日産自動車は、週刊誌で報じられた「お客さま情報流出」の記事を受けて実施した調査結果を発表した。
それによると週刊誌で記事化されたリストと全く同じリストは同社が持つデータベースには存在しないものの、記事に掲載されたリストの一部アイテムが同社しか持ち得ないアイテムでもあることから、同社が保管する「お客さま情報」が流出した可能性は否定できないとしている。
同社では「お客さまには多大なご心配と不安、不快の念をお掛けしましたこと、深くお詫び申し上げます」としている。
『週刊朝日』11月10日増大号で「日産ユーザー200万件、全国個人データ流出」との記事が掲載され、リストの項目としては「氏名」「性別」「生年月日」「住所」「電話番号」「所有車情報(車名・車種型式・車種基本・車種区分・登録番号・初年度登録年月・車検満了日)」が挙げられた。同社では報道を受けて、その事実関係及びお客さま情報の流出経路にかかわる調査を行った。調査にあたってはより公正中立な観点から外部調査会社の協力も得ながら進めた。
同社では、流出したとされるリストを同社は入手することができないため、週刊誌で記事化された情報をもとに調査を進めた。調査の結果、社内からの情報流出事実についての特定までには至らなかった。しかし、記事に記載された車種記号(車種型式、車種基本、車種区分)は、社内のみで使用している特殊記号であることなどから、同社の「旧お客さまデータベース」の一部情報がなんらかの形で流出した可能性は否定できないと判断した。
記事文中の車検満了時期に関する情報から推察すると流出時期は2003年5月から2004年2月の間と想定され、この時期に使用していたシステムは、2003年に導入した「旧お客さまデータベース」システムとしている。
同社では今回の事件を受けてセキュリティ対策の強化に乗り出している。2005年4月に施行された個人情報保護法にあわせ、顧客情報を扱う全てのシステムについて、利用者の限定と認証、システム利用履歴の記録、データの暗号化処理などの機能を追加した。さらに2006年1月には、「旧お客さまデータベース」を「新お客さまデータベース」に移行し、更に高いセキュリティの下で厳格な管理を実施している。
今後の対策としては、個人情報保護法に則った対策強化に加えて、2007年3月までに情報管理に対するセキュリティレベルをさらに一段強化する計画だ。
具体的には、顧客情報取り扱い専用エリアの入退室管理のさらなる厳格化を図るための監視カメラを設置し、入退室ログを永年保存する。顧客情報取り扱いシステムに対するアクセス監視ソフト導入し、アクセスログの永年保存する。さらに、顧客情報を取り扱う専任部署の設置とマネジメントを強化するとともに、全従業員へのセキュリティ教育の再強化と機密情報取り扱いルールを再徹底する。
