ADSL事業者のアッカ・ネットワークスは、顧客情報の漏洩防止策を講じて、新しいセキュリティ管理体制を整備したことを明らかにした。3月31日から新しい管理体制で業務を運用している。
同社は3月25日、記者会見を開き、201人の顧客情報が漏洩したことを認めた。記者会見の場で発表した情報漏洩の再発防止策を、3月29日までにすべて完了させた。記者会見では再発防止策が完了するのは、4月4日までとしていたが、結果的に前倒しで対策を終えた。
完了した対策は大きく分けて、(1)顧客情報に対するアクセス制限と、(2)顧客情報の持ち出し制限の二つ。(1)では、顧客情報データベースを閲覧可能な社員を、466人から61人に制限。閲覧する場所も、通常の業務スペースとは別に新設したセキュリティ・ルームに限定した。
(1)ではこのほか、ユーザーが特定できない社内共有アカウントが17個あったがこれを廃止した。このほか、情報システム部門の担当者が顧客情報データベースにアクセスするときには、1日以内に限定するといった対策も講じた。いずれの取り組みも、予定通り3月29日までに完了した。
(2)の対策については、社内のパソコンのUSB、フロッピーを使ってデータを取り出せないようにする作業を3月29日までに終えた。記者発表時には、4月4日までかかるとしていた作業だった。このほか、社外向け電子メールの保存や監視体制を整備したり、顧客情報を扱うサービス・デスク担当者のパソコンから、インターネットを利用できなくした。
アッカは再発防止策の完了に先立ち、原因究明を担当する社内の緊急対策委員会に、外部の専門家を加えた。3月27日に、情報システムのリスク対策サービスを手がける監査法人のトーマツと、金融機関のセキュリティ監査や情報関連の事故原因究明に実績を持つ、システム・インテグレータのユーフィットの担当者が参加した。なお、4月1日現在、原因は明らかになっていない。引き続き原因を究明していく。
アッカは3月27日までに、情報が漏洩した顧客201人のうち、連絡の取れる顧客すべてに謝罪した。アッカのADSLサービスを採用しているISP事業者と協力して、電子メール、郵便、電話で連絡を取った。なお、アッカの広報担当者によると4月1日現在、201人以外で漏洩した顧客情報は確認していないという。
