2006年、KDDIと業務委託契約を締結している取引先の従業員が自宅に持ち帰った個人情報を、当該従業員の知人が入手した結果恐喝グループの手に渡り、個人情報399万6,789件が流出するという大規模な情報漏洩事件が明らかとなりました。

事件後、従業員と知人は「著作権法違反」、恐喝実行犯2名は「恐喝罪」でそれぞれ起訴されています。今回は、この事件についてまとめます。

事件概要

経緯に関しては下記の通りです。

2003年12月18日 当該従業員がKDDIが運営していたインターネット接続サービス「DION」の顧客情報399万6789件を持ち帰る。
2006年4月 持ち帰ったデータを、従業員の知人が入手する。
2006年5月30日 KDDIが運営する電話相談窓口「個人情報開示相談室」に謎の男から「個人情報を入手した」と連絡が入る。
2006年5月31日 謎の男性2人組がKDDI東京本社の受付に「40万人分の顧客情報を記録したCD-ROM」を持ち込む。「入手した情報の1部に過ぎない」と明示しつつ、仕草で金銭を要求する。
2006年5月31日 KDDIは内部調査のための組織を編成、同時に警察に通報し対応を相談する。
2006年6月8日 KDDIの役員が金銭を要求する男性側と交渉を行い、流出したDIONの顧客情報399万6789件をUSBメモリで受け取る。
2006年6月13日 KDDIの小野寺社長が記者会見を開いて、情報漏洩事件を公表。
2006年6月13日 恐喝容疑でKDDIを訪れた男性2名が逮捕。
2006年6月21日 定例会議にて、流出した個人情報の中にKDDIが他のISP経由で提供していサービスに関する顧客情報1,892人と、ネット決済代行サービスの利用法人997社の情報が含まれていたことを公表する。
2006年6月22日 21日と同じISP経由での流出分として、日本テレコムのサービス「JENS SpinNet」の個人情報645人分とNTTデータ三洋システムが運営する「SANNET」の顧客情報190人分が今回の流出に含まれていた事が発覚する。両ISP     は謝罪。
2006年8月2日 入退室ログや監視カメラ映像を永年保存するなど再発防止策を発表。
2006年8月3日 KDDIの業務委託会社の取引先社員が顧客情報を外部に持ち出していたことを公表。*1
2006年9月7日 恐喝を行った男性2人の第1回公判が行われる。論告求刑は3年と6月の懲役。
2006年9月8日 KDDIがデータを持ち出した委託先従業員及び、その知人を著作権法違反で告訴。
2006年9月13日 検察は当該委託先従業員及び知人を著作権法違反で書類送致。
2006年9月21日 KDDIが今回の情報漏洩により、総務省から行政指導を受ける。

なお、少しわかり難い部分があるので補足しますが、業務委託先の従業員とその知人は、恐喝実行犯である犯人2名とは別人です。つまり、今回の事件の(刑事・民事含めて)加害者は合計4人となります。

流出した情報

過去KDDIが運営していたインターネットサービス「DION」の利用顧客情報399万6,789件の氏名、住所、電場番号、連絡先。

また、内訳には他社ISPを含まれており、2万6,493名分の性別情報と9万8,150名分の生年月日、更に44万7,175名分のメールアドレスも流出していることが明らかとなりました。

事件の原因

情報管理に対する体制の甘さが露出した事件です。直接的な原因は委託先従業員の情報管理に対する意識の低さにありますが、KDDIの情報管理体制の甘さも今回の漏洩事件を形作ったと言えるでしょう。

事件後の対策

KDDIの対策は以下の通りです。

被害拡大防止処置

  • 恐喝被害にあった当日に内部調査組織を編成。警察に相談。
  • 逮捕までの間に顧客被害が出ない様、一旦交渉に応じる。

再発防止策

  • 入退室ログや監視カメラを設置することで、監視体制を構築。
  • 記録媒体を持たずにサーバにアクセスする、Thinクライアント端末の導入。
  • システムルームへの指紋認証による入室システムの導入。

顧客対策

  • 社長自らによる、謝罪会見及び事件報告
  • 被害者に対する情報漏洩の報告と謝罪
  • 被害者対応に努めるべく、相談ダイヤルの設置

まとめ

今回の事件は、委託先従業員の情報管理体制の甘さが直接的な発端です。そのため、KDDI内部で担当者ごとに個人情報に対するアクセスレベルを制限するなど、情報管理の徹底を行っていれば、防ぐことができたかもしれません。

また、ファイルやメディアに対する自動暗号化システムの導入など、適切な外部流出対策を実施しておけば、持ち出しがあったとしても流出のリスクは減少するでしょう。当然、KDDIが取った対策であるシステムルームに対する監視カメラや指紋認証による管理システムの構築も、情報の持ち出しを防ぐ有効手段の1つです。

これらは全て、漏洩事件が起きてしまった後に取った対策ですが、いずれも再発防止策としては効果が期待できます。皮肉な話ですが、現在のKDDIが実施している「情報漏洩対策ソリューション*2」サービスをもっと早く導入していれば、防ぐことができたと言えるでしょう。

<参照>

  1. お客様情報流出の再発防止に向けた情報セキュリティ強化対策について/KDDIニュースリリース
  2. 情報漏洩対策ソリューション/KDDI

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?