KDDIのインターネット接続サービス「DION」に登録された個人情報約400万件が流出していたことが明らかになった。2003年12月18日までに、DIONへの申し込みをした399万6,789人分の個人情報が流出しており、現時点ではこれ以外の個人情報流出は確認されていない。流出した情報を悪用した事例も確認されていないという。KDDIの小野寺正社長は「ご迷惑とご心配をかけた」と謝罪するとともに、流出経緯などを詳しく調べ、再発防止策を講じていく考えだ。なお、今回の流出にともない、職業不詳の男2人が、KDDIへの恐喝未遂容疑で警視庁に逮捕されている。

今回の問題が発覚したのは今年5月30日。同社に対して「個人情報を入手した」との電話連絡があり、翌31日には個人情報の一部という約40万件のデータが入ったCD-ROMが本社受付に持ち込まれた。KDDIが情報を精査したところ、DIONへの申し込みを行った顧客情報と一致したため、CD-ROMを持ち込んだ人物との交渉を進め、6月8日には全情報が入ったとされるUSBメモリを入手、データを確認したところ、これまでDIONと旧サービスの「NEWEB」に申し込みをした顧客の全データと一致することが判明した。漏えいしたのは97年から03年12月18日までのデータで、すでに解約したり、二重申し込みがあったりするため、DIONの会員数とは一致しない。

申し込み情報を保存していたデータベースにはDIONメールアドレス、パスワード、口座番号などの信用情報、通信記録は保存されておらず、これらの情報は漏えいしていない。申込書類に記載された氏名、住所、連絡先電話番号は全員分が流出、書類への記載が必須ではなかった性別(2万6,493件)、生年月日(9万8,150件)、連絡先メールアドレス(44万7,175件)についても、データベースに登録されていたものはすべて流出した。

これまでのKDDIの調査では、2003年12月当時、データベースへのアクセスはKDDI社員48人、システム開発を委託していたベンダーの従業員177人がアクセス可能だったという。これらの225人は、開発・保守用PC186台からデータベースにアクセス可能だった。保守用PCからデータベースへのアクセスはIPアドレスとMACアドレスで制限されており、それ以外のPCでの接続はできず、これらのPCは外部のインターネットには接続しない形で運用されていた。保守用PCが置かれたシステムルームへの入室にはICカードが必要で、保守用PCへのアクセスにはIDとパスワードが設定されていた。

どういった経路で流出したかは現時点で分かってはいないが、外部からのアクセスが不可能だった点から「KDDI、またはKDDI関係者から漏れたと推測せざるを得ない」(小野寺社長)状況だ。ただし、アクセスログの保存期間が1年間だったため、当時のログがなく、誰がデータベースにアクセスしたかは分かっていないという。

現時点では、この保守用PCに何らかの理由でデータが保存され、そのデータをUSBメモリなどの外部メディアにコピーして持ち出されたものと見られている。データを保存したのが、個人情報を盗むためだったのか、それとも何らかの作業で必要だったのかは分かっていないが、通常の同社の作業では、データベースから個人情報を取り出して保守用PCに保存する必要はないという。当時は通常のPCを使っていたため、USBメモリなどへのデータ保存を制限していなかった。

KDDIでは、個人情報保護法の施行などをふまえてセキュリティ対策を強化しており、システムルームへの入室に指紋認証を採用、保守用PCをディスクのないシンクライアント端末に変更したほか、監視カメラも設置している。ただ、「(2003年12月)当時はかなりのセキュリティ対策をしていたという認識だが、結果的に不十分だったことは明らか」(同)と言え、KDDIでは伊藤泰彦副社長をトップとした調査委員会を設置、社内調査を進めるとともに、現在のセキュリティ対策などについてもう一度見直していく考えだ。

現在のところ詳しい流出経路などが明らかになっていないため、小野寺社長らの経営責任については後日発表する。情報が流出した人に対しては謝罪のメールや文書を送付するとともに、Webサイト上などでも謝罪広告を掲載するほか、顧客からの問い合わせを受け付けるフリーコールの電話窓口も開設する。同様に大量の個人情報が流出したYahoo!BBは、当時500円相当の金券などを送ったが、そうした補償については「流出した事実を広くおわびし、今後同じようなことがないよう、情報管理を徹底することが第一で、現時点で補償は考えていない」(同)。

また、今回逮捕された2人について、小野寺社長は「詳細を把握していない」としてコメントを避けたが、CD-ROMやUSBメモリを持ち込んだ人物について「KDDIが知っている人間ではない」としており、KDDI内部の人間ではないことは示した。

今回流出した個人情報はすべてDIONのデータであり、携帯電話のauなどの個人情報は漏えいしていない。すでにauなどのデータに対するセキュリティ対策は「DIONと同等レベル」(同)だが、調査委員会の結論に応じて全社でセキュリティ対策のさらなる強化などを実施していく方針だ。

漏えいに関して内部の関与が疑われている点について小野寺社長は、「社内の人間が関与していたらコンプライアンス(法令順守)上、非常に大きな問題だ。従来から通信事業者として通信の秘密や顧客情報の管理などで十分な教育をしてきたつもりだが、努力不足は否めない。社員教育をより徹底していくことを考えている」とした。