Yahoo! BBの顧客情報に関するお知らせ

2004年11月30日

本年11月24日夜に、日経BP社より(1)氏名、(2)住所、(3)電話番号、(4)携帯電話番号が記載されたYahoo! BBの会員情報と称するデータ900件が持ち込まれました。持ち込まれたデータを照合した結果、2003年3月11日から2003年3月22日時点の当社会員情報の一部と合致することが判明いたしました。しかしながら、当該データにはYahoo! JAPAN IDなどの当社固有のデータが記載されておらず、現時点では当社のデータベースのデータかどうかは不明であります。以下に現時点での調査結果をお知らせ申し上げます。
このたびは、お客様を始め関係者の皆様に多大なご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

記

1．情報の内容

(1)氏名、(2)住所、(3)電話番号、(4)携帯電話番号

2．データ数

900件

3．照合結果と当社見解

1. (1) 900件は当社の会員情報の一部と合致することが判明しております。
2. (2) 2003年3月11日から2003年3月22日時点のデータの一部と符合することが判明しております。仮に当該データが当社のデータとした仮定した場合、当該時期にデータを引き出された可能性が高いと判断しております。
3. (3) 今回持ち込まれたデータの特徴から、母数となっている数字は、多くとも約86000件の営業の申し込みデータ（氏名、住所、電話番号、携帯電話番号）であり、部門サーバに一時的に格納されていたのではないかと考えられます。なお、クレジットカード番号やパスワードなどの信用情報は、元来、当社内には存在しておらず、当該サーバに入っていることはありえません。

4．Yahoo! BB恐喝未遂事件との関連性と当社見解

1. (1) 当該データは2003年3月11日から2003年3月22日時点のデータであり、恐喝未遂事件の犯人がデータを引き出したとされる2003年6月と2004 年1月とは時期が違っていること、また、前回持ち込まれた情報とはデータの特徴が一致しないことから、恐喝未遂と同じデータとは考えられません。しかし、 2003年6月と2004年1月に当社のデータベースに不正アクセスした犯人及び協力者が、事前に当時と同じ手口（他人のアカウントとパスワード使用）で部門サーバにアクセスし、予備テスト的に情報を引き出した可能性があると考えております。
2. (2) 恐喝未遂事件の際の会員情報データは警察が押収済み、かつ、犯人により破棄されております。また、架空請求などの報告も入っていないことから、2次流出している兆候は見られません。

5．これまでの顧客情報管理の強化策について

当社は、本年3月をもちまして、顧客データベース開発業務のネットワークからの遮断、アクセス権限保持者の大幅削減（現在3名）、高セキュリティエリアの設置、バイオ認証システムの導入、従業員教育の強化等、649項目にわたる対策を実施し、顧客情報管理体制を大幅に強化しました。また、個人情報管理諮問委員会を設置し外部の有識者からの提言を受けるなど、顧客情報管理を徹底しております。本件はこのような対策が実施される以前のことですが、当社としては引き続き、全社を挙げて顧客情報管理の徹底を図って参る所存です。

• プレスリリースに掲載されている内容、サービス／製品の価格、仕様、お問い合わせ先、その他の情報は、発表時点の情報です。その後予告なしに変更となる場合があります。また、プレスリリースにおける計画、目標などはさまざまなリスクおよび不確実な事実により、実際の結果が予測と異なる場合もあります。あらかじめご了承ください。