顧客情報の保護に関わる具体的な対策

2004年3月4日

「Yahoo! BB」のお客様情報をもとにした恐喝未遂事件に関しまして、子会社のソフトバンクBB株式会社よりプレスリリースを発表致しました。以下のとおりお知らせ申し上げます。

記

ソフトバンクBB株式会社では、今般の個人情報盗難問題に関して、全社的な情報管理体制の検証を行った結果、下記対策が最も重要であるとの認識に達しました。そこで、本年3月末までに実施する緊急対策として、下記の対策を早急に実施することといたしました。

本年3月末までの緊急対策

1)情報セキュリティの責任を明確化し、確実に対策を推進する体制として、情報セキュリティ管理責任者（チーフ・インフォメーション・セキュリティ・オフィサー：以下「CISO」とする）に常務取締役　阿多親市（アタシンイチ）を任命した。
2)情報セキュリティポリシーを策定し、部門ごとの責任者を任命し徹底させる。
3)第三者からのアドバイスをうけるため諮問委員会（正式名称：個人情報管理諮問委員会）を設置した。
委員
- 宮脇磊介氏（警察庁出身・初代内閣広報官・危機管理の専門家）
- 牧野二郎弁護士（「企業情報犯罪対策入門」執筆、情報管理の権威）
- 高橋伸子氏（生活ジャーナリスト・金融審議会などの委員を務める）

1)情報システム開発業務は他の業務と切り離し個人情報データは一切使用しないのに加え、アクセス不可の環境下で業務にあたる。
2)情報システム運用業務、コールセンター業務は高セキュリティエリアで実施し、顧客情報は高セキュリティエリア内でのみ閲覧可能とする。
3)高セキュリティエリアを設定し、下記のような対策を講じる。
- 認証システム等による入室制限を行い入室者の社員ID、時間を記録し定期的に確認する（入室許可はCISOが承認する）。
- 高セキュリティエリアにある情報システム部門全てとコールセンターの一部の機器は、インターネット環境と物理的に接続しない。

1)顧客情報の取り扱いを次の通り大幅に制限する。
- すべての顧客情報に常時アクセス出来る権限者は、CISOが承認した最低限の人数とする（3名を予定）。また、常時アクセス権限者が、業務上必要と認められたその他の者に対し、期限付きパスワードを発行し業務に対応させる。
- 顧客情報のフィールドの一部を暗号化、および顧客情報を他記憶媒体へのコピー、印刷が出来ないようシステム的に対応する。
- 顧客情報にアクセスした時の、ユーザID、時間、アクションを24時間365日記録し、半永久的に保存する。
2)高セキュリティエリアからの情報の送出を次の通り制限する。
- ファイルを添付したEメールの送信を禁止する。
- 全ての外部記憶装置の持ち込みを禁止し、利用できない環境を整える。
- Eメール送信の監査ができる機能を追加する。
- 実績のあるセキュリティ対策専門会社数社とコンサルティング契約を締結し、外部から社内ネットワークへの侵入に対するセキュリティを大幅に強化する。

また、企業としてのセキュリティ管理能力を高める、より本質的な活動を中長期的に継続して取り組んでいく所存です。具体的には下記の活動に取り組みます。

「リスク対応の原則」、「セキュリティのデザインと実装の原則」、「セキュリティマネジメントの原則」に則り以下の対策を行う。

7) 以下の国内外の情報セキュリティスタンダードに準拠し、第三者の評価を得る。

スワイプで横にスライドできます

発行元	ガイドライン名
総務省	情報通信ネットワーク安全・信頼性基準電気通信事業における個人情報保護に関するガイドライン
経済産業省	情報セキュリティ管理基準情報セキュリティ監査基準
財団法人日本規格協会（JSA）	JIS X 5080　情報セキュリティマネジメントの実施のための規範 JIS Q 15001　個人情報保護に関するコンプライアンス・プログラムの要求事項

今回の事件を糧とし、今後、情報セキュリティにおいて国内外でも有数の企業となるよう決意し、取り組んでまいります。

以上

このページに掲載している情報は、作成日時点において入手可能な情報に基づくもので、予告なしに変更されることがあります。また、このページには将来に関する見通しが含まれていることがあり、これらはさまざまなリスクおよび不確定要因により、実際の結果と大きく異なる可能性があります。あらかじめ免責事項につき、ご了承下さい。