KDDIお漏らしの詫び状

　6月13日にKDDIのインターネット接続サービスDIONが個人情報を流出させた事件で詫び状が送付されてきました。 4通も。

KDDI、「DION」の顧客情報約400万人分流出を発表
　KDDIは13日、同社が運営するインターネット接続サービス「DION」 の顧客情報399万6,789人分が外部に流出していたことを確認したと発表した。 流出した顧客情報は2003年12月18日時点の情報であることもあわせて発表された。

　KDDIによれば、氏名、住所、連絡先電話番号が漏れた顧客の人数は399万6,789人分。うち、性別、生年月日、 連絡先メールアドレスも漏れていた顧客もあるという。細かい内訳は性別が2万6,493人分、生年月日が9万8,150人分、 連絡先メールアドレスが44万7,175人分。

　DIONメールアドレスおよびパスワード、口座番号などの信用情報、通信記録については流出していないとしている。

　プロバイダーの顧客情報流出では、2004年にYahoo! BBの顧客情報が451万7,039件漏えいした事件が過去最大で、 今回の流出件数は、それに次ぐ規模と見られる。

　不審に思った点を箇条書きにすると、3点にまとめられます。

• 個人情報が消去されずそのまま保持されていること
• 名寄せをせずデータベースそのまま送ってきたこと
• 書状からはどのサービスを利用したのかわからない

　1点目の個人情報を保持している点につては、解約後一定期間保持するのは致し方のないことですが、 私の場合は2003年末の段階ではDIONのサービスを一切利用しておらず、 少なくとも流出した1件の情報は1998年にサービスを解約しています。

　2点目は同じものを4通送ってきても意味がないということ。資源の無駄ですし、とりあえずおざなりにあやまっとけという感じがして、 顧客満足度は下がります。

　3点目は私がDION契約したのは1997年にインターネット接続サービスに申し込んだのと、 2003年にADSLを申し込んだ2件になります。後の2件はどのようなサービスを利用してデータベースに登録されたのか、 不明ですのでどのようなプロセスを踏んで集められたのか気になります。 不明な2件のうち1件は以前個人向けインターネット接続を提供していたkcomではないかと推測できます。 1998年にISDNで追加料金なしにMP(128kbps)を1Bの価格で提供していたため、契約した記憶があります。 残り1件が不明です。

　詫び状の内容はというとありきなたな内容で、顧客データベースのアクセス制限や入退室を指紋認証によって行われていること、 不正アクセスに対処している趣旨が書かれています。こういった問題の大本は、その顧客データベースにアクセスでき、 物理的に指紋認証の必要な部屋に入退出できる人が個人情報を漏洩させることです。そういった人たちへの対処方法は一切記載がありませんので、 本当に個人情報を保護するためのやる気があるのかと思います。

　詫び状一つ出すにしても、最低限の配慮が必要なのは当然ですが、 配慮に欠けるとかえって不信感を増大させる結果になることを身をもって知らせてくれた詫び状でした。