総務省,個人情報流出事故でKDDIに行政指導,業界3団体にも注意喚起を要請
総務省は2006年9月25日,KDDIのインターネット接続サービス「DION」の顧客情報のうち約400万件が外部に漏洩(ろうえい)した事故について,同社に対して文書による行政指導を行ったと発表した。この事故は,KDDIに対する恐喝未遂事件により6月13日に発覚したもので,9月13日に事件の被疑者2人が警察により書類送致された。KDDIは9月20日に,総務省に事件の経緯と今後の対応策を報告した。 これを受けて総務省は,今回の事件発生当時におけるKDDIの個人情報の管理体制に不備があったと指摘し,「電気通信事業における個人情報保護に関するガイドライン」の規定に違反していたと判断した。そこで同社に対し,事件の再発防止に努めるよう文書で厳重に注意した。 また今回の事件を踏まえて総務省は,電気通信事業者協会(TCA)やインターネットプロバイダー協会(JAIPA),テレコムサービス協会の業界3団体に対
「DION」個人情報流出、委託先の元社員を書類送検
ISP「DION」ユーザーの個人情報を含むプログラムを無断で自宅PCにコピーしたとして、警視庁は9月8日、著作権法違反の疑いで、KDDIの業務委託先の元社員と、この社員から情報を受け取った知人を書類送検した。 この社員は、DIONのユーザー情報管理システムを受託開発していた企業の元社員と、その知人。元社員は2003年12月、DIONのユーザー情報を含むプログラムを自宅に持ち帰って開発作業を行い、作業終了後も自宅PCにデータを保存した上、今年4月、データを知人に渡していた疑いがもたれている。 KDDIは、データは同社のプログラムであり、同社に無断でコピーした著作権法違反だとして9月8日に2人を告訴した。情報流出事件を著作権法違反で立件したケースは初とみられる。 KDDIは今年6月、DIONユーザー399万6789人分の氏名、住所など個人情報が流出したと発表し、流出経路の社内調査を進めてきた。
〔57〕KDDI事件に見る「2.0時代」の組織的・人的対策
前回の「個人情報保護から始める内部統制の勧め」では,KDDI事件を題材に,内部統制システム構築の観点からアイデンティティ/アクセス管理ツールなどの技術的対策について取り上げた。今回は,引き続きKDDI事件について,組織的・人的対策の観点から考えてみたい。 現場レベルでの管理体制整備が柱だった「個人情報保護1.0」 まず比較のために,KDDIよりも前に,同じような個人情報漏えい事件が起きた「Yahoo! BB」の対応について見てみたい。2004年3月4日,当時のソフトバンクBBが発表した緊急対策では,以下のような組織的・人的対策を掲げている(「顧客情報の保護に関わる具体的な対策」参照)。 (1) 全ての派遣会社および従業員に対し,個人情報保護教育を実施する(教育の内容:集合教育,eラーニング,テスト等)。 (2) 全ての派遣会社および従業員と再度誓約書を締結し,情報セキュリティポリシーおよび
〔55〕監視映像やログの永年保存を決断したKDDI
前回の「フィルタリングはB2Cの個人情報保護対策ツール」では,子どもの個人情報保護対策として注目を浴びるフィルタリングソフトを取り上げた。日本では,携帯電話をはじめとする通信キャリア各社が,迷惑メール,出会い系サイト被害などへの対策としてフィルタリングの普及に積極的だ。だが残念ながら,これらの企業でも個人情報漏えい事件は起きている。 今回は,「KDDI情報漏えいで謝罪の憂き目を見た競合会社」で取り上げたKDDI個人情報漏えい事件について,その後の対応を見てみたい。 経営の最重要課題と再認識された個人情報保護 KDDIは,2006年7月21日に「2007年3月期第1四半期決算短信」を発表した。その中の「1).経営成績」で,インターネット接続サービス「DION」の顧客情報399万6789人分の外部流出に触れるとともに,「3).事業等のリスク」で「当社グループは通信の秘密及び個人情報・顧客情報の
Winny情報流出・DIONがファイル保有者に「削除のお願い」
