KDDI顧客情報流出事件

KDDI顧客情報流出事件の概要

2006年、KDDIのインターネットサービスプロバイダ（ISP）であるDIONの顧客情報が大規模に流出した事件です。この事件は、情報流出だけでなく、流出した情報を利用してKDDIを恐喝しようとした人物が逮捕されるという、二重の深刻さを伴いました。流出した顧客情報の規模は約400万件に及び、2004年のYahoo! BB顧客情報漏洩事件に次ぐ規模の大規模情報漏洩事件として、当時大きな社会問題となりました。

事件の経緯

2003年12月: KDDIの業務委託先の取引先社員が、顧客情報を保存したPCを自宅に持ち帰るという不適切な行為が発生しました。
2006年4月: 自宅に持ち帰られたデータが、知人の手に渡ってしまいます。
2006年5月30日: KDDIの個人情報開示相談室に「個人情報を入手した」という連絡が入ります。
2006年5月31日: 40万人分の顧客情報が収録されたCD-ROMがKDDI本社に持ち込まれます。KDDIは同日、情報流出対策本部を設置し、対応を開始しました。
2006年6月13日: KDDIの小野寺社長が記者会見で情報流出を公表しました。同日、KDDIを恐喝したとして2名が逮捕されました。
2006年6月15日: KDDI株主総会が開催されました。
2006年6月21日: ニフティなど他社ISP経由で提供していたサービス利用者の一部情報も流出していたことが公表されました。
2006年6月22日: JENS SpinNetとSANNETの顧客情報も流出に含まれていたことが公表されました。
2006年8月2日: 入退室ログや監視カメラ映像の永年保存など、再発防止策が発表されました。
2006年8月3日: KDDIの業務委託会社の取引先社員が顧客情報を外部に持ち出していたことが公表されました。
2006年9月13日: データを持ち出した人物が著作権法違反で書類送致され、社内処分が発表されました。
2006年9月21日: 総務省から行政指導が行われ、一連の事件は終結しました。

事件の詳細

KDDIへの最初の連絡は、2006年5月30日に電話相談窓口「個人情報開示相談室」に入った「個人情報を入手した」という内容でした。翌日、40万人分の顧客情報が収録されたCD-ROMがKDDI本社に持ち込まれ、KDDIはデータがDIONのユーザー情報と一致することを確認しました。その後、情報を持ち込んだ人物との交渉で、全顧客情報が記録されたUSBメモリを回収することに成功しました。

6月13日の記者会見で、KDDIは情報流出を公表するとともに、恐喝未遂容疑で2人が逮捕されたことを発表しました。この事件で、KDDIはYahoo! BB顧客情報漏洩事件のように顧客に金券を送るなどの対応は行わない方針を示しました。

流出原因

KDDIの小野寺社長は記者会見で、情報が社内PCから何者かによってダウンロードされ、持ち出されたと推定されると説明しました。システムルームへの入室にはICカードが必要であり、PCもMACアドレスとIPアドレスで管理され、外部ネットワークに接続されていなかったため、内部からの流出である可能性が高いと指摘されました。

情報が抜き取られた時期は、アクセス履歴などの保存期限が1年であったため、特定には至りませんでした。しかし、2003年12月18日以降の比較的短い期間内であると推定されました。

二次流出・三次流出

情報流出の影響はDIONの顧客情報にとどまらず、KDDIが他のISP経由で提供していたIP電話サービスの利用者情報や、KDDIのネット決済代行サービスを利用していた法人情報も含まれていることが判明しました。

ニフティの顧客情報や、JENS SpinNet、SANNETの顧客情報も流出したことが後日発表され、情報流出の規模がさらに拡大しました。

裁判と最終報告

KDDIを恐喝しようとした2人の裁判の中で、KDDIがDIONのシステム開発業務を委託していた会社の取引先社員が顧客情報を外部に持ち出したことが明らかになりました。この事実を受けて、KDDIは業務委託先の取引先社員が顧客情報を外部に持ち出したことを公表しました。

KDDIは最終報告として、データの流出元となった開発業務委託先の取引先社員が2003年12月に顧客情報を収納したPCを自宅に持ち帰り、その後データを知人に渡し、最終的に恐喝未遂容疑で逮捕された2人の手に渡ったと結論付けました。KDDIは著作権法違反で社員と知人を告訴し、警察は書類送致しました。また、KDDIは社内処分を発表し、総務省から行政指導を受け、事件は終結しました。