2023年10月に発生した、
NTTビジネスソリューションズ(NTT BS)の情報流出事件の続報です。
個人情報保護委員会から
「株式会社NTTマーケティングアクトProCX等における不正持ち出し事案に対する
個人情報の保護に関する法律に基づく行政上の対応について(令和6年9月11日)」
という報道発表がありました。
ーーーーーーーーーーーーーー
<過去blog>
NTTBS情報流出 元派遣社員に 有罪判決
https://plug-in01.com/topics/archives/261
NTT西子会社 900万件の情報流出 USBメモリで持ち出し →名簿業者へ
https://plug-in01.com/topics/archives/222
NTTBS情報流出 個人情報保護委員会から勧告および指導
https://plug-in01.com/topics/archives/236
ーーーーーーーーーーーーーー
なになに??再発防止対策の続報かな??
と思ったら、中を見てちょっとびっくり!!
改善状況はもちろんですが、
個人情報の提供を受けた名簿業者への行政上の対応や、
今回の委託元とされる69団体(民間・行政含め)に対して、
「委託先の監督」の観点から調査した結果がまとめられていました。
改めて以下の関係性を頭に入れてから資料を見てみます。
↓
登場会社は以下の二つのNTT西日本の子会社。
①NTTマーケティングアクトProCX(以下、ProCX)
②NTTビジネスソリューションズ (以下、BS)
今回の個人情報保護委員会の資料はこちら。
↓
(https://www.ppc.go.jp/files/pdf/240911_houdou.pdf)
<第1 事案の概要>
↓
<第2 ProCX 社及び BS 社に対する対応状況>
<別紙1当委員会からの勧告等に対する是正状況の概要>
ここでは、これまでの調査の経緯や是正指示への対応状況などを記載しています。
最初の方に、今回の事件が発覚したきっかけとなった委託元からの調査依頼について、
虚偽の回答をしていた件が詳細に記載されています。
改めて、組織としての対応のまずさ、不誠実さが表れていて非常に痛い内容です。
そして、ProCX 社及び BS 社の両方の改善状況が記載されていますが、
やはりBS社の対策が重要だと思いますので、
(なぜUSBメモリで持ち出せたのか?なぜそれに気づけなかったのか?)
そのあたりの改善状況が気になります。
↓
改めて見てみると、本当に杜撰としか言いようがない・・・
こんな状態で個人データを取り扱わせていたのかと思うと信じられない思いです。
<第3 本件委託元に対する対応状況>
<別紙2 委託元に対する調査結果について>
今回面白いな〜と思ったのは、このセクションですが、
委託元がどのくらいこの状況(委託先の管理状況)を把握していたのか?
を調査した結果を掲載しています。
再委託に関して確認していたか?といった項目がありますが、これは難しいですよね。
特に、今回のようにコールセンターを委託していることは把握していても、そのシステムの保守を再委託として認識していないケースはあり得ると思いますし。
<第4 名簿業者に対する対応状況>
<別紙3 株式会社中央ビジネスサービス及びネクストステージ合同会社に対する 個人情報の保護に関する法律に基づく行政上の対応について>
このセクションは、名簿業者について名指しで公開し行政指導をしています。
これもなかなか興味深い。
不適正取得、第三者提供に関する条項に対して違反が指摘されています。
NTTBSの情報流出事件がいかに大きな事件だったのかがわかりますね。
今回、非常に詳細に公表されているので、とても参考になります。
情報セキュリティに関わる方たちは必読です!!