無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

2006年、KDDIと業務委託契約を締結している取引先の従業員が自宅に持ち帰った個人情報を、当該従業員の知人が入手した結果恐喝グループの手に渡り、個人情報399万6,789件が流出するという大規模な情報漏洩事件が明らかとなりました。

事件後、従業員と知人は「著作権法違反」、恐喝実行犯2名は「恐喝罪」でそれぞれ起訴されています。今回は、この事件についてまとめます。

事件概要

経緯に関しては下記の通りです。

なお、少しわかり難い部分があるので補足しますが、業務委託先の従業員とその知人は、恐喝実行犯である犯人2名とは別人です。つまり、今回の事件の（刑事・民事含めて）加害者は合計4人となります。

流出した情報

過去KDDIが運営していたインターネットサービス「DION」の利用顧客情報399万6,789件の氏名、住所、電場番号、連絡先。

また、内訳には他社ISPを含まれており、2万6,493名分の性別情報と9万8,150名分の生年月日、更に44万7,175名分のメールアドレスも流出していることが明らかとなりました。

事件の原因

情報管理に対する体制の甘さが露出した事件です。直接的な原因は委託先従業員の情報管理に対する意識の低さにありますが、KDDIの情報管理体制の甘さも今回の漏洩事件を形作ったと言えるでしょう。

事件後の対策

KDDIの対策は以下の通りです。

被害拡大防止処置

• 恐喝被害にあった当日に内部調査組織を編成。警察に相談。
• 逮捕までの間に顧客被害が出ない様、一旦交渉に応じる。

再発防止策

• 入退室ログや監視カメラを設置することで、監視体制を構築。
• 記録媒体を持たずにサーバにアクセスする、Thinクライアント端末の導入。
• システムルームへの指紋認証による入室システムの導入。

顧客対策

• 社長自らによる、謝罪会見及び事件報告
• 被害者に対する情報漏洩の報告と謝罪
• 被害者対応に努めるべく、相談ダイヤルの設置

まとめ

今回の事件は、委託先従業員の情報管理体制の甘さが直接的な発端です。そのため、KDDI内部で担当者ごとに個人情報に対するアクセスレベルを制限するなど、情報管理の徹底を行っていれば、防ぐことができたかもしれません。

また、ファイルやメディアに対する自動暗号化システムの導入など、適切な外部流出対策を実施しておけば、持ち出しがあったとしても流出のリスクは減少するでしょう。当然、KDDIが取った対策であるシステムルームに対する監視カメラや指紋認証による管理システムの構築も、情報の持ち出しを防ぐ有効手段の1つです。

これらは全て、漏洩事件が起きてしまった後に取った対策ですが、いずれも再発防止策としては効果が期待できます。皮肉な話ですが、現在のKDDIが実施している「情報漏洩対策ソリューション*2」サービスをもっと早く導入していれば、防ぐことができたと言えるでしょう。

＜参照＞

1. お客様情報流出の再発防止に向けた情報セキュリティ強化対策について／KDDIニュースリリース
2. 情報漏洩対策ソリューション／KDDI