ISP「DION」を運営するKDDIは8月3日、個人情報や著作権侵害ファイルなどがWinnyネットワークに流出した際、権利者から削除依頼があれば、該当ファイルを保有しているDIONユーザーに対して、ファイルの削除を依頼していることを明らかにした。 Winny経由で流出したことが7月に分かった、富山県高岡市の精神疾患患者約1500人の個人情報を保有しているDIONユーザーに対し、「権利侵害を受けている旨の通知があったため」として削除を依頼する書面を郵送した。書面は「対応がなく状況に変化がない場合、無用の訴訟などに巻き込まれないとも限りませんので、ご留意ください」などとしている。 ファイルを保有しているユーザーのIPアドレスは、流出元の富山市の情報処理会社から入手したという。同社はWinnyノードのIPを割り出せるネット関連企業に依頼したとみられる。この情報処理会社は、該当するIP数や依頼した
KDDIが個人情報漏えい事件の再発防止策を発表,投資額は100億円
KDDIは8月2日,6月13日に公表した個人情報漏えい事件(関連記事1,関連記事2)の再発防止策を明らかにした。同社は事件の発覚後,全社のセキュリティ対策状況の再点検を実施。今年度中に,(1)物理的セキュリティ,(2)技術的セキュリティ,(3)管理的・人的セキュリティの三つの角度から対策を強化する。投資額は約100億円で,主な内容は以下の通り。 (1)の物理的セキュリティ対策は,入退室管理を徹底的に強化する。顧客情報システムを設置した高セキュリティ・エリアだけでなく,システムの開発や運用を行う部門にも監視カメラと生体認証による入退室管理を導入。その他のエリアも,全国の事業所で監視カメラとICカードによる入退室管理を実施する。監視カメラの映像と入退室のログは永年保存するという。 (2)の技術的セキュリティ対策は,アクセス制御や監視の強化が中心である。既に,すべての業務用パソコンにアクセス制御
KDDIに聞きました---「私の個人情報漏れましたか?」
KDDIが,同社のインターネット接続サービス「DION」の顧客情報399万6789人分を漏えいした(関連記事『KDDI,顧客情報約400万件流出』)。流出が確認されたのは,2003年12月18日までにDIONに申込みをした顧客の,当時の名前,住所,電話番号。このうち2万6493人分が性別情報,9万8150人分が生年月日,44万7175人分が連絡先として登録したメールアドレスを含んでいた。 私の知る限り,おそらく個人情報保護法施行後,最大の流出事件である。2004年にソフトバンクBBが約450万件の個人情報流出事件を引き起こしたが,それを抜きにすれば「過去の例に見てもこれほど大きな規模のものはほとんどないといってよい」(内閣府企画課個人情報保護推進室)。 実は,私は「2003年12月18日」時点でDIONの会員だった。 DIONは長い間,お世話になったプロバイダーだ。私の兄も長く使っていた。
KDDI株主総会、顧客情報流出への質問が相次ぐ
15日、都内でKDDIの株主総会が開催された。同社代表取締役社長兼会長の小野寺正氏をはじめとする同社の経営陣が揃い、株主に向けて同社の施策などを説明した。 冒頭、小野寺氏は、13日に発表した顧客情報の流出について、あらためて報告と謝罪を行なった。同氏は「DIONユーザーの情報が外部に流出し、多大な迷惑と心配をかけたことをお詫びする。再発防止のために、体制の総点検および全容解明に努めている」と語った。 質疑応答の際には、株主から情報流出に関する質問が連続して投げかけられた。ある株主は「組織として欠陥があったのではないか、今後の対策はどうする?」と質したほか、別の株主は「顧客情報の流出に対して責任の所在を明確にする必要があるのではないか。どのような体制で本件に取り組むのか」と説明を求めた。 これに対し、小野寺氏は「当時としては対策を講じていたつもりだったが、結果として不十分だった。流出の可能性
KDDI情報流出で恐喝未遂の男2人逮捕
