ディーシーカード(DCカード)は、同社の34人分の顧客情報が漏洩した問題について、漏洩したのは外部の委託先からではなく、社内からであることを明らかにした。34人分の顧客情報が含まれていたのは、保険商品のダイレクト・メールを出す際に作成したデータベース。同社はこのダイレクト・メールの発送を外部に委託していたが、委託先に渡したリストには漏洩した顧客情報の全員分は含まれていなかった。このため、社内からの漏洩だと判断した。
DCカードは7月8日に34人分の顧客情報が掲載されているリストを入手。7月9日に調査委員会を設置し、調査を行ってきた。流出した顧客情報の中に、住所が現在の住所とは異なるものがあることを手がかりに、漏洩した時期を限定していった。この結果、2001年10月に行ったダイレクト・メールの発送が浮かび上がった。この作業のために作成したデータベースに34人分の顧客情報が含まれており、同時期に他の作業のために作成したデータベースには34人分全員の顧客情報を含むものはなかった。ダイレクト・メールの発送を委託した業者には、34人分の顧客情報のうち29人分しか渡していなかった。
このダイレクトメール発送用のデータベースには47万7959人分の顧客情報が含まれていたため、同社は最大47万7959人分の顧客情報が流出した可能性があるとしている。含まれている情報は、氏名、性別、生年月日、郵便番号、住所、電話番号のほか、カード番号、利用金額なども含まれている可能性があるという。ただし、カードの有効期限は含まれていない。
同社は、今後の再発防止策として、ID/パスワードの厳格運用などを挙げている。「最終的には社員のモラルアップを図るしかない」(同社広報)。
(大森 敏行=日経コンピュータ)
