hp
NTT西日本のHPより NTT西日本の子会社2社による約900万件の顧客情報流出。一部情報には住所、氏名、電話番号、クレジットカード情報などが含まれており、持ち出した元派遣社員が顧客データの保管サーバに直接アクセスして保守業務用端末にデータをダウンロードしたり、その端末に外部記録媒体を接続してデータを持ち出せる状態であったこと、定期的なログのチェックが行われていなかったことなどが発覚。元派遣社員は2013年7月頃から23年1月まで10年以上にわたりUSB端子を使って情報を取り出し、一部を外部の名簿会社などに渡し、子会社は昨年4月にクライアントから顧客情報流出の可能性を指摘されていたにもかかわらず、事実が確認できなかったとクライアントに報告していたことも判明。さらには、親会社であり自社の顧客情報が120万件も漏洩したNTT西日本が記者会見を行わない姿勢をみせていることにも批判が寄せられている。
今回情報漏洩を起こしたのは、NTTマーケティングアクトProCX(以下、ProCX)とNTTビジネスソリューションズ(以下、BS社)。ProCX社はBS社が提供するコールセンタシステムを利用してクライアントにテレマーケティング業務を提供。情報が流出したクライアントは、福岡県(自動車税のコールセンター業務)や堺市がん検診の呼びかけを行うコールセンター業務)など59におよぶ。
<セキュリティ管理体制がおよそ存在しない>
ProCX社とBS社は17日、「NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)」と題する報告書を公開。今後の対策として以下のように記載している。
「保守作業時には、新設した中継サーバにダウンロードを行い、端末からリモートデスクトップ接続を行うことで、端末へのダウンロードを不要化(技術的に保守作業端末へのダウンロードを不可化)」
「保守作業端末への外部記録媒体への接続を技術的に不可化。データの持ち出しが必要な業務の場合、複数管理者の相互チェックを経ない限り、持ち出しできないシステム的措置を実施
「セキュリティリスクがある振る舞いを検知し、管理者にタイムリーにアラーム通知する措置を実施」
「各組織での定期的なログチェックを徹底することに加え、当事者以外の第三者による抜き打ちチェックも実施」
この内容に対しSNS上では、
<背筋が凍る程ヤバい>
<ガバガバセキュリティ>
<どうやってISMS監査通したとかそのレベル>
<セキュリティ管理体制がおよそ存在しないと言われても文句を言えないのではないかというくらい、基礎的なところから壊滅している>
といった声があがっているが、大手ベンダSEはいう。
「クライアントの個人顧客データを扱うコールセンターで、このセキュリティ管理の緩さは『ヤバい』レベル。今どき顧客データが入ったサーバから直接、社員の端末にデータをダウンロードして、それをUSBメモリなどの外部記憶媒体で持ち出し放題の会社なんて、見つけるほうが難しい。『今後の対策』の内容も、いったい何年前の時代の話なんだとツッコミたくなる。顧客は『NTTの子会社だから、そのへんのセキュリティ管理はしっかりしているだろう』と信頼して業務を委託しているので、裏切られた気持ちだろう。
さらに解せないのは、自社自身の顧客情報も大量に流出した親会社のNTT西日本の対応だ。HP上で報告しているだけで記者会見もしないというのは、親会社としても、また大規模な情報漏洩を起こした会社としてもあり得ない。NTT西グループのガバナンスが健全に機能してないのは明白」
NTT西、問われる危機管理体制
ProCX社とBS社は前出・報告書の「今後の対応について」のなかで
「まずは、クライアントさまのお客さまへの対応に向けて、クライアントさまのお考えを伺いしながら、お客さまの特定に向けた対応を始めています」
「その後のお客さまへの対応については、クライアントさまのお考えをお伺いしながら、クライアントさまに真摯に向き合って対応してまいります」
「ProCX及びBSにおいて、ご不安を感じられるお客さまからのお問い合わせをお受けする窓口を開設いたします」
としているが、大手企業のシステム部門社員はいう。
「社内で担当役員なり然るべくポジションにいる複数のマネージャー層によるチェックを含む正式な承認プロセスを経て発表されたものなのか、疑いたくなるほど酷い内容。通常、これだけの重大事故を起こした場合、体裁だけでも整えるために極力、具体的な対応方針を書くものだが、ここまで抽象的で内容がなく批判必至の対応策を平気で発表できるというのは、ちょっと信じられない。これまでProCXにセンシティブな顧客データを扱うコールセンター業務を任せていたクライアントは、肝を冷やしているのではないか」
NTT西日本は今月10日にProCX社とBS社から約120万件の情報流出の報告を受け、事態を把握したが、HP上でその事実を公表したのは1週間が経過した17日になってのことだった。今後も会見の予定はないが、同社は昨年8月に200万以上の回線に影響が及んだ通信障害をめぐって公表が遅れ、国から行政指導を受けたこともあり、同社の危機管理体制が問われている。
(文=Business Journal編集部)
