ドコモ、法人顧客の情報流出--「犯人の意図分からない」と吉澤副社長

　NTTドコモは9月9日、「法人モバイル管理サービス」を利用していた、法人顧客1社・1053人分の管理情報が流出した可能性があることを明らかにし謝罪した。法人名、業務用携帯電話番号、同電話番号の利用者名や住所などが外部に持ち出されたとしている。ただし、現時点では不正アクセスは確認されておらず、社員の犯行も含めて調査を進めているという。

　法人モバイル管理サービスは、顧客企業の管理部門の業務である故障対応や契約変更などを、ドコモの専用サービスデスクが代行するサービス。同社では、法人モバイル管理サービスにおいて、作業担当者が法人顧客の情報を一時的に「法人ファイル共有システム」に保管し、顧客に依頼された作業を実施していた。

　この法人ファイル共有システムに保管された情報が外部に持ち出された可能性が高いという。なお、一時的に保管されていた情報は72社の13万件におよび、これらの企業の情報が流出した可能性もゼロではないという。

社員の自宅に郵便物--不可解な点も

　情報流出が発覚したのは2013年10月。法人顧客の社員の自宅に郵便物が届いた。その内容はキャンペーンを装ったダイレクトメールとなっており、記載された氏名や、住所、電話番号が正しいかどうかを確認する内容だった。

　しかし、送り主の住所や連絡先は記載されておらず、ドコモのヘルプデスクの正式な電話番号のみが記載されていたという。そのため、郵便物から個人情報などが盗み取られる可能性は低く、ドコモ代表取締役副社長の吉澤和弘氏も「（犯人に）どのような意図があったのかは分からない」と首をかしげる。

　郵便物は社員の自宅に、2013年10～11月にかけて14通（25人分）届いたが、別の社員の情報が記載されていたため、捜査機関に相談。その後、追加の郵便物がなかったため社内調査を続けていたところ、半年以上経った2014年8月に再び9通（9人分）の郵便物が社員の自宅に届いた。ただし、こちらは正しい氏名や業務用携帯電話番号が記載されていたという。同社では改めて捜査機関に相談し、被害届の提出準備を始めた。

約300人の社員がアクセス可能な状態--再発防止策を発表

　ドコモによれば、2013年10月時点でこれらの情報にアクセスできたのは、法人モバイル管理サービスを担当していた299人。この中には、同社の社員だけでなく、派遣社員や再委託先の社員も含まれているという。ただし、データはUSBメモリなどを使って持ち出すことはできず、メールも添付ファイルが含まれている場合には必ずドコモの社員をCCに入れなければ送信できない仕組みになっていると説明した。

　吉澤氏は、今回の事象についてシステムのセキュリティが十分ではなかったことや、社員にプライバシーポリシーを徹底できていなかったことを認めた。今後は、再発防止に向けて、システムのセキュリティレベルを向上させるほか、社員のアクセス権限を厳格化する。さらに、顧客情報を直接取り扱う印刷物などのチェック体制を見直すとした。

　また現在は報告済みだが、情報流出が発覚した2013年10月時点では総務省には報告していなかったという。この点について吉澤氏は、「特定の法人顧客1社と個別対応する中で、ある程度解決できると判断し、総務省には報告しなかった」と説明し、法務上も問題はなかったとの見解を示した。

　企業の情報漏えいとしては、7月に発生したベネッセの情報流出が記憶に新しい。この際には、ベネッセの顧客データベースを保守管理する企業の再委託先の従業員が約2300万件の個人情報を持ち出し転売。ジャストシステムなどがその情報を名簿業者から購入してダイレクトメールを送っていた。