同様の事件として、2004年2月にYahoo! BBの顧客情報を使ってソフトバンクBBを恐喝しようとしていた男が警視庁に逮捕されている。この際、ソフトバンクは情報が流出した顧客に対して、500円相当の金券を送付した。ただしKDDIは、「(金券の送付などは)考えていない」(代表取締役社長兼会長の小野寺正氏)としている。
KDDIでは流出が確認された顧客に対し、お詫びのメールや文書を送るとともに、専用の問い合せ窓口を設ける。受付電話番号は0077-78-9100(フリーコール)で、受付時間は土日や祭日を含む午前9時から午後8時までとなっている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス