2006年6月、KDDIが提供するインターネット接続サービス「DION」(現au one net) をご利用のお客さまに関する一部の情報が外部に流出していたことが判明しました。当社は、本件を厳粛かつ重大に受け止め、全社的な情報セキュリティについて緊急再点検を実施するとともに、再発防止に向け、以下のとおり情報セキュリティの一層の強化対策を実施しています。

I. 再発防止策に関する考え方

次の4つの観点から、全社的な情報セキュリティの再点検を行い、「物理的セキュリティ対策」、「技術的セキュリティ対策」、「管理的・人的セキュリティ対策」のそれぞれについて、IIおよびIIIに示す強化策を策定しました。

1. 情報流出およびデータ抽出防止
2. 証跡確保
3. 情報セキュリティ対策の有効性測定、客観性確保
4. 社員教育および業務委託先などの社員に対する教育の徹底

II. 速やかに実施する強化対策 (2006年度実施)

これまでに実施してきた諸対策の一層の強化を図るとともに、2006年度に以下の諸施策を実施しました。

1. 物理的セキュリティ対策

1. お客さま情報システムを取り扱う高セキュリティエリアに加え、一部特別作業を行う執務室においても監視カメラおよび生体認証による入退室管理を実施します。
2. 全国の事業所においても、監視カメラおよびICカードによる執務室への入退室管理を実施します。
3. 以上の監視カメラ映像および入退室ログを永年保存します。

2. 技術的セキュリティ対策

1. PCのセキュリティ強化のため、社内の全業務用PCの端末デバイス規制 (USB、FD、CD-Rなどへの書込み禁止) を徹底します。
2. 各種アクセスログを永年保存します。
3. 電子メールについて、お客さま情報、機密情報の有無を含め監視を強化します。
4. お客さま情報システムの開発部門にはすでにThinクライアント端末 (注1) を導入していますが、運用部門などにも拡大導入します。
5. お客さま情報を取り扱うシステムにフォレンジクス (注2) ツールを導入し、証跡保全を強化します。
6. お客さま情報を取り扱う専用PCには、メール/インターネットの規制を徹底するほか、生体認証の導入や、アクセスログの取得強化などのセキュリティ対策を図ります。
7. 業務委託先などとお客さま情報ファイルの授受を行うために、セキュアなファイルサーバを導入します。

• 注1) ハードディスクなどの記録媒体を持たずにサーバにアクセスするクライアント端末。
• 注2) 情報セキュリティに関わる事故が発生した場合に高度なツールによって侵入経路、侵入者、被害範囲などを特定し、その証を収集記録するための技術。

3. 管理的・人的セキュリティ対策

1. 一部部門において取得済のISMS (情報セキュリティマネジメントシステム) 認証を早期に全社で取得すべく、その活動を促進します。
2. 一部の情報システムについて実施している、内部による情報セキュリティ監査のほか、外部機関による監査を他の主要な情報システムについても順次実施します。
3. 全社員および業務委託先社員に対する情報セキュリティ・コンプライアンスに関するeラーニングや階層別研修を実施するとともに、業務委託先の情報セキュリティ責任者に対する研修を全国規模で実施します。
4. 派遣社員・委託先社員のデータベースシステムを構築し、一元管理を強化します。

III. 中長期的な取り組み

1. お客さま情報を利用する業務のプロセスについて、改善に関する企画・推進、監査、改善状況のチェックなどを行うための体制をより高度化して整備します。
2. 外部からの脅威や技術レベルの進展を踏まえ、情報セキュリティのレベルを継続的に見直し、向上させます。
3. 情報セキュリティおよびコンプライアンスに関する当社社員および業務委託先などの社員に対する教育を継続的に実施します。