警視庁は6月13日、KDDIのISP「DION」の顧客情報を入手し、同社から現金を脅し取ろうとしたとして、恐喝未遂の疑いで男2人を逮捕した(関連記事参照)。 調べでは、男らは5月30日に「情報を入手した」とKDDIに電話。KDDIに届いたCD-Rを解析したところ、DIONユーザーの個人情報が入っていることを確認。その後男らはKDDIを訪れ、現金を要求した疑いがもたれている。 KDDIの相談を受け、警視庁が捜査を進めていた。 関連記事 「DION」400万人分のユーザー情報流出 KDDI小野寺社長が謝罪 KDDIのISP「DION」のユーザー情報約400万人分が外部流出したことが発覚した。この情報を利用してKDDIを恐喝したとして、男2人が逮捕されている。流出の経路は分かっていないが、内部からの流出と見られている。 関連リンク KDDI
「DION」400万人分のユーザー情報流出 KDDI小野寺社長が謝罪
KDDIは6月13日、ISP「DION」ユーザー399万6789人分の氏名、住所、連絡先電話番号が外部流出していたことを確認したと発表した。情報は、2003年12月18日までにDIONに申し込んだ全ユーザー分で、任意登録項目だった連絡先メールアドレス(44万7175人分)、性別(2万6493人分)、生年月日(9万8150人分)も流出した。口座番号などの信用情報や、DIONのメールアドレス、パスワード、通信記録などは流出していない。 情報を収録したCD-ROMなどが外部から持ち込まれ、流出が発覚した。警視庁は同日、KDDIに情報を持ち込んで現金を脅し取ろうとした疑いで、男2人を恐喝未遂容疑で逮捕した(関連記事参照)。 ISPの個人情報流出事件としては、2004年2月に発覚した「Yahoo!BB」の451万人に次ぐ規模。 KDDIの小野寺正社長同日、都内で会見し、「ご迷惑をかけて申し訳ない」と
【KDDI情報漏えい速報】約400万人の顧客情報が流出,信用情報は流出せず
KDDIは6月13日,399万6789人分の顧客情報を漏えいしたと発表した。ファイル交換ソフトによる漏えいではなく,ある人物の持ち込みによって漏えいが判明した。その人物からの脅迫などに関しては「現在,警察で捜査を行ってもらっているので,回答は差し控えたい」(KDDIの小野寺正社長)としている。 漏えいしたのはKDDIのインターネット接続サービス「DION」と旧KDDのインターネット接続サービス「NEWEB」の顧客情報で,2003年12月18日時点のもの。名前,住所,電話番号が含まれる。さらに,2万6493人分の性別,9万8150人分の生年月日,44万7175人分のメール・アドレスの情報も漏えいした。パスワードや通信記録,口座番号などの信用情報は流出していない。 KDDIではお詫びのメールや文書の送付,広告などで顧客に謝罪する。また,専用の電話を開設し,問い合わせに対応する。なお,顧客への保
【KDDI情報漏えい続報】「アクセス・ログは1年間しか保存していなかった」:ITpro
KDDIが開催した記者発表会では,顧客情報の流出が発覚した経緯と,これまでの管理体制に対しても説明があった。 顧客情報の漏えいが発覚したのは,5月30日。同社の個人情報開示相談室に,顧客情報を入手した旨の電話連絡が入った。翌日の5月31日,流出したデータの一部と見られる40万件の個人情報がKDDI本社の受付にCD-ROMで届けられたという。 同日,小野寺正社長を本部長とする対策本部を設置。届けられたデータを調査したところ,同社の顧客情報であることが判明した。その後,6月8日には流出した全データがUSBメモリーで届けられ,約400万件の顧客情報が流出したことを確認したという。警察の捜査の関係上,情報を持ち込んだ人間の素姓は明らかにしていない。 流出したのは,同社のインターネット接続サービス「DION」に申し込んだ顧客情報を管理するシステムに格納されたデータ。同システムに接続できる開発保守用の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KDDIが顧客情報流出の再発防止策、入退室ログや監視カメラ映像を永年保存
KDDI 会社情報: ニュースリリース > お客様情報流出の再発防止に向けた情報セキュリティ強化対策について〈別紙〉
ロイター.co.jp | 速報ニュース, ビジネス, 経済 金融ニュース, & More
ロイター.co.jp | 速報ニュース, ビジネス, 経済 金融ニュース, & More
経済、株価、ビジネス、政治のニュース:日経電子版