2004年に起きたYahoo!BB(ソフトバンクBB)の個人情報流出事件について|サイバーセキュリティ.com

2004年に起きたYahoo!BB(ソフトバンクBB)の個人情報流出事件について



ソフトバンクBB(現在のYahoo!BB)による大規模な個人情報漏洩について、どのくらいの方が覚えているでしょうか。2004年に同社のサービスである「Yahoo! BB」加入者約450万人分の個人情報が外部に流出したインシデント事例です。

これは北海道函館市の会社役員らが、個人情報の入ったDVD-ROMを入手し、同社から出資金名目で金を脅し取ろうとしたもので、非常に大きなニュースとなりました。今回は、この事例について取り上げてみたいと思います。

事件の経緯

同社によると、今回の情報漏えい事件の経緯は以下のようになっています。

2004年1月 北海道函館市の会社役員が同社の個人情報470万人分が入ったDVD-ROMを入手同社の関係者から出身金名目で金を脅し取ろうとした。ソフトバンクはこれを受けて、この情報が本当に同社からのものなのかを確認した。
2004年1月23日 同社は個人情報242人分についての情報流出を認める
→情報流出の内容は「申込み住所」「氏名」「申込電話番号」「申込日」「メールアドレス」の5件であり、クレジットカードの情報は含まれない。なお、詳細については、「現在、調査中」とのこと。
2004年2月2日 情報流出の続報を発表
→情報漏えい事件に関して、「お詫び状を送ったこと」と「一部の利用者から、身に覚えのない請求が来ているとの相談があった」ことを発表した。同社では、これについてはこの連絡先が携帯電話やPHS、また個人名義である場合は、債権回収代行を騙った詐欺行為の可能性があるので注意をするように呼びかけている。
2004年2月11日 警察が容疑者を逮捕
→容疑者として北海道函館市の会社役員の逮捕。
2004年2月27日 同社は情報漏洩の総数が450万件にのぼると発表
→流出ルートについては調査中とのこと。併せて以下の対応を実施。
・Yahoo!BB全会員に500円の金券を送付
・Yahoo!BBのメールアドレスを5月末までは何度でも自由に変更できるとする
・同社役員の減給
2004年3月初旬 ソフトバンクは個人情報管理諮問委員会および技術諮問委員会を設置
→これらによって事件の全容解明に取り組むこととなる
その後5月に追加で逮捕者が出るなどの経緯を経て、事件の全貌が明らかとなりました。

事件の原因(問題点)

この事件の問題点は、流出したような個人情報が特定の制限された担当者のみが扱えるといった状態になっておらず、全社員が閲覧・利用出来る状態になっていたことにあります。これによって、本来は情報を扱うべきではない社員から情報が外部に流出してしまったのです。

漏洩した情報は何か

この事件で流出した個人情報は、同社が持つ契約者の個人情報のうち「申込み住所」「氏名」「申込電話番号」「申込日」「メールアドレス」の5件です。クレジットカードなどの信用情報は含まれないとのことです。

事件後の対応はどうだったのか

同社の事件後の対応は、下記3つの観点で進められました。

  1. 原因究明
  2. 顧客へのお詫び
  3. 再発防止策

1月に事件発生後、これらは迅速に進められました。1の具体的取り組みとしては、個人情報管理諮問委員会および技術諮問委員会が設置され、2ではお詫び状の送付や金券の送付などが実施されました。加えて、役員の減給処分なども行っています。

まとめ(筆者所感)

Yahoo!BBの個人情報漏えい事件は、2004年に発生したもので、同社の契約者の個人情報約450万件が外部に流出したものです。この事件では、結局のところ犯人として会社役員など数名が逮捕されました。

同社から個人情報が流出してしまった最大の原因は「情報がすべての社員が使えるようになっていたこと」です。本来はアクセス制限などを行って特定の担当者のみ利用出来る状態にする必要がありましたが、それが出来ていなかったところに原因があります。

もちろん現在のように情報の管理体制や情報セキュリティに対する意識がまだまだ不十分であり、また個人情報保護法も2003年に施行されたばかりであるなど、情報管理に対する世の中の動きそれほど大きなものではありませんでした。

そういった中、ソフトバンクが行った事後対応策はかなり適切なものと言えます。迅速かつ適切に「原因究明」「顧客へのお詫び」「再発防止策」を進めると同時に報道を通して情報を随時発表していくという姿勢は非常に好感が持てるもので、その後の同様の事例での各社の対応のモデルとなったことも想像ができます。


SNSでもご購読できます。