個人情報928万人分を漏えいさせたNTT西日本グループ2社に対し、個人情報保護委員会が指導と勧告を実施 | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

個人情報928万人分を漏えいさせたNTT西日本グループ2社に対し、個人情報保護委員会が指導と勧告を実施

個人情報928万人分を漏えいさせたNTT西日本グループ2社に対し、個人情報保護委員会が指導と勧告を実施
プライバシーザムライのアバター
プライバシーザムライ

プライバシーザムライ 中 康二です(オプティマ・ソリューションズ株式会社 代表取締役)。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護/情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

※トップ画像は個人情報保護委員会のリリース表紙です。

皆さんこんにちは。
プライバシーザムライ中康二です。

NTT西日本のグループ会社で昨年発覚した大規模な個人情報漏えい事件。報道でご存じの方も多いことと思います。

コールセンター業務のために、民間企業30社・自治体など39団体から取り扱いを委託されていた個人情報928万人分が、10年間にわたり不正に持ち出され、名簿屋に転売された可能性があるとのことで、影響範囲が広く、大規模な事件となっています。

今回の事件に対して、個人情報保護委員会(PPC)は、NTT西日本のグループ会社である(株)NTTマーケティングアクトProCXとNTTビジネスソリューションズ(株)に対して、個人情報保護法に基づいて指導と勧告を行ったと1月24日付で発表しました。

ここで登場する組織と人物を整理したいと思います。
A)民間企業30社+自治体など39団体(コールセンターなどの業務の委託元)
B)NTTマーケティングアクトProX社(コールセンターなどの業務を受託)
C)NTTビジネスソリューションズ(Bに対してコールセンター業務システムを提供し、システムの保守運用も受託)
D)人材派遣会社
X)元派遣社員X氏(DからCに派遣されて、コールセンター業務システムの保守運用を長年担当していた)

つまり、A)の各社がコールセンター業務をB)に委託しており、B)はC)の提供したシステムを使用してコールセンターを運用しており、C)が保守運用も受託していて、X)は派遣社員としてCの保守運用業務を担当していたということになります。

今回の事件は、X氏が自分に与えられたシステム管理者権限を悪用して大量の個人情報を継続的に持ち出していたというものです。

事件発覚以降、A)の各社・各団体は、対応に追われており、本人への通知やWebサイト上での公表などをそれぞれ行っています。(下記のリンク参照のこと)

またX氏に対しては、不正競争防止法違反の疑いで岡山県警が捜査を行っているとのことで、その後は不明ですが、何らかの刑事罰を受けることになると思われます。

今回、PPCが指導と勧告を行ったのはB)とC)の2社に対するものです。

PPCの発表によりますと、昨年10月にB)C)の両社に対して個人情報保護法146条に基づく報告の徴収を行い、11月に両社から報告書を受け取り、その内容を精査するとともに関係者へのヒアリングなどを行い、今回の措置に至ったとのことです。

それらの結果、今回の2社に対して、個人情報保護法147条に基づく「指導」、ならびに148条に基づく「勧告」がなされました。「勧告」はそれに従うことが強く求められるものであり、「指導」よりも厳しい措置になります。

今回の2社に対する措置をまとめると下記の3点になります。

(1)個人情報保護法148条に基づく「勧告」

両社は、委託元の一社から情報漏えいの調査依頼を2022年に受け、共同して調査にあたったにもかかわらず、その時点では十分な調査を実施できず、その後も漏えいを是正することができませんでした。その時の調査が不十分に終わった経緯と原因を現在に至るまで明らかにできず、PPCへの報告も行われていない状態であるとのことです。

この状態が個人情報保護法23条の安全管理措置義務違反と判断され、取扱状況の把握及び安全管理措置の見直しなどの組織的安全管理措置の是正を行うことが勧告されました。ここでPPCは「多数の個人データや保有個人情報の取扱いを委託され、業務を継続していることからすると、この状態を放置しておくことは、個人の権利利益を侵害するおそれが高い」と強い調子で両社の問題を指摘しています。

(2)個人情報保護法147条に基づく「指導」

それ以外の従業者の教育、物理的安全管理措置と技術的安全管理措置、委託先の監督などは、勧告より一段低い指導とされました。

(3)個人情報保護法146条に基づく「報告等の求め」

その上で、上記(1)については2月中に、(2)については3月中に、それぞれ詳細に報告するように求めています。

PPCとしては、今後も本件に関して調査を継続し、必要な場合にはさらに厳しい措置も検討するとともに、今回の大量の個人情報を購入した名簿業者に対しても、オプトアウト事業者としての届け出の有無や個人情報の取扱いに関して問題がないかどうか確認して対応を検討するとしています。

またPPCは、同日付で全国のコールセンター事業者に対して個人情報の取扱いに関する注意喚起を発信しました。

株式会社NTTマーケティングアクトProCX及びNTTビジネスソリューションズ株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について(PPC)
https://www.ppc.go.jp/news/press/2023/240124_houdou/
NTTマーケティングアクトProCXからのリリース
https://www.nttactprocx.com/info/detail/240124.html
NTTビジネスソリューションズからのリリース
https://www.nttbizsol.jp/newsrelease/202401241100000995.html
NTT西の子会社から個人情報928万件が流出 被害のあった委託元一覧
https://smbiz.asahi.com/article/15032430

とても大きな事件であり、影響範囲も広く、多数の事業者が対応に追われる事態となりました。今回もPPCがその真ん中のハブとなって、事態の収拾と今後の再発防止が図られることを期待したいです。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
中 康二

週に一回程度、更新情報をお届けします。

こちらからメールアドレスをご登録ください。