これは仮想空間での出来事ではない。私たちの日常生活に直接影響を及ぼすものだ

容疑者が保有していた情報につきましては、ソフトバンクBB株式会社が照合作業を行った結果、誠に遺憾ながら増田　真樹様の情報に関しても流出していることが判明いたしました。 当方の不手際により、このような結果となり、お客様に大変ご迷惑をおかけしておりますことを深くお詫び申し上げます。

以下の情報が流出した。しかもYahoo!BBメールアドレス以外はコントロール不能である。

　（1）お名前<お申し込み者氏名> 　（2）ご住所<設置場所住所> 　（3）電話番号<お申し込み電話番号> 　（4）メールアドレス<お申し込み時連絡先メールアドレス> 　（5）Yahoo! BBメールアドレス、Yahoo! JAPAN ID 　（6）Yahoo! BBお申し込み日

これに対してYahoo!BBは一人あたり500円の金券を送って詫びに変えようとしている。

流出した情報はその性質からも極めて重要なものばかりだ。特に（１〜３）「住所・本名・電話番号」、（４）「申し込み時のメールアドレス」、（５）「Yahoo! JAPAN ID」は深刻だ（私の職業からからいっても極めて重大）。下手をすれば、これらのデータを結びつけて、プライバシーが侵害される可能性もある。

住所・本名・電話番号は無論、申し込み時のメールアドレスは”連絡が付くアドレス”とのことで、プライオリティが高いアドレスを登録しているはずだ。これを変更するというのは、携帯電話の番号を変えると同じような手間がかかり、かなりの損害になる。

また固定のYahoo!JAPANIDがその他の個人情報（名前、住所電話番号、主メールアドレス）などとパックで流出すれば、基本住民台帳（国民総番号制）と同じ性質の問題がおこる。流出された個人はIDを解約しない限り、Yahoo!JAPAN IDによって個人が特定できるわけだ。ましてやYahooBB!のADSL会員となると、解約→他ISPに移行するのも”今すぐ！”というわけにはいかない。これが450万規模での流出となると社会問題化することは必死だろう。

要するに、重要なデータはすべてコントロール不能で、さらに流出された個人のプライバシーが侵害される危険が極めて高いということである。

個人情報保護法施行（2005-04予定）の前ではあるが、Yahoo!BBは、条項に含まれる「本人同意を得ないで第三者に提供することを禁止」を破り、かつ明確な対応もできていない。以下に同社から送られてきた、腑に落ちない釈明のメールの一部とそのサマリーを転載する。一言で言えば「流出しちゃったけど、もうちゃんと対策してますので、500円で許してね」という話で、何一つ具体的な話がない。

【Yahoo!BB社内対応：サマリー】
・「個人情報にアクセスできる権限者の人員を精査する」：なにをどう精査するのか？その効果は？
・「その人数を限定してまいりました。個人情報へのアクセス記録の保存、アクセスの態様の分析などの強化を図ってまいりました。」：当然の話だ。そんなこともやってなかったのか？
・「対策会社と協力する」：Trusteライセンシーとして今までも当然やるべきことじゃなかったのか？
・「意識および教育の徹底」：政治家じゃあるまいし、曖昧すぎて信用できない。
・「罰則規定を作る」：どんな？まさか30%減給３ヵ月というのではないだろうな？

以下は全文

▼　当社内の対応について ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

当社といたしましては、この度の事実を厳粛に受け止め、こうした事態の再
発を防ぐため、お客様情報の流出が発覚した直後から、個人情報の管理につ
きまして様々な改善策を積み重ねて再発防止に努めております。

1.個人情報にアクセスできる権限者の人員を精査するとともに、その人数を
　限定してまいりました。また、個人情報へのアクセス記録の保存、アクセ
　スの態様の分析などの強化を図ってまいりました。
　さらに、ハッキング対策などの体制を整えるため専門会社と契約して、シ
　ステムの安全性の強化作業を進めております。

