NTTデータは12月10日、同社が運営している不動産情報サイト「HOME4U」の利用者4312人分の個人情報を11月27日に紛失したことを発表した。HOME4Uでは個人住宅の査定サービスを実施している。今回紛失したのは、利用者が査定依頼時に入力した、住所/氏名/電話番号や土地/建物の面積、査定方法などの情報である。
直接の原因は、HOME4Uの運用を委託していたネクストの社員が、情報の入ったノート・パソコンを無くしてしまったこと。ネクストは、不動産情報のポータル・サイトを運営するネット・ベンチャーである。同社ではノート・パソコンのデータを暗号化するなどの対策は採っていなかったため、情報が第三者に漏洩してしまった可能性が大きい。
ネクストの社員は11月27日、情報が入ったノート・パソコンを通勤途中に紛失した。ネクストは同日中に警察へ届け出、翌28日にNTTデータへ紛失した旨を報告した。12月10日現在、当該のノート・パソコンは見つかっていない。発表するまで時間がかかったことについてNTTデータは、「警察とのやり取り、事実確認、ネクストの調査などに時間がかかってしまった」と説明している。
「ノート・パソコンの紛失」ならば社員個人のミスのようだが、紛失までの過程に組織的な関与があった。紛失した社員は情報へのアクセス権限を持っていなかったうえに、アクセス権限があっても、情報の持ち出しは禁じられていた。しかし今回、アクセス権限をもったネクストの社員が情報をダウンロードし、紛失した社員に渡した。しかも、ダウンロードの目的は「許しがたいもの」(NTTデータ)だった。NTTデータによれば、ネクスト自身が不動産査定サービスを始めることを計画し、NTTデータが収集したデータを分析するために持ち出していた。
NTTデータは、「(事前に取り決めた)運用ルールが守られていなかったことを見抜けなかった点で当社にも非がある」として、運用ルールを再度徹底する。併せて、当面はNTTデータのアクセス権限をもった人間のなかでも、ごく限られた人しか閲覧できないようにした。また、「ネクストとの業務委託の見直しを含めた運用体制の見直しを3カ月以内に実施する」。
情報漏洩の対象となった利用者は、2001年12月3日から2003年10月24日の間に査定を依頼した関東と関西地方在住の利用者。HOME4Uは東海地方の利用者にもサービスを展開しているが、東海地方向けのサービス開始が2003年11月21日だったこともあり、個人情報は漏洩していない。
紛失の対象になった項目は、利用者の名前、利用者の連絡先(住所、電話番号、ファックス番号、メール・アドレスなど)、土地と建物の面積、査定方法、物件種別、物件所在地など必須入力の項目だけで7項目。間取りや売却希望価格、利用者の年齢といった任意入力の項目を加えると21項目におよぶ。
