KDDI顧客情報流出事件(ケイディーディーアイこきゃくじょうほうりゅうしゅつじけん)は、2006年、KDDIのISPであるDIONの顧客情報が流出した事件。この事件でKDDIを恐喝したとして2名が逮捕された。また流出規模は約400万件におよび、2004年のYahoo! BB顧客情報漏洩事件に次ぐ規模である。
沿革
- 2003年12月 業務委託先の取引先社員が顧客情報を収納したPCを自宅に持ち帰る。
- 2006年4月 データが知人の元に渡る。
- 2006年5月30日 個人情報開示相談室に「個人情報を入手した」との連絡。
- 2006年5月31日 40万人分のユーザー情報がKDDI本社に持ち込まれる。同日、情報流出対策本部を設置。
- 2006年6月13日 小野寺社長が記者会見を行い流出を公表。同日、KDDIを恐喝したとして2名を逮捕[1]。
- 2006年6月15日 KDDI株主総会
- 2006年6月21日 ニフティなど他社ISP分の個人情報流出を公表[2]。
- 2006年6月22日 JENS SpinNetとSANNETの顧客情報分も流出に含まれていた事を公表[3]。
- 2006年8月2日 入退室ログや監視カメラ映像を永年保存するなど再発防止策を発表
- 2006年8月3日 KDDIの業務委託会社の取引先社員が顧客情報を外部に持ち出していたことを公表[4]。
- 2006年9月13日 データを持ち出した人物を著作権法違反で書類送致 社内処分発表。
- 2006年9月21日 総務省から行政指導[5]。
経緯
- 2006年5月30日KDDI電話相談窓口「個人情報開示相談室」に「個人情報を入手した」と電話連絡があった。翌5月31日、40万人分のユーザー情報を収録したCD-ROMを「入手した情報の一部」として、KDDI本社の受付に持ち込んだ。KDDIはこの情報を解析し、DIONのユーザー情報と一致することを確認。同日、情報流出対策本部を設置、社内調査を進めるとともに警察当局に相談した[6]。
- その後、同社役員が情報を持ち込んだ人物と会って話し、保有している情報をすべて渡してもらえるよう交渉。6月8日に、顧客の全情報が入ったUSBメモリを手渡しで受け取った。KDDIは6月13日、小野寺正社長が記者会見を行い顧客情報の流出があった旨を公表した。また流出はISPのDIONユーザーのみであり合併前に旧KDDが所有していたISP newebユーザーの情報や固定回線、au携帯電話の個人情報流出はなかったとしながらもYahoo! BB顧客情報漏洩事件では全顧客に一律500円の金券を送ったがKDDIは金券を送るなどの処置は取らないと会見した[7]。また同日、警視庁はKDDIに情報を持ち込んで現金を脅し取ろうとした疑いで男2人を恐喝未遂容疑で逮捕した[1]。
原因
会見で小野寺社長は流出した情報は何者かが何らかの理由で社内PCから情報にアクセスし、ダウンロードして持ち出したすなわち「当社または関係者から流出したと推定せざるを得ない」とした。理由としてシステムルーム入室には、ICカードが必要だったこと、PCはMACアドレスとIPアドレスを登録・管理しており、外部ネットワークにはつながっていなかったこと、PC内のデータにアクセスするには、ユーザーID・パスワードが必要だったことをあげている。なお、情報が抜き取られた時期は「2003年12月18日以降の比較的短い期間内だろう」としているが、特定できていない。それはKDDIは当時、アクセス履歴などの保存期限を1年としており、当時のアクセス履歴や入退室履歴が「残っていない」ためである[6]。
二次流出・三次流出
6月21日小野寺社長は流出した顧客情報の中に、KDDIが他のISP経由で提供していたIP電話サービスの利用者1,892人と、KDDIのネット決済代行サービスを提供していた法人997社の情報が含まれていることを公表。ニフティは2003年12月18日以前にIP電話サービス「KDDIフォン for @nifty」または「@niftyフォン-k」を申し込んだ895人分の顧客情報が流出し、氏名、住所、電話番号、メールアドレスの4項目が含まれていたという[2]。また翌22日にはJENS SpinNetとSANNETの顧客情報が含まれていた事も発覚し公表した[3]。
裁判
8月3日東京地方裁判所で開催された、KDDIに対する恐喝未遂容疑で逮捕・起訴された被告人2人の第1回公判の中でKDDIがDIONのシステム開発業務を委託していた会社の取引会社社員が顧客情報を外部に持ち出し、2人を経由して被告人の手に渡っていたことが明らかにされた。 その事実を元にKDDIはKDDIの業務委託会社の取引先社員が顧客情報を外部に持ち出していたことを公表した[4]。
最終結果報告
- KDDIは9月13日最終結果としてデータの流出元となった開発業務委託先の取引先社員(以下A)は2003年12月、顧客情報を収納したPCを自宅に持ち帰って作業を行ない、作業終了後もデータを保存していた。そのデータを2006年4月にAの知人に渡し、その後、恐喝未遂容疑に問われている2人にデータが渡ったとしている。
- KDDIでは9月8日、Aとその知人を著作権法違反で告訴、これを受けて警視庁では13日、同法違反で2人を書類送致した。KDDIによると、データベースに保存されていた同社の著作物と言えるデータを、著作権者に無断でコピーしたと判断したという。 また同日小野寺正代表取締役社長兼会長の月例報酬を3カ月間20%返上するなどの社内処分を行なったことも発表した[8]。また、9月21日総務省から行政指導が下され一連の事件は終結した。
関連項目
脚注