アッカ・ネットワークスは3月25日午前11時から1時間余りにわたって、同社の顧客情報が漏洩した事件に関する記者会見を開いた。会見では坂田好男代表取締役社長がまず事件の概要を説明。「全容解明で責任を果たす」と誓った。続いて湯崎英彦代表取締役副社長が再発防止策を説明した。その後、報道陣との質疑応答があった。顧客データベースへのアクセス権を持つ466人全員が全顧客データを閲覧できたことが明らかになった。会見の模様をできる限り忠実に再現する。

坂田好男 代表取締役社長の発言
 「まずは顧客企業やご関係者に多大なご迷惑とご心配をおかけしたことをお詫び申し上げます。

 当社がお客様の情報の漏洩に気づいたのは、3月22日。朝日新聞の記者からの問い合わせがきっかけでした。そこで(当社)の担当者が内容を確認するため動いた。関係会社の担当者経由で、201件分の顧客情報らしきデータを入手した。

 そのリストには201人分の、氏名、郵便番号、住所、電話番号、申し込み時の連絡用メール・アドレス、性別が書かれていた。当社では、性別の情報を管理していないので、性別の情報は第三者に加工されたのだろう。

 リストのデータを解析した結果、3月23日に201件がすべてアッカ・ネットワークスの顧客情報と一致することがわかった。データをつき合わせて、住所の変更時期などをもとに、分析を進めたところ、2003年3月末から5月上旬のころのものであるとわかった。3月24日の晩に、朝日新聞の記者に入手リストと当社のデータが合致したことを伝えた。併せて、事実の公表のために、急遽、記者会見を開くことにした。

 現在、原因を究明するまではいたっていない。現在、当社で顧客情報を管理する顧客データベースのアクセスログ、社員の出勤状況、社員の入退出状況といった状況をつき合わせて解析を進めている。

 情報流出について、顧客に対してメールや郵便で謝罪する。対象となった顧客にメールアドレスを変更するよう要請するといった対処は、提携先のISP(インターネット接続事業者)と相談しながら進めていく。

 現在201件以外に外部に流出しているデータが存在することが想定される。外部の情報では30万件以上の情報があると聞く。引き続きデータを入手する努力をしていくとともに、今回の件の全容を解明して、顧客に不利益を出した責任を果たしていきたい。今後は顧客やISPの信頼を回復するまで、雑誌広告の掲載や販売促進活動を自粛する」。

湯崎英彦 代表取締役副社長の発言
 「今回の事件を受けて、顧客情報の漏洩を防止するため、顧客情報データベースにアクセスする『入口』と、データを取り出す『出口』をこれまで以上に制限する。入口対策として、データベースにアクセスできる人数を顧客サポート部門の62人に限定する。従来は、顧客サポート部門に加えて、営業担当者、情報システム部門の担当者が466人がアクセスできた。

 加えて、データベースにアクセスするための専用の高セキュリティ・ルームを設置して、物理的な対策を講じる。高セキュリティ・ルームの監視担当者を設置したり、セキュリティ・ルームでできる作業も限定する制度を設ける。3月29日までには終わらせる。さらに社内システムにアクセスするための共有アカウントが17個ある。セキュリティ面からこれを3月26日までに使用できなくする。

 一方、出口の部分では、社内のパソコンのUSB、フロッピーを使ってデータを取り出せないようにする。これは物理的な作業が必要だが4月4日までに終わらせる。このほか、メールのやり取りのチェックやWebにアクセスできないようにするといった取り組みを進める。

質疑応答でのやり取り
――今現在、原因をどうみているか。
湯崎氏:現在調査中なので、あらゆる可能性を排除していない。だが、社外からネットワーク経由での攻撃には対策を講じている。そのため、内部から情報が流出した疑いが強いと考えている。

――ソフトバンクBBは顧客に500円を配ったが。
坂田氏:今回は調査の結果をみて、提携先のISPと相談しながら誠意を持って対処したい。

――これまでどんなセキュリティ対策を講じていたのか。
湯崎氏:2002年からBS7799にのっとって、セキュリティ対策を講じてきた。情報セキュリティ・ポリシーやユーザー向けのルール策定、システムの堅牢性のチェックを進めてきた。その過程で、今回のような事態を引き起こしてしまった。ただし、ISMSといったセキュリティ認証は取得していない。

――現在システムにアクセスできる466人の内訳は。
湯崎氏 営業部門や情報システム部門といった社員、派遣社員、それに設備関係の業務委託先企業の担当者がいる。今後、これを顧客サポートのカスタマ・サポートを担当する62人に限定する。

――これまでは466人がデータベースの内容を全部見られたのか。
湯崎氏:そうだ。データベースの情報は顧客サポートをする上で必要だ。そこで、466人が閲覧できるようにしていた。このような事態になってしまったので、運用面に課題があることがわかった。現在運用のあり方を直している。

――管理している顧客情報には信用情報は含まれているか。
湯崎氏:いない。当社が管理するデータには、クレジットカードなどの信用情報は管理していない。当社では、氏名や住所、電話番号、メールアドレスといった情報のほかに、機器を設置する場所や回線名義人といった情報を管理している。

――解約した顧客情報も含まれていたのはなぜか。
湯崎氏:顧客がサービスを解約したあと、応対することがある。そこでそれに備えて、創業以来3年間、契約管理情報をすべて管理してきた。現在140万件を管理している。現在、いつまで解約した顧客の情報を持っておくのかを検討している。

西村 崇=日経コンピュータ