アッカでも個人情報流出、内部漏えいの可能性も

2004/3/26

 NTTコミュニケーションズが40.8%出資するADSL事業者のアッカ・ネットワークスは顧客の個人情報が外部に流出したと3月25日発表した。同社が確認したのは201件分の個人情報だが、代表取締役社長 坂田好男氏は「顧客情報がすべて流出した可能性も否定できない」と述べ、解約者も含めて140万件の個人情報すべてが外部に流出した可能性があることを説明。「お客さまに多大なご迷惑、ご心配をおかけし、申し訳ございません」と謝罪した。

謝罪するアッカの経営陣。左から代表取締役副社長 湯崎英彦氏、代表取締役社長 坂田好男氏、取締役コーポレート本部長 前沢孝夫氏

 流出した個人情報は名前、郵便番号、住所、電話番号、申し込み時の連絡用電子メールアドレス、性別。アッカが管理していた顧客情報に性別は含まれていなかったが、アッカが確認した情報には性別が含まれていた。201件は2003年3月末から同年5月上旬に顧客管理データベースに保存されていた情報だった。クレジットカード番号などの信用情報は含まれていない。

 流出した経緯はアッカが警察と連携し調査中だが、アッカでは「外部からの攻撃にはある一定の防御ができている。内部から流出した可能性が高い」(同社代表取締役副社長兼チーフ・セキュリティ・オフィサー[CSO] 湯崎英彦氏)とみている。アッカは2002年から「BS7799に則った」(湯崎氏)セキュリティ対策を実施。「情報セキュリティポリシーやユーザールールの策定、システムの堅牢性の検証などを行ってきた。セキュリティ監査を受けて外部からの侵入に対しては極めて困難と評価された」という。セキュリティポリシーはBS7799に準じて策定したが、BS7799自体は取得していない。

 顧客情報の管理については不十分だった面が否めない。顧客情報のデータベースには情報システム部門、営業部門、サポート部門の社員や派遣社員、業務委託スタッフら466人がアクセスし、情報を参照することができた。セキュリティポリシーでは禁止されていたがUSBメモリーなど外部メディアを使って情報を抜き出すこともでき、「万単位の個人情報をデータベースから引き出すことも可能だった」(湯崎氏)という。データベースにアクセスするための共有アカウントも17個あった。データベースにアクセスするには2つのアプリケーションを使っているが、そのうち1つのアプリケーションのアクセスログは保存容量がひっ迫したため、2003年末に削除した。アッカでは残る1つのアプリケーションのログを分析し、流出経路の把握を急いでいる。

 アッカは今後の対策としてデータベースへのアクセス権限を62人に限定すると発表した。62人はワンタイムパスワードを使い、当日だけアクセスできるようにする。データベースにアクセスする社員はインターネットアクセスをできないようにし、外部流出を防止。共有アカウントは廃止する。社内で利用される電子メールは、その送受信メッセージを一定期間保存するようにし、定期的にチェックする。社内でのセキュリティ教育なども実施する計画。4月4日までに順次、対策を実施する。

 「被害者であるより、結果として(顧客に対する)加害者だと思っている」。社長の坂田氏はこう述べて謝罪した。ソフトバンクBB、ジャパネットたかたと企業からの個人情報流出が続いている。後ろ向きの投資として、トラブルが発生した後で行われることが多かったセキュリティ対策。企業は事故、事件が起きることを想定した強固なセキュリティ対策が求められる。

(編集局 垣内郁栄)

[関連リンク]
アッカ・ネットワークスの発表資料

[関連記事]
ノベルがセキュリティ強化製品を4つ同時に発表 (@ITNews)
迫られる情報漏えい対策、三菱電機が格安パック (@ITNews)
ヤフーBB全会員に500円、情報流出事件で孫氏が謝罪 (@ITNews)
巨額の損害賠償請求に有効、フォレンジクスとは (@ITNews)
個人情報流出で倒産するシステム・インテグレータ (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)