NTT西日本の子会社において、顧客からの受託業務に関する個人情報約900万件が流出したという記事。犯人は10年間もデータの不正持ち出しをしていて、一部は名簿業者に流れていたそうです。
「NTT西日本子会社のNTTマーケティングアクトProCX(大阪市)は17日、顧客から受託したコールセンター業務に関する個人情報約900万件が外部に流出したと発表した。別の子会社の元派遣社員が不正に持ち出した。一部は名簿業者に渡っており、警察が不正競争防止法違反容疑で捜査を始めた。」
「流出させたのはコールセンターシステムの運用業務を担うNTTビジネスソリューションズ(BS)=大阪市=の元派遣社員で、08年から勤務していた。
13年7月ごろから23年1月の約10年間にわたり、データを管理するサーバーに直接アクセスして作業端末にダウンロードし、USBメモリーを使って持ち出したとされる。データベースへの不審なアクセス検知策が不十分だったという。」
顧客側からも流出の事実が発表されています。
「福岡県はコールセンター業務を委託した自動車税の納税者の氏名や電話番号など最大約14万人分が流出したと発表し、国の個人情報保護委員会に報告した。
愛知県豊橋市と小牧市はそれぞれ約3万件、大阪府岸和田市は約1万5千人分、同府河内長野市は最大約4400件の個人情報が流出した可能性があると発表した。」
「保守業務は基本的に社員2人と派遣社員2人の計4人で行う。サーバーに入るIDとパスワードは共有だった。USBメモリーなどの記録媒体の持ち込みを禁止するルールはあったものの、今回ルールは守られず、そのチェックもなかったという。
ネットワーク上の安全対策も不十分だった。サーバーに入ったことを示す動作記録(ログ)は残るものの、通常実施しない保守管理担当によるダウンロードなど「セキュリティーリスクが大きい振る舞いを即時に検知できていなかった」(同社)。
ログの定期的なチェックも十分にされておらず、悪意を持った人物のアクセスを防ぐ体制は整っていなかった。結果的に2023年7月に警察が本格的な捜査に乗り出すまで同社は不正を覚知できずにいた。情報漏洩は少なくとも13年7月から10年近くにわたり続いていたとみられ、過去の事案と比べても被害は有数といえる。」
