アッカ・ネットワークスは25日、ADSLサービスの顧客情報流出について記者会見を実施した。会見では坂田好男代表取締役社長、湯崎英彦代表取締役副社長、前沢孝夫取締役コーポレート本部長が出席、「申し訳ありませんでした」と陳謝した。
● 流出経路は未確定。広告・販促は当面自粛
|
左から湯崎英彦代表取締役副社長、坂田好男代表取締役社長、前沢孝夫取締役コーポレート本部長
|
会見の冒頭では、坂田好男代表取締役社長から、今回の情報流出に関する概要が説明された。現在アッカが照合した201件のユーザーが加入するプロバイダーはOCN、@nifty、DION、BIGLOBE、ASAHIネット、So-net、TikiTikiインターネットの7社。アッカはADSL回線をプロバイダーにホールセールするサービス形態であり、クレジットカード情報といった信用情報は保有していないため、信用情報流出の危険性はないとした。
流出した顧客情報の内容は、「氏名」「郵便番号」「住所」「電話番号」「申込時連絡先メールアドレス」「性別」の5項目。データが流出した時期は2003年3月末から5月上旬と推定。これはユーザーが移転の際に住所変更を行なったデータを元にして、新しいデータであればいつ変更したのかといった絞り込みを行なった結果だという。
今回流出が判明した201名の顧客情報は、3月22日に朝日新聞の記者から提供されたもの。アッカでは緊急対策委員会を立ち上げて調査を開始、23日にデータの流出時期などを推定した。24日に朝日新聞記者とコンタクトを取り、アッカが受け取ったリストと朝日新聞側のデータの合致を確認、「可及的速やかに発表すべき」として今回の発表に至ったという。
流出原因についてはアクセスログや入退室ログ、出勤状況などをつき合わせて解析しているが、現段階ではまだ判明していないという。流出が判明したユーザーへはメールや郵送による謝罪を行なうほか、専用の電話窓口を設置。メールアドレス変更の希望についても提携プロバイダーと協力して対応していく予定。ただし金銭的な対応については「調査の結果を踏まえて提携プロバイダーと誠意を持った対応をしていく」との発言に留まり、具体的な対策は明示されなかった。
今後は一刻も早く全容を解明、ユーザーへの不利益を最小限とすることを責務と考え、ユーザーおよびプロバイダーの信頼を得られるまではアッカが主体で行なう広告は自粛する方針。販売促進活動についても同じく自粛するという。
● アクセス制限と流出対策の強化を図る
|
「申し訳ありませんでした」と謝罪する経営陣
|
続いて情報セキュリティオフィサーを務める湯崎英彦代表取締役副社長から、管理体制などの再発防止策について説明が行なわれた。
湯崎氏は管理体制の強化策として、データの入口である「アクセス制限」、データの出口である「流出対策」の強化を挙げ、それに伴うデータ通り道も対策を図っていくとした。
データベースへのアクセスについては権限を強化。高セキュリティルームを新たに設置し、そこでのみデータベースへアクセス可能にする。高セキュリティルームには入室できる権限者が限定されるほか、インターネットへも接続できない。また、部屋の中で許される作業は事前に登録を行ない、それ以外の作業が行なわれないよう監視専門の人員が設置される。
データベースへは従来まで466名がアクセス可能だったが、その人数を62名に制限した。466名の内訳はサポート部門が主で、データベースすべてにアクセス可能だったが、大量データの一括表示は利用できず、1件1件データを参照できるのみだという。
また、従来の問題点として社内の共有アカウントを指摘。「利用できた人数は限定的だったと考えているが」と前置きした上で、「17個ほどあった共有アカウントをすべて廃止した」と説明した。
情報システム部門のセキュリティ強化も図る。従来まで他部門の人間も入室が可能だったが、この点を厳しく管理するという。また、情報システム開発者のデータベースアクセスには権限のワンタイム化を導入、当日のみのアクセスしかできないという制限が設けられる。セキュリティルームの設置と情報システム部門のセキュリティ強化は3月29日までに、共有アカウント廃止は3月26日までに実施する予定だという。
続いてデータの流出対策については、PCのUSBポートやフロッピーディスクを4月4日までに原則すべて利用できなくする。また、現在社内で使用しているメールはすべて1カ月間保存し、1週間に1回程度の頻度で不審なメールがないか監視する。従来はユーザー情報を取り扱う部署については、外部にメールする際に上司の許可が必要だったが、今回はこれを強化したものだという。この対策は3月29日までに行なわれる。
顧客情報を扱うサポート担当部署についてはインターネットのアクセスを原則利用できなくする方針。こちらは4月4日までに対策が行なわれる。
湯崎氏は「我々が行なっている対策が十分であるか外部のセキュリティ監査を早急に実施したいと考えている」とコメント。「情報の漏洩については個々人の意識の問題が非常に大きいと考えているので、こちらも教育の強化を図り、意識を高めていきたい」とした。
● 会員データがすべて流出した可能性も否定できない
今回流出が判明した201件は、あくまで朝日新聞から提供を受けたリストによるもので、恐喝といった事件は発生していないという。坂田社長は「30万人という数字は報道で話を聞いただけ」とした上で、「どれだけ流出したかは根拠がなく、会員データがすべて流出している可能性も否定できない」とした。
アッカのADSL会員は現在約110万件程度で、サービス開始当初から解約ユーザーのデータもすべて保存しているため、累計で約140万件近い個人情報を所有しているという。また、流出が確定した201件の個人情報には、現時点の解約ユーザーが含まれるほか、流出したと想定している時期すでに解約していたユーザーについても「含まれているかもしれない」とした。
今回のセキュリティ強化策は主に内部流出を防ぐために行なわれている。外部からの不正アクセスによる流出の可能性については「ある一定の対策を講じており、内部の可能性が高いと現時点では考えている」という。
データベースへのアクセスログ保存期間は「サービス開始以来、原則としてすべて保存している」という。ただし一部データベースについては「2つあるアクセス経路のうち1つは、保存容量の関係で削除したが、こちらではデータを取り出すことはあまり行なわれていなかった」という現状も付け加えられた。今後はできるだけ長期間ログを保存する方針だという。
なお、データベースへのアクセスログでは、データベースへのアクセス時間を記録しているが、データの引き出しについては「流出したと想定している時期には記録していない」という。現在はデータの引き出しについてもアクセスログで記録している。
データベースへのアクセス権限を持っていた466名はすべてのデータを閲覧できたほか、社内全体でもインターネットの接続やWebメールの利用できた。また、外部メモリの利用などは禁止していたものの、現実的に利用は可能だったという。湯崎氏は「情報漏洩が現実に起こった以上、運用体制に問題があったと思う」と発言した。
今回の件についてはすでに警察にも相談しているという。ただし相談を行なった時期については「捜査上の関係」として具体的な日時は示されなかった。
関連情報
■URL
お客様情報の流出に関するお詫びとご説明
http://www.acca.ne.jp/release/040325.html
アッカ・ネットワークス
http://www.acca.ne.jp/
■関連記事
・ アッカの個人情報漏洩を受けて提携プロバイダーが対応を発表(2004/03/25)
・ 【速報】アッカ、ADSLサービス201名分の顧客情報が流出(2004/03/25)
( 甲斐祐樹 )
2004/03/25 15:06
- ページの先頭へ-
|