アッカ・ネットワークスは3月25日,ADSLサービスの顧客情報が流出していることを明らかにし,謝罪した(写真)。同社が流出を確認したのは201人分だが,「現在,契約している全顧客110万人に加え,解約した顧客データを含めると最大で140万件が流出した可能性は否定できない」(代表取締役社長 坂田好男氏)。流出を確認したデータは,2003年3月末~5月上旬までの間のデータとみられる。流出経路は特定できていないが,「内部犯行の可能性が高い」(代表取締役副社長 湯崎英彦氏)とし,4月4日までに緊急に,内部セキュリティの強化対策を実施する。
流出が発覚したのは,朝日新聞から30万件の顧客情報流出の可能性があるとの問い合わせがあり,そのうち201件のデータを実際に示され,データが合致することを確認したため。流出を確認した201件は,OCN,@nifty,DION,BIGLOBE,So-net,ASAHIネット,TikiTikiインターネットの合計7社のプロバイダと契約する個人情報で,氏名・郵便番号・住所・電話番号・申し込み時連絡用メールアドレス・性別が含まれていた。ただし,性別に関しては,同社自らは取得しておらず,「顧客情報が加工されていた可能性が考えられる」(坂田氏)とする。クレジットカード番号など信用情報はもともとデータとして収集していなかったために,流出していない。
主な内部セキュリティの強化対策は,(1)顧客データへのアクセス権限の強化,(2)外部流出の監視と防止---の2点。(1)では従来,顧客データを格納するデータベースへのアクセスを許可されていたのが466人いたが,62人に限定する。また,データベースへアクセスできる共有アカウントが17個あったが,これを廃止する。さらに,データベースが設置してある部屋からインターネットに接続できないようにしたり,入退室管理を強化するなど高セキュリティ・ルームとする。部屋の中でできる作業を事前に登録し,作業を監視するためだけの人員も確保する。また,情報システム部門に対してはさらにセキュリティを強化する。システム開発をする際,顧客データへのアクセスには,ワンタイム・パスワードなどを利用する。情報システム部門が作業する部屋に対して,他部門の人間の入室も制限する。共有アカウントは3月26日までに廃止し,そのほかの対策も3月29日までに終了する予定。
(2)の外部流出の監視対策として,同社で送受信したメールを1カ月間保存し,1週間に1回不正なものがないかどうかをチェックする。また,外部流出の防止策として,全クライアントPCのUSBポートやフロッピーディスク・ドライブを物理的に使用できないようにする。データベースから抽出したファイルの流出を防ぐために,DRM(Digital Rights Management)ソフトの導入も検討する。Webメールなど特定のサイトへのアクセス制限も行う。カスタマ・サポート部門のインターネットへのアクセスも原則禁止する。メールの保存については,3月29日までには開始できる体制を整える。流出防止策は,4月4日までに実施する。
同社は2002年以降,BS7799に基づいて情報セキュリティ・ポリシーを作成していたほか,外部のセキュリティ監査を受けていた。2002年に受けた外部業者からのセキュリティ監査の結果,「外部からの侵入は難しいと評価を受けていた」(湯崎氏)ことから,今回の流出は内部犯行の可能性が高いとしている。
これまで情報セキュリティの強化策の一環として,顧客データベースへのアクセス・ログについては,2003年末からログイン情報だけでなく作業内容までを含むログを取得している。しかし,流出時点とみられる同年3月末~5月上旬までのアクセス・ログには,「誰が何時何分から何時何分までログインしていたか」という情報しか含まれていなかった。
さらに,原因特定を難しくする要因があった。同社には顧客データベースへアクセスするアプリケーションが2つ存在する。しかし,2003年末に1つのアプリケーションのデータとアクセス・ログが同じディスク装置にあったので,ディスク容量が足りなくなり,アクセス・ログの一部を削除していた。このためアクセス・ログは不完全な状態となり,現時点ではログから流出原因を特定するには至っていない。
流出が判明した201人に対しては,メールや郵便などによって謝罪と現状説明を行っている。「金銭的なお詫びについては,ISP各社と協議の上,善処したい」(坂田氏)。同社は今回の件に関して現在,「お客様問い合わせ窓口」(電話:0120-140107)を設置している。
