ブロードバンドサービス「ヤフーＢＢ」の４６０万人分の顧客情報が流出した問題で、運営会社「ソフトバンクＢＢ」（東京都中央区）内で顧客情報のデータベースに接続する権限が与えられたパスワードやＩＤを、権限のない社員や委託業者が使い回す状態が日常化していたことが警視庁捜査１課の調べで分かった。同社は情報漏えいが発覚した１月中旬、接続権限のあるパスワードを半分以下に絞り込むなど管理強化に着手したが、同課は管理体制の甘さが恐喝未遂事件の背景になったとみている。
　同社の顧客情報はホストコンピューターのデータベースで一元管理されている。アクセスは、接続が認められたＩＤとパスワードを与えられた社員が専用のパソコンを使って行うシステムになっていた。しかし、実際には３、４人のグループで共有したり、使いまわしが職場内で日常化していた。同課は「権限が与えられた社員が不在時に、業務をカバーするために共有しているうちにまん延していった」とみている。本来ならパスワードが漏れた場合を想定して、定期的に行われるはずの変更作業もほとんど行われていなかった。
　同社によると、昨年１１月時点でこの権限が与えられていたのは１３５人で、このうち９３人が外部の委託業者。人材派遣会社からの委託社員も含まれ、中には身分を把握しないでパスワードを与えたケースもあった。
　同社は、ヤフーＢＢ代理店の「エスエスティー」副社長、湯浅輝昭容疑者（６１）の持ち込んだ１３８人分のリストによって情報漏れが確認された１月中旬になって、委託業者の接続権限者を大幅に減らし計５８人に絞り込む措置を取った。

まぁ、パスワードの運用なんてどこもこんなもんでしょうね。（うちなんてもっとひどいからなぁ、管理職のユーザー権限なんてダダモレ）この事件を機にみんなのセキュリティに対するポリシーが高まる、、はずも無く、まぁ人間なんてこんなもんでしょう。どうしてもセキュリティ高めたければ、指紋認証とかそっちに行くしかないでしょうね。正しくもゲイツ氏が目指しているように。

http://headlines.yahoo.co.jp/hl?a=20040229-00000085-mai-soci
http://www.itmedia.co.jp/news/articles/0402/26/news015.html