「DION」400万人分のユーザー情報流出　KDDI小野寺社長が謝罪

KDDIのISP「DION」のユーザー情報約400万人分が外部流出。この情報を悪用した恐喝未遂容疑で男2人が逮捕された。流出経路は不明だが、関係者からの流出と見られる。

2006年06月13日 17時07分更新

　KDDIは6月13日、ISP「DION」ユーザー399万6789人分の氏名、住所、連絡先電話番号が外部流出していたことを確認したと発表した。情報は、2003年12月18日までにDIONに申し込んだ全ユーザー分で、任意登録項目だった連絡先メールアドレス（44万7175人分）、性別（2万6493人分）、生年月日（9万8150人分）も流出した。口座番号などの信用情報や、DIONのメールアドレス、パスワード、通信記録などは流出していない。

　情報を収録したCD-ROMなどが外部から持ち込まれ、流出が発覚した。警視庁は同日、KDDIに情報を持ち込んで現金を脅し取ろうとした疑いで、男2人を恐喝未遂容疑で逮捕した（関連記事参照）。

　ISPの個人情報流出事件としては、2004年2月に発覚した「Yahoo！BB」の451万人に次ぐ規模。

謝罪するKDDIの小野寺社長（右）と、同社プラットフォーム開発本部長の吉満雅文氏

　KDDIの小野寺正社長同日、都内で会見し、「ご迷惑をかけて申し訳ない」と謝罪した。個々のユーザーに対する金銭的な補償などは「考えていない」とした。流出が確認されたユーザーにはお詫びのメール、文書を送るとしている。

　流出による2次被害は「確認していない」という。問い合わせ窓口の電話番号は0077-78-9100。

流出発覚の経緯

　小野寺社長によると、同社の電話相談窓口「個人情報開示相談室」に今年5月30日、ある人物から「個人情報を入手した」と電話連絡があったという。その人物は翌5月31日、40万人分のユーザー情報を収録したCD-ROMを「入手した情報の一部」として、同社東京本社の受付に持ち込んだ。同社はこの情報を解析し、DIONのユーザー情報と一致することを確認。31日中に情報流出対策本部を設置し、社内調査を進めるとともに警察当局に相談した。

　その後、同社役員が情報を持ち込んだ人物と会って話し、保有している情報をすべて渡してもらえるよう交渉。6月8日に、399万6789人分の全情報が入ったUSBメモリを手渡しで受け取った。

　小野寺社長によるとこの人物は「当社が知っていたり、過去に関係があった人物ではない」という。交渉の詳細や恐喝の有無については「捜査中につき回答は控えたい」としている。

　警視庁は男らが持っていた情報は「450万人分」と発表しているが、これは2重に登録したユーザーも含まれているためで、399万6789人分は「名寄せした結果」という。

内部から流出か　経路は「不明」

　流出した情報は、DIONのユーザー情報管理システムに保存していたもので、同社システムルーム内で開発や保守に利用していたPC 186台からアクセス可能だった。これらのPCは本来、ユーザー情報にアクセスする必要のない端末だったが、何者かが何らかの理由で同PCから情報にアクセスし、ダウンロードして持ち出したと見られている。

　システムルーム入室には、ICカードが必要。PCはMACアドレスとIPアドレスを登録・管理しており、外部ネットワークにはつながっていなかった。また、PC内のデータにアクセスするには、ユーザーID・パスワードが必要だった。

　これらの状況から小野寺社長は「当社または関係者から流出したと推定せざるを得ない」としている。2003年12月当時、データにアクセスできたのは同社社員48人と、外部ベンダー（1社）のスタッフ177人。同社社員については、現時点で退職者はいないという。

　情報が抜き取られた時期は「2003年12月18日以降の比較的短い期間内だろう」としているが、特定できていない。同社は、アクセス履歴などの保存期限を1年としており、当時のアクセス履歴や入退室履歴は「残っていない」という。

今後の対策は

　今回の事件について小野寺社長は「KDDIの信頼を失うもの。対応をきっちりご報告することで、信頼回復に努めたい」と語った。経営責任については「痛感しているが、詳細が不明なため、後日発表したい」としている。

　同社は、副社長をトップに据えた対策委員会を設置。「社内から流出したとすれば、コンプライアンス上大きな問題」とし、原因究明と再発防止に務めるとともに、全社でセキュリティ対策を洗い直したいとしている。物理的な対策を行っていく一方で、組織や社員教育など人員面での対策も進めてくという。

　昨年4月の個人情報保護法の本格施行以前から情報セキュリティの確保には力を入れてきたと小野寺社長は強調する。2005年1月にはシステムルーム入出を指紋認証制にし、監視カメラを設置。2006年にはPCをシンクライアント化し、データをPC内に保存できないようにした。

　ただ、流出はこれらの対策を取る前で、流出元のPCもシンクライアントではない。「当時としてはかなりの対策をしてきたつもりだったが、結果的に不十分だったことは否めない」と小野寺社長も認める。

　現在のセキュリティ策は高レベルで「悪意を持った人が当社の顧客情報を抜き取ろうとすればかなりの努力が必要」だが、「技術が進歩した将来になれば、（抜き取られる）可能性はゼロではない」と語り、再度対策を徹底する。

　また、auのユーザー情報は別に管理しているため、影響はないとしている（関連記事参照）。

KDDI情報流出で恐喝未遂の男2人逮捕
「auは一切問題ない」――KDDIの400万件情報流出
DIONユーザー399万人分の個人情報が流出した問題で、KDDIが記者会見を開いた。auユーザーの情報は漏えいしていないという。
Yahoo！BB情報流出で1人6000円の賠償命令
ユーザー1人当たり500円分の金券を贈って謝罪したYahoo！BBの情報流出事件をめぐる裁判で、運営企業に対して1人当たり6000円の損害賠償の支払いを命じた。
Yahoo！BBの顧客情報流出、緊急記者会見での一問一答
Yahoo！BBの顧客情報が流出し、これに絡んだ恐喝未遂容疑で逮捕者が出た問題で、ソフトバンクグループは緊急記者会見を行った。会見にはソフトバンクの広報室長、田部康喜氏が出席、事態の説明にあたった。
Yahoo！BBで、451万人の情報流出が判明
ソフトバンクBBは2月27日、ユーザー情報の流出に伴う恐喝未遂事件で、Yahoo！BBユーザー451万7039人の情報が流出していたことを認めた。これをうけて、Yahoo！BBユーザー全員に、500円相当の金券を送付する。
Yahoo！BB顧客情報流出、恐喝未遂で男を逮捕
各紙の報道によると、警視庁は2月24日までに、「『Yahoo！BB』のユーザーデータ400万件以上を入手した」などとしてソフトバンクグループ関係者から数十億円を脅し取ろうとした恐喝未遂容疑で北海道函館市の会社役員（61）を逮捕した。
Yahoo！BBでユーザー情報が流出
ソフトバンクBBは1月23日、Yahoo！BBユーザーの個人情報が流出したと発表した。242件の申し込み住所、氏名、電話番号、メールアドレスなどが社外に流れたという。