Yahoo! BB顧客情報漏洩事件

Yahoo! BB顧客情報漏洩事件（ヤフー ビービー こきゃくじょうほうろうえいじけん）は、2004年に発生した、ソフトバンクBB（現在のソフトバンク）が運営するADSLブロードバンドサービス「Yahoo! BB」の顧客情報が、内部関係者らによって大規模に漏洩した事件である。

本事件は、約450万人分ものYahoo! BB登録者の個人情報が漏洩したという当時としては史上最大規模の個人情報漏洩事件となった。また、漏出したYahoo! BBに現金を要求していたソフトバンク関連元社員らが逮捕された^[1][2][3][4]。

企業のずさんな情報管理体制が白日の下に晒され、個人情報保護法が全面施行される直前であったこともあり、日本の企業社会におけるサイバーセキュリティやコーポレートガバナンスのあり方に大きな影響を与えた^[5]。最終的に司法は、企業の法的責任を認め、個人情報の漏洩による精神的苦痛に対する損害賠償を命じる重要な判例を形成した。

2004年1月に発覚したこの事件は、高度なサイバー攻撃によるものではなく、ソフトバンクBBの元従業員や業務委託先の関係者といった内部者が、ずさんな管理体制を利用して顧客データベースにアクセスし、情報を不正に取得したものであった^[6]。犯人らは不正に取得した情報を基に、ソフトバンクBBに対して金銭を要求する恐喝行為に及んだ^[7]。警視庁は主犯格である右翼団体「新生日本協議会」元会長で出版社経営の人物と東京都内のヤフーBB代理店の役員2名をソフトバンク本社に対し個人情報と引き換えに30億円を脅し取ろうとした恐喝未遂容疑で逮捕した^[8][9]。

当初、ソフトバンクBBは漏洩件数を242件と発表していたが、警察の捜査が進むにつれて被害の甚大さが明らかになり、最終的には451万件を超える顧客情報が漏洩したことが明らかになった^[10]。漏洩した情報は氏名、住所、電話番号、メールアドレスなど広範にわたったが、クレジットカード番号や銀行口座情報は含まれていなかった^[11]。

この事件は、急成長を最優先する経営の陰で、基本的なセキュリティ対策が軽視された結果として発生したものであり、事件後の対応や司法判断を含め、日本のデータ保護の歴史における転換点と位置づけられている^[12]。

本事件は、内部の杜撰な管理体制が引き起こした「機会犯罪」であった。不正に取得された顧客情報データベースを盾に、ソフトバンクBBに対して金銭を要求した恐喝未遂事件として表面化した^[13]。

事態は単純な窃盗事件ではなく、少なくとも2つの独立したルートから脅迫事件が発生するという異例の展開を見せた^[14]。これは、一度きりのセキュリティの綻びではなく、持続的かつ体系的な脆弱性が存在したことを示唆している。警察の捜査により、北海道函館市の会社役員（後に湯浅容疑者として特定）と、別の人物（木全容疑者）がそれぞれ独自にデータを取得していたことが判明した^[15]。この事実は、同社のデータ管理体制が、複数の無関係な第三者がそれぞれ独立して機密情報にアクセスし、持ち出すことが可能な状態にあったことを物語っている。警察が押収したデータの内訳は、湯浅容疑者が所有していたデータが約460万件、木全容疑者が所有していたデータが約56万件にのぼった^[16]。

事件発覚当初、ソフトバンクBBは被害の規模を著しく過小に発表していた。2004年1月23日、ソフトバンクはYahoo! BB登録者の個人情報が外部に漏れていた事を発表した^[17]が、この時点では、漏洩件数はわずか242件とされていた^[18]。

しかし、警察の捜査が進展するにつれて全貌が明らかになり、同年2月27日、同社は最終的に4,517,039件の顧客情報が漏洩したことを公式に認め、謝罪した^[19]。これは、日本の情報漏洩事件史上、当時としては最大規模のものであった。

