ベネッセ情報漏洩について考えるサイト

yahoo!の情報漏洩事件

 大企業による個人情報漏洩事件は2000年代に入ってから多発していますが、2004年にはYahoo!BBの登録者の個人情報が外部に漏れるという事件が発生しました。このときには最終的には約450万人の情報が流出したことが分かり、流出させたソフトバンク関連の社員が逮捕されました。450万人という漏洩数は当時、史上最大規模であり多くのメディアで取り上げられました。

 この事件の主犯者は、ソフトバンク本社に対して個人情報と引き換えに30億円を脅し取ろうとし、恐喝未遂容疑で逮捕されました。漏洩したルートについては、当初は外部からの不正アクセスだと考えられていましたが、実は社内での個人情報の管理は徹底されておらず、顧客データへのアクセス権限を持つ社員ならば犯行が可能であることが分かりました。

 この事件にはソフトバンクのシステム管理業務を委託されていた社員が関与しています。この社員は顧客データベースへのアクセス権を持っており、ハッカー仲間であった外部の容疑者の一人にアカウント、パスワードを教え、その外部の容疑者がインターネットカフェから顧客情報を引き出したのです。

 ソフトバンク側は顧客への対応として、500円の金券を送りましたが2006年には個人情報が漏れて精神的苦痛を受けたとして、会社員などが訴訟を起こしました。大阪地裁は運営会社であるBBテクノロジーとYahooに対して、一人当たり6000円の損害賠償の支払いを命じました。今回の事件では、顧客の管理体制が不十分であることが漏洩につながったため、顧客データベースにアクセスする際のユーザー名やパスワードを変更するなどの、不正アクセスを防止するための対策を行うことが指導されました。

 Yahoo!BBの漏洩事件の場合、社内では情報の管理の体制は一応構築されていました。顧客データへアクセスできるのは一部の限られた社員であり、職務から外れた者は権限を失う仕組みとなっていました。しかし、そのシステムが完全に機能しておらず漏れがあったことで犯行へとつながっていました。このような個人情報の漏洩事件が起こると漏洩させた犯人だけでなく、個人情報を保有していた事業者側も責任を問われるため、個人情報を取り扱うリスクは高まっています。