KDDI、顧客情報流出の再発防止に向けた情報セキュリティ強化対策
KDDIは8月2日、06年6月13日に報道発表した、03年12月18日時点のインターネット接続サービス「DION」の顧客情報が流出した事件を受けて、全社的な情報セキュリティの再点検を実施し、再発防止に向けた情報セキュリティの強化対策を策定・実施すると発表した。
社内調査の結果、顧客情報は当該情報を管理するシステムに接続された開発・保守用のPCから流出したものと判断。外部への流出経路については、現在調査を続けるとともに、警視庁の捜査に全面的に協力して解明していく、としている。
再発防止策として、「情報流出およびデータ抽出防止」「証跡確保」「情報セキュリティ対策の有効性測定、客観性確保」「当社社員および業務委託先等社員に対する教育の徹底」の4つの観点から全社的な情報セキュリティの再点検を実施。「物理的」「技術的」「管理的・人的」なセキュリティ対策について、それぞれ「06年度内に実施する対策」と「中長期的な取り組み」を策定した。
これまでに実施した「物理的セキュリティ対策」は、顧客情報システムを取り扱うエリアを「高セキュリティエリア」としてセキュリティルームを設置するとともに、ICカード認証、生体認証、監視カメラなども設置した。
「技術的セキュリティ対策」では、(1)顧客情報を持つシステムの商用環境へのアクセス制限を強化、(2)顧客情報を持つシステムの開発部門にシンクライアント端末を導入、(3)アクセスログの管理を強化(保存期間の延長など)、(4)システム利用者IDを人事情報と連動させ利用者管理を強化、(5)電子メールとインターネットアクセスの監視――を行っている。
「管理的・人的セキュリティ対策」では、(1)情報セキュリティ基本規程、顧客情報保護規程などを制定(改定を継続)、(2)半期毎に内部監査(社内、業務委託先)を実施、(3)e-ラーニングなどによる社員への情報セキュリティ教育、業務委託先への情報セキュリティ研修の実施、(4)業務委託先からの情報セキュリティの取り組み状況の報告――に取り組んでいる。