情報漏洩の被害は、Yahoo! BBサービスの現役加入者だけに留まらなかった。被害者の内訳は、現役加入者240万3,617件、無料体験キャンペーン申込者147万3,774件、加入手続中の顧客9,834件、そして解約者62万9,814件に及んだ^[20][21]。ソフトバンクBBは当初、2月24日の記者会見で「解約者の情報は含まれない」と説明をしていた^[17]が、わずか3日後の2月27日にはこの発表を覆し、解約者情報も漏洩していた事実を認めた^[20]。この訂正により、同社の信頼性を大きく損なうとともに、顧客データのライフサイクル管理、特に不要になった情報の適切な削除という、データガバナンスの基本原則が遵守されていなかったことが明らかになった。

• 2004年1月14日：恐喝者からソフトバンクBBに対し、郵送で最初の接触があり、データ窃盗の物的な証拠が提示された^[22]。
• 2004年1月21日：恐喝者は渉外担当者と直接接触し、242件分の顧客情報リストを手渡した^[18]。
• 2004年1月23日：ソフトバンクBBはデータ照合の結果、情報の一致を確認し、242件の情報流出を認める最初の公式発表を行った。ただし、この時点では「詳細な流出経路は調査中」としていた^[18]。
• 2004年1月27日：ソフトバンクBBは警視庁に正式な被害届を提出した。

• 2004年2月11日：警視庁が北海道函館市の会社役員を恐喝未遂容疑で逮捕。事件が公に大きく報じられるきっかけとなった^[23]。
• 2004年2月24日：ソフトバンクBBは緊急記者会見を開く。この時点での発表では漏洩件数は242人であった。しかし、広報室長は一部で報じられていた400万件超の漏洩疑惑やDVD-ROMの存在について「認識していない」と述べた。
• 2004年2月27日：代表取締役社長兼CEOの孫正義自らが記者会見に臨み、謝罪。漏洩件数が451万件にのぼることを公式に認め、包括的な対応策を発表した^[要出典]。対応策には、全会員への500円相当の金券送付、メールアドレスの無料変更期間の設定、そして孫氏自身を含む役員の大幅な減給処分が含まれていた^[23][21]。

• 2004年3月初旬：ソフトバンクBBは、事件の全容解明と再発防止策の策定のため、外部の有識者を含む「個人情報管理諮問委員会」および「技術諮問委員会」を設置した^[23]。
• 2004年3月4日：CISO（最高情報セキュリティ責任者）の任命を含む、具体的な緊急セキュリティ強化策を発表した^[24]。
• 2004年4月14日：総務省が、不十分な個人情報管理体制を理由に、ソフトバンクBBに対して文書による行政指導を行った^[25]。罰金などの直接的なペナルティを伴うものではないが、監督官庁による公式な是正勧告であった。総務省は、孫正義社長を直接呼び出し、指導内容を伝達するという、強い姿勢を示した^[26]。
• 2006年5月 - 2007年12月：利用者らが提起した損害賠償請求訴訟が、地方裁判所から最高裁判所まで争わた。

ソフトバンクBBは当初、「外部からの不正アクセス」の可能性を示唆していたが、事件の真相は、内部のセキュリティ管理体制にあった。現役社員、元派遣社員、そして業務委託先の関係者といった内部者が、容易に顧客データベースにアクセスし、情報を外部に持ち出すことが可能な状態であった^[27]。

犯行の手口は、元派遣社員などが不正に入手した正規のIDとパスワードを用い、インターネットカフェなどの社外のPCからデータベースにアクセスするというものであった。これは純粋な外部攻撃ではなく、内部のアクセス権限管理の不備を突いた「内部者による犯行」と位置づけられる^[28]。

最も深刻な問題の一つは、顧客データベースへのアクセス権限が、あまりにも多くの人間に与えられていたことであった。ある時点では、一次販売代理店の関係者を含む135人もの人物が、顧客情報にアクセス可能なアカウントを保有していた^[27]。多数の派遣社員が共通のIDとパスワードを使い回していたこと^[29]が、後の調査で明らかになっている。これにより、誰がいつ、どのような操作を行ったのかを特定する基本的な監査証跡が完全に失われていた^[29][28]。データベースへのアクセスログの保存期間は、わずか1週間程度に設定されていた^[28]。インシデント発生後にフォレンジック調査を行うことが事実上不可能であった。またデータベースにアクセス可能な端末が設置された部屋への入退室管理において、認証や本人確認が徹底されていなかった^[28]。

