女性客のメール盗み見…元携帯店員逮捕
携帯電話大手KDDI(au)の契約者情報を管理するシステムを悪用し、女性客の携帯電話の設定を勝手に変更したなどとして、警視庁サイバー犯罪対策課は14日、埼玉県内のauショップ元店員、中村淳一容疑者(31)=さいたま市南区文蔵(ぶぞう)=を私電磁的記録不正作出・同供用容疑などで逮捕したと発表した。気に入った女性客に届いた電子メールを自分のアドレスにも転送されるよう改変し、盗み見を繰り返していたとみられる。【斎川瞳】
同課によると、中村容疑者が使っていたインターネット上のファイルからは複数の女性の私的な画像が計約6000枚見つかっており、一部は女性客らのメールに添付されていた画像とみられる。同課は、女性が使っていたネットサービスのIDを割り出し、不正にログインして画像をダウンロードした可能性もあるとみている。
逮捕容疑は、auショップ店員だった2014年8〜9月、情報管理システムを不正操作し、女性客と知人女性計2人の携帯電話に届いたメールを自分の携帯電話に転送されるようにauのメールサーバー上で設定したなどとしている。「好みの女性のメールが見たかった。(逮捕容疑の女性を含め)4人の女性のメールを見ていた」と容疑を認めているという。
同課によると、情報管理システムには契約者の個人情報や利用状況などが登録されている。中村容疑者はシステムを不正に操作したうえで、別の端末から女性の携帯電話のメール転送の設定を無断で改変していた。メール自体は女性客らの携帯電話にも届いていたため、2人とも不正に気づかず、逮捕容疑の対象となった約1カ月だけでも2人分で計約1200通のメールが転送されていたという。
昨年8月、「自分の使っているメールサービスに知らない連絡先が登録されている」と20代の女性から警視庁に相談があり、登録されたアドレスの捜査などから中村容疑者が不正アクセスしていた疑いが浮上した。
店員教育を強化…KDDI広報部
事件を受け、KDDIは「auショップで元店員による不正行為が起きたことは誠に遺憾で、お客様にご心配、ご迷惑をおかけし誠に申し訳ございません。今後、安心安全にauサービスをお使いいただけるよう、再発防止に努めます」とのコメントを発表した。今後、スタッフへのコンプライアンス教育や監査などを強化していくとしている。
KDDI広報部によると、生体認証がなければシステムにアクセスできないようセキュリティー対策をしているものの、販売業務に携わるスタッフの多くにアクセス権限が与えられている。【斎川瞳】
「ユーザーに防御策なし」
携帯電話の販売代理店スタッフが立場を悪用したケースは過去にもある。2012年には、代理店スタッフらが契約者情報を探偵業者に転売していたとして愛知県警に不正競争防止法違反容疑で逮捕された。総務省は同年、KDDI(au)とNTTドコモ、ソフトバンクの3社に対して個人情報の取り扱い改善などを指導した。
大手携帯電話会社関係者によると、業務効率化のため、社員だけでなくパートやアルバイトスタッフにも契約者情報を管理するシステムの操作権限を与えている販売代理店は多いという。捜査関係者によると、中村容疑者も契約者情報の閲覧だけでなく、解約や契約内容の変更などもできる立場だった。
NTTドコモは不正防止のため、指紋認証システムを設定しているほか、操作できる権限を販売代理店の規模などに応じて制限しているという。
情報セキュリティー会社「トレンドマイクロ」の鰆目順介(さわらめじゅんすけ)シニアスペシャリストは「ユーザーでは防ぎようがない。企業側は継続的な従業員教育を徹底することが重要」と指摘。「アクセス権限を最小限に絞り、誰に権限があるのかを明確にしないと被害が拡大する可能性もある」と話している。【斎川瞳、深津誠】