見出し画像
Photo by voice_watanabe

派遣社員による大規模個人情報持出事案の調査報告書あらすじ【執筆者:吉井】

光雲法律事務所(てるもほうりつじむしょ)

昨年11月、NTT西日本子会社より、900万件超の顧客情報流出がありました。福岡県でも、同社にコールセンター業務を委託していたことから、自動車税の納税者情報合計16万2828人分が流出しており、大きな影響がありました(読売新聞記事)。なお、流出させた元派遣社員(以下、「流出者」といいます。)は、不正競争防止法(営業秘密の領得、開示)で起訴されています(東京新聞記事

先月28日、この事件に関し、親会社であるNTT西日本に設置された第三者委員会より、調査報告書がリリースされました(調査報告書)。この報告書は、283頁に及ぶ詳細なものですが、ここでは、同種事案発生時に参考となる内容に絞って、同報告書を簡単に解説します。

1.事案の概要

 コールセンタシステムのデータセンタを運営していた会社(NTTBS)のシステムの運営保守業務に従事していた流出者が、その立場を悪用し、少なくとも2013年7月頃から2023年2月頃にかけて約10年間、多数回にわたり顧客情報(コールセンタ業務を運営するNTTProCXのデータ)を不正に外部に持ち出し。その少なくとも一部は名簿業者に売却。

2.本件の原因

 本件の直接的な原因としては、NTTBSに、顧客データの流出を防ぐための各種の制限が備わっていなかったことがありますが、長期化した要因としてログ監視が働いていなかったことが挙げられます。また、人的な要因として、流出者が長年サーバ管理の中心となり、上長等の監視や同僚の監視等が働いておらず、同人に依存する状況が長年固定化されていたことが挙げられます。

 そして、以上の問題を生み出した根本的な原因としては、NTT西日本グループの統一的な基準としての情報セキュリティマネジメント規程や下位規程等があったものの、それが機能しておらず、自主点検が形骸化していたことなどのガバナンスの欠如が挙げられています。

 また、NTTProCXに関しても、情報セキュリティマネジメント規程の下位規程において行うべきとされていた委託先管理を遵守せず、何もしていないに等しい状況にあったとし、それは、個人情報の取扱いを委託するにあたっての規律が実務的に実装されていなかったこと、漏えいに対する危機意識が乏しかったことなどによるとされています。また、NTTBSと同じく、自主点検が機能していないことが指摘されています。

3.経営陣の責任

 報告書では、NTTBSに関しては、経営レベルでの解決を要する事項が多数あり、全社的問題であるにもかかわらず、1年間にわたり発見することができなかったことについて、経営陣にその責任が帰せられるべき問題と断言し、経営陣にはリスクマネジメントに対する基本的な理解やこれを実際の経営に適用する能力が欠けていたとさえ言われています。

 なお、本件を受けて、2月29日、親会社であるNTT西日本の社長が3月末日で引責辞任すると報道されています(ITmedia記事)。

4.私見

 漏えいが生じた当該会社だけでなく、グループのトップ企業の役員の辞任にまで発展したことは、本件の事態の重大さを物語っていると言えますが、やはり、特筆すべきは、10年に渡り、不正がなされ続け、それが是正されることがなかったということではないでしょうか(69件という影響を受けたクライアント数、件数も相当ですが、親会社の役員の辞任にまで発展するのは稀有であると思われます)。

 また、本件の特徴として、同じような漏えい事件として有名なベネッセ事件と比べても、外部記録媒体等への書き込み制限が全くなされていないなど、よりひどい状況にあったように思われ、なによりそれが、本来従うべき規程が機能しなかったことによりもたらされたものであることが挙げられると思われます。

 さらに、こうしたインシデントが発生する際、往々にして、一人の人間に権限が集中する、管理を依存するという体制が出てくるものですが(類例として、ファーストサーバ事件(ITmedia記事))、本件も、そのような属人的な管理と監督監視が動いていなかったことが大きかったのだと思います。

 これらは対岸の火ではなく、ほこりがかぶった規程が運用されずにそのままになっている例、定期的な点検が形骸化し、機械的に〇を記載するだけになっている例、システムの管理を一人のの人間に依存している例等は巷にあふれていると思われ、その末路が本件です。

 この報告書は、再発防止策、とくに、ガバナンスの改善や組織文化の変革に関しては様々な企業に読んでいただく意味のあるものと存じますが、上述のような本件の原因を踏まえ、各自で自社に当てはめて振り返る意味で、283頁とかなり分厚い資料ですが、経営者の方、情報システム、情報セキュリティ部門の方には、原因の説明部分だけでも一度お読みいただく価値がある資料と思われます。

この記事が気に入ったらサポートをしてみませんか?