これらの技術的欠陥は、当時のソフトバンクBBの企業文化の現れとして捉える必要がある。同社は、孫正義のリーダーシップの下、スピードと爆発的な顧客獲得を最優先する経営戦略を推進していた。2004年初頭、Yahoo! BBの契約者数は毎月10万件以上のペースで増加し、400万回線に迫っていた^[30]。ADSL市場自体も成熟期を迎え、競争は激化の一途をたどっていた^[31]。孫自身の経営哲学も、完璧を求めるよりは7割の勝算で迅速に行動することを是とするものであり、この思想が組織全体に浸透していた^[32]。結果として、セキュリティ体制の構築と顧客情報を守るための基本的な投資と規律が疎かにされたとのみかたもある^[28]。

2004年4月14日、総務省はソフトバンクBBに対し、その不十分な個人情報管理体制を理由として、文書による行政指導を行った^[33]。これは罰金などの直接的なペナルティを伴うものではないが、監督官庁による公式な是正勧告であり、企業にとっては極めて重い意味を持つ。総務省は、孫正義社長を直接呼び出し、指導内容を伝達するという、強い姿勢を示した^[26]。

総務省が行政指導の根拠としたのは、「電気通信事業における個人情報保護に関するガイドライン」（平成10年郵政省告示第570号）であった。具体的に指摘された違反事項は「個人情報の適正管理」義務の不履行であり、135ものアカウントが顧客情報データベースにアクセス可能であったこと^[29]、アクセスログの保存期間が1週間程度と極端に短かったこと^[33]、データベースにアクセス可能な部屋への入退室管理で本人確認が徹底されていなかったことなどが挙げられた^[33]。

事件に関与したソフトバンクBBの元派遣社員やその協力者など、複数の個人が逮捕・起訴された^[8][9]。適用された罪状は、不正競争防止法違反（営業秘密の不正取得）、不正アクセス禁止法違反、そして恐喝未遂罪などであった^[34]。

• 2004年7月9日、東京地裁（木口信之裁判長）は「重要な個人情報を扱う会社を狙った模倣性が高い犯罪で刑事責任は重いが、未遂に終わった」として愛知県内の被告人に懲役3年・執行猶予5年（求刑：懲役4年）の有罪判決を言い渡した^[35]。
• 2004年8月11日、東京地裁（井下田英樹裁判官）は「膨大な顧客情報を手段にした卑劣な犯行だが、被告の役割は従属的だった」として東京都内の被告人に懲役3年・執行猶予5年（求刑：懲役5年）の有罪判決を言い渡した^[36][37]。
• 2004年10月5日、東京地裁（大熊一之裁判官）は「事件はハッカーによる個人情報の不正取得と結びついた企業恐喝として社会不安をもたらした。被告はその犯行全体を主導した」として主犯格の被告人に懲役4年（求刑：懲役6年）の実刑判決を言い渡した^[38]。
• 2004年11月19日、東京地裁（井下田英樹裁判官）は「犯行は企業の個人情報管理に対する社会的不安を引き起こし、軽視できない」として東京都内の被告人に懲役2年6月・執行猶予5年（求刑：懲役2年6月）、主犯格の義子の被告人に懲役2年・執行猶予4年（求刑：懲役2年）の有罪判決を言い渡した^[39]。

本事件の法的影響としてより大きな意味を持つのが、被害を受けた利用者たちが起こした民事訴訟である。弁護士を含む5人の利用者が原告となり、サービス運営会社であるBBテクノロジー（ソフトバンクBBの当時の社名）と、その親会社であるヤフー株式会社を相手取り、精神的苦痛に対する慰謝料として一人あたり10万円の損害賠償を求めて大阪地方裁判所に提訴した^[40]。

