NTT西日本子会社の元派遣社員による個人情報の不正流出問題を受け、NTT西日本の森林正彰社長は2月29日に会見を行い、3月末での退任を発表しました。
NTT西日本は、2014年4月から2022年3月にかけて行われた新サービスやオプションサービスのテレマーケティング業務を委託する過程で、顧客情報の漏洩が起きたことを発表しています。具体的には、テレマーケティング業務を委託していたNTTマーケティングアクトProCXが利用しているコンタクトセンタシステムを提供するNTTビジネスソリューションズ株式会社において、同システムの運用保守業務従事者が、顧客情報を不正に持ち出していたとのことです。
漏洩した顧客情報は69社・団体から928万件に及びました。
お客さま情報の不正流出に関するお詫びとお知らせ – 西日本電信電話株式会社
NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(続報)
1. 情報漏洩の経緯とその後の影響
2013年7月 NTTビジネスソリューションズ株式会社の元派遣社員が個人情報の不正持ち出しを開始
2022年4月 情報流出を疑った顧客の依頼を受け、両子会社で社内調査を行うも発覚には至らず
2023年7月 警察の調査を受け再調査を行ったところ情報漏洩が判明
2023年10月17日 個人情報が不正に持ち出されたクライアントの特定を進め、NTT西日本より事件について発表
2024年2月9日 総務省より行政指導
2024年2月29日 NTT西日本の森林正彰社長が記者会見を行い、3月末での退任を発表
2. 漏洩した個人情報
■企業
ニュースリリースURL | 件数 |
山田養蜂場 | 約400 件 |
NTT西日本 | 約120万件 |
森永乳業 | 約34万件 |
フォーマルクライン | 約19万件 |
ソニーネットワークコミュニケーションズ | 約14万件 |
TOKAIコミュニケーションズ | 約5万件 |
NTTドコモ | 約7万件 |
日本学生支援機構 | 約5万件 |
WOWOW | 約4万件 |
MXモバイリング | 1.2万件 |
■自治体・団体
ニュースリリースURL | 件数 |
岐阜県国民健康保険団体連合会 | 約48万件 |
福岡県 | 約16万件 |
沖縄県 | 約6.5万件 |
千葉市 | 約5万件 |
静岡県浜松市 | 約5万件 |
愛知県小牧市 | 約3万件 |
愛知県豊橋市 | 約3万件 |
三重県国民健康保険団体連合会 | 約3万件 |
大阪府岸和田市 | 約1.5万件 |
東京都足立区 | 約7000件 |
福井市 | 約5000件 |
大阪府河内長野市 | 約600件 |
愛知県みよし市 | 約4000件 |
大阪府豊中市 | 約3000件 |
富山県射水市 | 約3000件 |
徳島県鳴門市 | 約3000件 |
石川県加賀市 | 約3000件 |
愛知県稲沢市 | 約2000件 |
富山県氷見市 | 約2000件 |
福井県鯖江市 | 約1000件 |
富山県砺波市 | 約3000件 |
石川県能美市 | 約700件 |
3. 再発防止策
情報漏洩が発覚したNTTマーケティングアクトProCXとNTTビジネスソリューションズでは、今回の事件の主な原因と再発防止策をまとめています。
主な原因 | 再発防止策 |
保守作業端末にダウンロードが可能になっていたこと | 保守作業時には、新設した中継サーバにダウンロードを行い、端末からリモートデスクトップ接続を行うことで、端末へのダウンロードを不要化 (技術的に保守作業端末へのダウンロードを不可化) |
保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていたこと | 保守作業端末への外部記録媒体への接続を技術的に不可化。データの持ち出しが必要な業務の場合、複数管理者の相互チェックを経ない限り、持ち出しできないシステム的措置を実施 |
セキュリティリスクが大きいと想定される振る舞いをタイムリーには検知できていなかったこと | セキュリティリスクがある振る舞いを検知し、管理者にタイムリーにアラーム通知する措置を実施 |
各種ログ等の定期的なチェックが十分でなかったこと | 各組織での定期的なログチェックを徹底することに加え、当事者以外の第三者による抜き打ちチェックも実施 |
NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)
また、NTT西日本では再発防止策として、業務委託先を含めた再点検の実施と、個人情報管理体制の強化をあげています。
4. 委託先における情報漏洩を防ぐために
近年、自社での情報漏洩だけでなく、委託先からの情報漏洩が増えています。自社のセキュリティや従業員教育はもちろん大切ですが、それだけでは情報漏洩を防ぐことはできません。個人情報や機密情報を外部に委託する際には、委託先で不正な持ち出しを防ぐ仕組みが取られているか、セキュリティリスクのある振る舞いを検知する仕組みがあるか、定期的なログのチェックがされているかといった内容を事前に確認しておくことが重要です。
アトミテックでは、委託先へのセキュリティチェックシートを一元化・自動化するサービスVendorTrustLinkを提供しています。
委託先のセキュリティ確認作業を効率化したいといったご要望がございましたら、お気軽にお問合せください。