KDDIは、6月13日に報道発表した、2003年12月18日時点のDION顧客情報が流出した事件を受けて、全社的な情報セキュリティの再点検を実施した。これを踏まえ、再発防止に向けた情報セキュリティの強化対策を策定し実施すると発表した。
顧客情報の流出経路については、社内調査により、当該情報を管理するシステムに接続された開発・保守用のPCから流出したものと判断しているという。外部への流出経路については、同社において現在調査を続けるとともに、警視庁の捜査に全面的に協力し、その解明に努めているとしている。
同社ではこれまでも、セキュリティ技術の進歩や2005年4月の個人情報保護法施行などに合わせて、情報システムに接続する端末としてシンクライアント端末を導入したり、システムルームへの入退室にあたり指紋認証システムを導入したりするなど、技術や環境の変化に応じ、情報セキュリティの高度化対策を実施してきた。
今回の強化対策のうち、今年度内をめどに速やかに実施する強化対策としては、まず物理的セキュリティ対策だ。顧客情報システムを取り扱う高セキュリティエリアに加え、一部特別作業を行う執務室においても監視カメラおよび生体認証による入退室管理を実施するほか、全国の事業所においても、監視カメラおよびICカードによる執務室への入退室管理を実施し、これらの監視カメラ映像および入退室ログを永年保存するとしている。
また技術的セキュリティ対策として、社内の全業務用PCの端末デバイス規制 (USB、FD、CD-R等への書込み禁止)を徹底し、各種アクセスログを永年保存するほか、電子メールについては顧客情報や機密情報の有無を含め監視を強化。さらにシンクライアント端末導入の拡大、顧客情報を扱うシステムへのフォレンジクス(セキュリティ事故発生時に侵入経路や被害範囲などを特定するための証拠保全技術)ツールの導入、顧客情報を取り扱う専用PCでのメール/インターネット規制の徹底、業務委託先等とお客様情報ファイルの授受を行うためのセキュアなファイルサーバの導入などを行う。
管理的・人的セキュリティ対策としては、一部部門において取得済みのISMS(情報セキュリティマネジメントシステム)認証を早期に全社で取得すべくその活動を促進すること、一部の情報システムについて実施している外部機関による監査をほかの主要な情報システムについても順次実施すること、全社員および業務委託先社員に対する情報セキュリティ・コンプライアンスに関するe-ラーニングや階層別研修を実施するとともに、業務委託先の情報セキュリティ責任者に対する研修を全国規模で実施すること、派遣社員・委託先社員のデータベースシステムを構築し、一元管理を強化することを挙げている。
《小笠原陽介》
page top
