東武鉄道は3月26日,同社のメール・マガジン「102@Club」会員の個人情報が流出した件についての調査結果を発表した。同社は2003年12月に個人情報流出の可能性を公表し,サービスを停止していたが,最大で,同サービス開始時から2003年3月31日までに入会した13万1742名の住所,氏名などが流出した可能性があることが明らかになった。
流出経路については,委託会社のIDにより,通常業務以外でサーバーへアクセスした痕跡が認められたという。ただし「このアクセスにより会員情報が抜き出され,架空請求業者に流出したか否かについては,現時点では確定するには至っていない」(東武鉄道)という。またセキュリティ・ホールなどを悪用した不正アクセスの痕跡は確認されていないとしている。
個人情報漏えいは,2003年12月,102@Clubの元会員から「心当たりのない有料サイト,アダルトサイトなどの利用料金請求郵便が送付された」という問い合わせがあったことがきっかけで判明した。東武鉄道が調査を行ったところ,住所や氏名に特有の表現や文字を使用して登録した会員に,同じ表現や文字を用いた架空請求書が郵送されていたことなどから,流出の可能性が高いと判断した。
最初の問い合わせを東武鉄道では12月1日に確認,12月3日から102@Clubのサーバーを停止し,同社ホームページ上で個人情報流出の可能性について報告,同日警視庁への相談も行った。
また顧客向けの問い合わせフォームも設置した。2004年年3月18日までに約7200件の問い合わせがあった。請求に対し支払った会員も約10名あったという。同社ホームページ上では,実際の架空請求書の例や,その送付元の実名なども掲載している。
委託会社から2003年3月31日に流出か
調査チームは常務取締役を責任者とするとともに,弁護士やコンサルティング会社も加えて構成。外部からの不正アクセスの可能性,および委託会社も含め内部からの流出の可能性を調査してきた。不正アクセスの可能性については,ログの検査や,AppScan,Internet Scannerといったセキュリティ検査ツールを用いた調査を行った。その結果「高度な技術を用いた不正アクセスによるデータ流出の可能性は完全に否定できないが,保存されていたログから不正アクセスの事実は発見されなかった」(東武鉄道)。内部からの流出の可能性については,アクセス権限を保有していた東武鉄道の従業員14名,業務を委託していた企業の19名に対する事情聴取などを行った。その結果,2003年3月31日までに入会した会員の個人情報に対し,委託会社の使用するIDにより,通常業務に必要ないデータを引き出したことが記録されていた。2003年3月31日以降は,正当な業務以外でのデータの引き出しは確認されなかった。このため同社では,2003年3月31日までに入会した13万1742名の個人情報が漏えいした可能性が高いと判断した。
なお,委託会社関係者への事情聴取では「自ら会員情報を流出させたとの情報は得られなかったが、一部委託会社関係者の事情聴取において、関係者相互の発言内容に矛盾が見られた」(東武鉄道)と報告している。
東武鉄道では,根津嘉澄社長と池田操副社長の報酬を,3カ月間20%減額する。また,会員および元会員に,東武動物公園または東武ワールドスクウェアの招待券を2枚送付する。
今後は,全社的な情報セキュリティ・ポリシー制定,会員情報端末専用室の新設と履歴を含む入退室管理の実施,会員情報専用端末への生体認証機能導入,第三者機関による定期的なセキュリティ監査の実施などの再発防止措置を実施し,2004年8月に102@Clubのサービスを再開する予定という。
◆102@Clubホームページ
2004年3月26日現在,会員へのお詫びと事故の調査報告が掲載されている
