KDDIが開催した記者発表会では,顧客情報の流出が発覚した経緯と,これまでの管理体制に対しても説明があった。
顧客情報の漏えいが発覚したのは,5月30日。同社の個人情報開示相談室に,顧客情報を入手した旨の電話連絡が入った。翌日の5月31日,流出したデータの一部と見られる40万件の個人情報がKDDI本社の受付にCD-ROMで届けられたという。
同日,小野寺正社長を本部長とする対策本部を設置。届けられたデータを調査したところ,同社の顧客情報であることが判明した。その後,6月8日には流出した全データがUSBメモリーで届けられ,約400万件の顧客情報が流出したことを確認したという。警察の捜査の関係上,情報を持ち込んだ人間の素姓は明らかにしていない。
流出したのは,同社のインターネット接続サービス「DION」に申し込んだ顧客情報を管理するシステムに格納されたデータ。同システムに接続できる開発保守用のパソコンから情報が流出した。「通常,開発保守用パソコンに顧客情報を保存することはなく,何らかの理由でダウンロードしたものと思われる」(小野寺社長)。DIONのパスワード,口座番号などの信用情報,通信記録などは別のシステムで管理していたので流出はないとする。
開発保守用パソコンは,IPアドレスとMACアドレスを管理している端末に限定していた。システム室への入退出はICカード,システム自体へのアクセスはIDとパスワードで管理していた。「インターネットとは接続しておらず,完全にクローズなシステム。当社の社員あるいは出入りのベンダーから持ち出された可能性が高い」。開発保守用パソコンは合計186台あり,ユーザーは社員が48人,委託ベンダーが177人。ただし,アクセス・ログは基本的に1年間しか保存しておらず,どのユーザーが情報を抜き出したのかは特定できていないという。
なお,2005年4月に施行された個人情報保護法に合わせ,現在はセキュリティ対策を強化してある。2005年1月から指紋認証による入退出管理を導入し,システム室内も常時ビデオで監視しているという。2006年2月には,開発保守用パソコンをシン・クライアントに置き換え,ローカルにデータを保存できないようにした。今後の対策は,「原因を徹底的に調査した上で見直しを図る」(小野寺社長)という。
KDDIの小野寺社長は今回の情報漏えい事件に対し,「対策をかなり実施してきたつもりだが,結果として不十分だった。正規のアクセス権限を持ったユーザーが悪意を持ってデータを盗もうとすれば,絶対に大丈夫かと言われると可能性を否定できない。物理的な対策は当然として,それ以上に組織や社員の教育を徹底していかなければならない」としている。