2.従業員のみならず、業務委託社員、代理店などに対して、個人情報の管理
　に関する意識をより高めるために、研修などの教育を徹底しております。
　また、業務規定を見直し、より厳格な罰則規定の改定などにも取り組んで
　おります。

3.アクセス権限のある者に対しては、業務の態様について、所属の組織の責
　任者、管理職を通じて、正当な業務活動を徹底しております。

4.社内処分について
　このたび、このような事態をまねいた責任といたしまして、代表取締役兼
　CEO　孫正義を減給50%　6ヵ月、および取締役副社長兼COO　宮内謙、
　取締役CTO　筒井多圭志を減給30%　3ヵ月に処分します。
　また、併せて関係職員を譴責および減給処分に処します。

続いて顧客に対する対応についての問題点をあげる。

【顧客への対応の問題点】
・もっとも重要な「申し込み時のメールアドレス」、「Yahoo! JAPAN ID」、「住所・本名・電話番号」がコーントロール不能ということを明言していない。
・YahooIDは変更できない：これはまったく意味がない。
・Yahoo!BBメールアドレスは変更できるが、５月31日まで。
・改めてカードや口座番号が流出していないこと強調：これこそ各機関に連絡して止めてもらえばいい話で対策のしようがある話だ。
・お詫びに500円の金券、到着は１ヵ月かかる

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 　▼　お客様への対応について ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

些少ではございますが、お詫びといたしまして、Yahoo! BB会員の皆様には、
登録住所宛てに500円相当の金券等を郵送させていただきます。なお、お客様
のお手元到着まで1ヵ月程度のお時間をいただく場合もございますので、予め
ご了承願います。

■メールアドレス変更に関する対応について
2004年2月27日から2004年5月31日までの間、下記WebページにてYahoo!メール
アドレスの変更を無料にて承ります。
　http://purchase.yahoo.co.jp/mail/accountchange_promo

■支払い情報として登録しているクレジットカード、銀行口座等について
クレジットカード番号、銀行口座情報やパスワード、ご利用歴等の信用情報
は含まれていないことを調査の結果として確認できております。

繰り返しになるが、個人情報漏洩でもっとも被害を被るのは「データを流出された個人」である。
それを知りながら（まさか解らなかったというわけではあるまい）、流出した個人情報をコントロール不能にした責任は大きい。仮に流出しても、何らかのキーにより保護ができるなど方法はいくらでも考えられたはずだ。

ネットのセキュリティというのはどんなに努力しても100%安全にはならないかもしれない。もっとも重要でかつ最低限準備しておかなくてはならないのは「仮に流出したときにどう対応するかを徹底的に検討すること」である。この点、Yahoo!BBは、原則中の原則を破ったことになる。

Yahoo!BBのもう一つの問題は、そうした危険性を告知せず、金券でごまかそうとしていることだ。IDと住所がパッケージで流出したことにより、今後どのような被害が起こるか想像も付かない。そのような状況の中で500円を送られても気休めにもならない。

ネット最大手陣営が起こした国内史上最大最悪事件は、今後世論の審判をうけることになりそうだ。

【関連記事】
・［Yahoo!BB事件］過去最大の個人情報漏洩になるか？(2004-02-27）
http://www.metamix.com/archives/001025.php
・［Yahoo!BB事件］ついに最悪の結果へ〜451万人の個人情報漏洩(2004-02-28）
http://www.metamix.com/archives/001031.php
・「企業内“情報”の危機(1)〜個人情報の流出と社内における権利感」（PC-View、筆者）
http://www.pc-view.net/Security/031125/
・「企業内“情報”の危機（２)〜〜コンテンツセキュリティと権利感覚の育成」（PC-View、筆者）
http://www.pc-view.net/Security/031125/page3.html

【関連URL】
・「個人情報保護法案」（Truste Japan）
http://www.truste.001.jp/fb-about-law.html

・「YBB 顧客情報流出事件まとめサイトのリンク」（pblog）
http://www.pblog.net/mt/archives/000701.php