被害詳細

• 流出が疑われる情報：法人モバイル管理サービスの法人ユーザー 1社 1053名分の社員の個人情報
• 72社(当該サービス全契約社数)約13万件の情報は閲覧の可能性は否定できないが、流出は確認できていないと報道*1
• 流出が発生したシステムは個人ユーザー情報が管理されているALADINとは異なるため、個人ユーザーへの影響はない。

流出した可能性のある管理情報詳細

• 法人名
• 業務用携帯電話番号
• 業務用携帯電話の利用者名
• 会社住所
• 部署名等
• さらに流出した可能性のある1社は個人宅住所が含まれていた
  • 電池パックの送付等のために住所を管理するケースがある。*2
  • 個人宅住所が含まれるのはこの１社のみ。

法人モバイル管理サービスとは何か

• 正式には法人向け保守・運用サービスのモバイル管理サービスと思われる。
• ドコモサービス説明ページ 「モバイル管理サービス」とは

モバイル管理業務に精通したサービスマネジメントチームが、あらゆるオーダーに対する一元窓口として機能します。
サービスデスクは、あらゆるオーダーの進捗を一元管理するとともに、オーダー種別、傾向、問題点など、日々の運用実績を基にした分析レポートの作成を行います。
マネジメントチームは、サービスデスクの品質管理を行なうとともに、問題発生時は早期解決に向けた迅速な措置を行います。
オーダー種別に応じて、然るべき組織へのエスカレーションを行います。アカウントチームやネットワークオペレーションセンターなどのドコモ社内組織は勿論のこと、携帯電話メーカーやパートナー企業などの社外組織へのエスカレーションにも一元対応いたします。

http://www.docomo.biz/html/service/tsc/mobile.html

• 提供されるサービス
  • 注文受付
  • ヘルプデスク
  • 各種トラブルシューティング
  • 故障対応
  • 紛失対応
  • 料金管理
  • 利用者管理
  • レポート

• 当該サービスにおける当時のセキュリティ対策の状況
  • 2013年10月時点で法人ファイル共有システムにアクセスが可能な担当者は299人。
  • 担当者には社員、派遣社員、再委託先が含まれる。
  • 法人ファイル共有システムからUSBメモリを使って情報を持ち出すことは出来ない。
  • メールに添付ファイルが含まれている場合はNTTドコモの社員をCCに必ず入れる必要がある。
  • 法人ファイル共有システムでは詳細なアクセスログは取得していなかった。
    • 履歴が残る仕組みになっていなかったとの報道。*3
  • 作業担当者がサポート業務を行うために顧客管理システムから一時的にリストを抽出していた。
  • 作業の都合上、2，3ヶ月程度リストが保存されたままであることが多かった。
  • 社内のセキュリティポリシーと合致しない運用となっていたことをNTTドコモは認めたと報道。*4

郵便物に記載されていた情報

• 社員氏名
  • 1回目は別の社員の情報が記載されていた。
  • 2回目は社員本人の情報が記載されていた。
• 個人宅住所
• 業務携帯電話番号
• 実在するドコモサポートデスク電話番号

郵便物に関する情報

• NTTドコモのキャンペーンを装ったダイレクトメール。
• 住所や電話番号や生年月日(2回目)を確認する内容。
  • ドコモサポートデスクへ連絡するよう記載されていた。
  • ドコモサポートデスクは正規の電話番号が記載されていた。
  • そのため当該郵便物により個人情報が盗み取られる可能性は低いとNTTドコモは発表。
• 2回とも同一の企業に対して配送されていた。
• NTTドコモはこの郵便物による真意・目的は不明としている。

すぐに発表しなかった理由

• すぐに発表を行わなかったのは新たな郵便物が確認されなかったこと等による
• 2014年8月に再度郵便物の配送が確認されたことを受けさらなる発生が予想されることから発表した。

すぐに総務省へ報告しなかった理由

• 1回目の配送が確認された時点(2013年10月)では特定法人顧客1社と個別対応し、解決できると判断したことによる。*7
• 2014年9月9日記者会見時点でNTTドコモによれば総務省へ報告済みとのこと。