クレジットカード番号を含む顧客情報流出問題でアリコジャパンは2009年9月11日、東京都内で会見を開き、調査の進捗状況を報告した(関連記事1関連記事2関連記事3関連記事4関連記事5)。調査の結果、システム開発を担当する外部の業務委託先から抜き取られた可能性が高いことが明らかになった。ただし顧客情報を取得した人物の特定は難航している。

二つのカード情報ファイルを特定

 アリコはクレジットカード会社から不正使用の疑いがあるとして照会を受けた4292件のデータを手がかりに、流出したデータと流出経路の調査を進めてきた。照会を受けたデータに含まれる証券番号や契約時期などを分析した結果、流出源となったのは二つのカード情報ファイルだと特定。一方は2008年3月10日から4月10日、もう一方は同2月26日から3月26日にかけてホストコンピュータに実在していた。

 同社はこれまでに流出した可能性がある顧客情報の件数は最大13万件としてきたが、二つのカード情報ファイルから抜き取られたデータの数は計1万8184人分と判明。今回流出したデータには、保険の証券番号、クレジットカード番号、有効期限が含まれているが、氏名や住所、電話番号などは含まれていないという。

 顧客情報を管理するホストコンピュータへのアクセスログなどを調査した結果、システム開発を担当していた外部の業務委託先の社内PCから複数回にわたり、不自然なアクセスがなされていたことを特定。流出源のファイルが存在していた2008年2月26日から4月10日にかけて、ファイルの一部を閲覧用の作業領域に移し、作業領域からPCにコピーして社外に持ち出したと見られる。

犯人候補を数人に絞り込む

 ホストコンピュータには、アクセス権限を持つ業務委託先の複数の社員によるアクセスログが見つかっている。ただし、カードの不正使用がいずれも2009年7月初旬に始まっていること、いずれのデータもほぼ同時期にホストコンピュータに実在していたことなどから、同社は「抜き取りは同一人物により行われた可能性が極めて高い」と見ている。

 顧客情報を不正に取得したのは、「ホスト系の知識があり、保険料の収納業務関連の開発に精通している人物」と、アリコジャパンの宮田晴雄 システム担当執行役員は話す。既に業務委託先の社員の数人に絞り込んだ。

 それにもかかわらず、いまだに特定できない理由について、プロダクト&サービス担当の太田健自 専務執行役員はこう説明する。「(絞り込んだ委託先の社員たちが)関与を否定している上に、抜き取られたことを特定できるまでの物的証拠がない」。

 データを不正に取得した人物は、データをPCにコピーした後、PCからもホストコンピュータの作業領域からも抜き取ったデータを削除している。アリコジャパンの高橋和之代表は、不正に取得した人物の調査について「いつまでとは明言できないが、調査は鋭意続けていく」と話す。