KDDIは8月2日,6月13日に公表した個人情報漏えい事件(関連記事1,関連記事2)の再発防止策を明らかにした。同社は事件の発覚後,全社のセキュリティ対策状況の再点検を実施。今年度中に,(1)物理的セキュリティ,(2)技術的セキュリティ,(3)管理的・人的セキュリティの三つの角度から対策を強化する。投資額は約100億円で,主な内容は以下の通り。
(1)の物理的セキュリティ対策は,入退室管理を徹底的に強化する。顧客情報システムを設置した高セキュリティ・エリアだけでなく,システムの開発や運用を行う部門にも監視カメラと生体認証による入退室管理を導入。その他のエリアも,全国の事業所で監視カメラとICカードによる入退室管理を実施する。監視カメラの映像と入退室のログは永年保存するという。
(2)の技術的セキュリティ対策は,アクセス制御や監視の強化が中心である。既に,すべての業務用パソコンにアクセス制御ソフトを導入し,USBメモリーやCD-Rなど外部デバイスへの書き込みを禁止している。さらに,社員がやり取りするすべてのメールに対し,顧客情報や機密情報の有無を監視する。
またサポート窓口など顧客情報にアクセスできる部門にはシン・クライアントを導入する。端末利用時には生体認証を導入し,操作ログを残す。顧客情報システムには,フォレンジック・ツールを導入して通信履歴を取得する。これらのログも永年保存する。
(3)の管理的・人的セキュリティ対策では,ISMS (情報セキュリティ・マネジメント・システム) 認証の取得対象を全社に拡大。内部監査だけでなく,外部機関によるセキュリティ監査を実施する。セキュリティ教育は社員だけでなく,業務委託先などに対してもe-ラーニングや研修を徹底していく。
同社は今後,全社のセキュリティ対策状況をはじめ,顧客情報を取り扱う業務プロセス,セキュリティ教育などに関しても継続的に見直し,改善を図っていくとしている。
