NTTデータがWebサイトで収集した4312人分の個人情報を紛失した問題(本誌既報)で、同時に別のWebサイトで収集した470人分の個人情報も紛失したことが判明した。今回、4782人分の個人情報が紛失したことになる。

 この問題は、NTTデータが同社の不動産情報サイト「HOME4U」の運用を委託していたネクストが、11月27日にHOME4Uの利用者4312人分の情報を紛失したというもの。ネクストの社員が、情報の入ったノート・パソコンを無くしたことが理由である。NTTデータが12月10日に発表した。

 今回、ネクストが自ら提供していた新築マンション情報サイト「HOME'S」を利用していたインターネット・ユーザーの個人情報470人分を併せて紛失していたことがわかった。11月27日に無くなったノート・パソコンに、HOME'Sの利用者470人が資料請求をした際の電子メールなど1229通が入っていた。

 470人の内訳は、(1)2003年7月31日から8月17日、11月4日から11月26日の間に「新築HOME'S」に対して資料請求メールを送った399人、(2)2003年9月1日から11月26日の間にHOME'S内の「注目の首都圏新築一戸建」に対して資料請求メールを送った68人、(3)6月14日、7月26日、8月23日に資料請求メールを送った利用者のうち、メール・サーバーの不具合でデータがネクストに残ってしまった3人である。

 問題はこのメールに含まれている情報だ。このメールには利用者の氏名、住所、メール・アドレス、電話番号、居住形態(賃貸マンションか、一戸建てかなど)といった情報に加え、世帯年収などの非常にセンシティブな個人情報が含まれている。NTTデータのHOME4Uユーザーに関する情報には、年収などの情報は含まれていなかった。

 ネクストは12月8日に、社用パソコンの持ち出し禁止や私用パソコンの持ち込み禁止、ノート・パソコン内のデータの暗号化などの条項を核とする機密情報管理規定を制定した。また、外部機関による監査を強化する。「これまでは、個人情報の取り扱いに関して明文化した規定がなかった。管理の不行き届きで申し訳ない」(ネクスト担当者)。

 ネクストが紛失したノート・パソコンにNTTデータのHOME4Uの利用者情報が入っていた理由について、NTTデータは「ネクスト自身が不動産査定サービスを始めることを計画し、NTTデータが収集したデータを分析するために持ち出していた」と説明していた。これに対し、ネクストは「NTTデータの説明は事実に基づいたもの」と認めた。既報のとおり、紛失した社員がNTTデータの個人情報へのアクセス権限を持っていなかった事実についても、同様に認める発言をした。これらの件については、すでにNTTデータは自社の管理責任を認めて謝罪している。

 NTTデータへの報告が紛失の翌日になったことについて、ネクストは「ノート・パソコンにどのようなデータが入っていたかを調査していた。調査の結果、NTTデータの情報が入っているということが判明し、NTTデータへ報告した」と説明する。

鈴木 孝知=日経コンピュータ