「auは一切問題ない」――KDDIの400万件情報流出

[杉浦正武，ITmedia]

　KDDIは6月13日、ISPサービス「DION」のユーザー情報が流出した問題で（6月13日の記事参照）、「auのユーザー情報は一切問題ないと思っている」とコメントした。

　今回流出したのは、2003年12月18日までにDIONに申し込みを行ったユーザー、399万6789人分の氏名、住所、電話番号。申し込み時に追加の個人情報を記載したユーザーも一部おり、それらのユーザーに関しては性別や生年月日、連絡先メールアドレスも流出している。「当該情報（流出データ）は、開発・保守用のPCに保存されていたデータと判断した」（KDDIの小野寺正社長）。この情報がなぜ外部に持ち出されたかは、現時点でよく分からないという。

　DIONメールアドレスやパスワード、口座番号などの信用情報、通信記録は流出していない。理由は「別のシステムで管理していたから」で、auの個人情報が流出していないとする根拠もこれと同じだ。流出のきっかけとなった保守用PCは、通常データを格納する目的で使われているものではなかった。ここに「なぜか理由ははっきりしない」（同氏）が誰かがデータをダウンロードし、これが情報漏えいにつながった。

流出時期はいつなのか？

　流出の時期は不明だが、毎日更新されるデータベースと照合する限り、流出したデータは2003年12月18日の内容であることがはっきりしている。この時期に情報が外部に持ち出された可能性もある。

　当時は、KDDIのセキュリティが今よりも“甘い”状況だった。「現在は指紋認証や監視カメラといった情報保護対策をしているが、2003年当時はICカードだけで入れた」。指紋認証とカメラが導入されたのは、2005年1月のこと。その後、2005年4月には個人情報保護法が施行されている。「2006年2月からは、保守用のPCにもデータをダウンロードできない“シンクライアント”にした」

　ちなみに、auユーザーの個人情報も上記と同じ管理体制で保護されている。KDDIとしては、2003年の情報保護体制について「十分なつもりだったが、結果的に不十分だったのは明らか」とコメント。セキュリティを強化した後に情報流出した可能性もあるため、「事案を調査した上で見直しを図る」としたものの、今以上のセキュリティ強化を行うかは明言しなかった。

au事業にもたらす影響は

　通信事業者の大規模な情報漏えいといえば、ソフトバンクグループがYahoo！BBユーザー451万人分の個人情報を流出させたケースが思い浮かぶ。その後ソフトバンクはセキュリティ強化策を打ち出したが、ユーザーの記憶から流出の事実をぬぐい去ることはできず、今でも一部で「ソフトバンクは情報管理に不安がある」と懸念する声が聞かれる（3月30日の記事参照）。

　2006年11月までには番号ポータビリティが開始されるため、今後KDDIはNTTグループやソフトバンクとの激しい競争にさらされることになる。そうした中で、今回の事件は一定のダメージになることは間違いない。

　小野寺社長はこの点を聞かれ「KDDIの信頼をなくすことだと思う。対応をきっちりご報告することで、信頼回復に努めたい」と答えた。