• 2006年5月19日、第一審の大阪地裁は、BBテクノロジーの責任を認定。「外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失」があったと明確に指摘し、原告一人あたり6,000円（内訳：慰謝料5,000円、弁護士費用1,000円）の支払いを命じた^[40]。一方で、ヤフーに対する請求は、「ヤフーが直接管理していた情報の流出はなく、賠償責任は負わない」として棄却した。

• 2007年6月21日、控訴審の大阪高裁は、一審で退けられたヤフーの責任を認定した。高裁は、ヤフーがサービス全体のブランドを担い、利用者募集において中心的な役割を果たしていたことなどから、BBテクノロジーに対する監督責任があったと判断した。また、ソフトバンクBBが事件直後に送付した500円相当の金券を損害賠償の一部弁済と見なし、賠償額は6,000円から500円を差し引いた5,500円とされた^[41]。

• 2007年12月14日、最高裁判所は上告を棄却。これにより、大阪高裁の判決が確定した^[41]。BBテクノロジーとヤフーの両社に、一人あたり5,500円の賠償責任があることが法的に最終決定された。

事2004年2月27日、代表取締役社長兼CEOの孫正義自らが記者会見に臨み、テレビカメラの前で深々と頭を下げて謝罪した^[20]。孫氏自身の報酬を6ヶ月間50%減額するのをはじめ、担当役員も減給処分とするなど、経営陣が身を以て責任を取る姿勢を明確にした^[20]。当初、殺到する苦情に対し、ソフトバンク側はお詫び状を郵送で送付^[42]。それでも苦情が沈静化しないことから、Yahoo! BBの全会員に対して一律500円相当の金券を送付するという、前例のない規模の補償策を打ち出した^[20]2004年3月4日、CISO（最高情報セキュリティ責任者）を新設し、常務取締役を任命。さらに、過剰であったデータベースアクセス権限者をわずか3名に限定し、アクセスログを半永久的に保存するなど、事件の根本原因に対応する具体的かつ抜本的な再発防止策を発表した^[33]。

ソフトバンク社長の孫正義は、自由民主党の調査会で「（事件に関して）反省している」と答えたが、「実態は窃盗事件」「情報を盗んだものを処罰する法律がない」と付け加えた。

また、関連会社ソフトバンククリエイティブが発行している雑誌PC Japanは同誌のライターが本件に関与していた事が判明したことを受けて一時休刊を余儀なくされたものの、後に誌面内容や編集体制等を見直して復刊した。

この情報漏洩事件は、ソフトバンクの業績に短期的な打撃を与えた。2004年3月期決算では、連結で1,070億円の当期純損失を計上し、その要因の一つとして本件が挙げられた^[43]。事件の直接的な損害額は、会社公表で100億円を超えるとされる^[43]。事業面では、事件発覚直後の2004年2月のYahoo! BB契約者数の純増数は11.4万件と、過去1年で最も低い伸びにとどまった。しかし、長期的な視点で見ると、事業への致命的な影響は限定的であった。

『日刊ゲンダイ』が一面で^[44]創価学会幹部が流出事件に関与していたことを報道。またその2名が過去に創価学会が起こした言論出版妨害事件や宮本顕治宅盗聴事件にも関わっていたことから創価学会全体に盗聴をする体質があるのではと批判した^[45][46]。ジャーナリストの段勲はフォーラム21の中で逮捕された4名のうち2名が創価学会員でヤフーBB代理店の役員を務めていた^[47]ことから、2002年に創価学会員が起こした「携帯電話通話記録窃盗事件」を引き合いに出し、「携帯電話・通信記録の盗み出し、そして今回の事件。同事件はまだすべて解明されたわけでないが、流出した450万人に及ぶ個人データの行方が気になる」と締めくくっている^[48]。

• 個人情報
• 個人情報の保護に関する法律
• サイバーセキュリティ
• 情報漏洩
• ソフトバンク
• Yahoo! BB
• 孫正義
• コーポレート・ガバナンス

• 携帯電話通話記録窃盗事件 - 2002年にNTTドコモで発生