顧客情報流出のNTT西「セキュリティ管理がガバガバ」な実態が露呈し波紋

　NTT西日本の子会社2社による約900万件の顧客情報流出。一部情報には住所、氏名、電話番号、クレジットカード情報などが含まれており、持ち出した元派遣社員が顧客データの保管サーバに直接アクセスして保守業務用端末にデータをダウンロードしたり、その端末に外部記録媒体を接続してデータを持ち出せる状態であったこと、定期的なログのチェックが行われていなかったことなどが発覚。元派遣社員は2013年7月頃から23年1月まで10年以上にわたりUSB端子を使って情報を取り出し、一部を外部の名簿会社などに渡し、子会社は昨年4月にクライアントから顧客情報流出の可能性を指摘されていたにもかかわらず、事実が確認できなかったとクライアントに報告していたことも判明。さらには、親会社であり自社の顧客情報が120万件も漏洩したNTT西日本が記者会見を行わない姿勢をみせていることにも批判が寄せられている。

　今回情報漏洩を起こしたのは、NTTマーケティングアクトProCX（以下、ProCX）とNTTビジネスソリューションズ（以下、BS社）。ProCX社はBS社が提供するコールセンタシステムを利用してクライアントにテレマーケティング業務を提供。情報が流出したクライアントは、福岡県（自動車税のコールセンター業務）や堺市がん検診の呼びかけを行うコールセンター業務）など59におよぶ。

＜セキュリティ管理体制がおよそ存在しない＞

　ProCX社とBS社は17日、「NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について（お詫び）」と題する報告書を公開。今後の対策として以下のように記載している。

「保守作業時には、新設した中継サーバにダウンロードを行い、端末からリモートデスクトップ接続を行うことで、端末へのダウンロードを不要化（技術的に保守作業端末へのダウンロードを不可化）」

「保守作業端末への外部記録媒体への接続を技術的に不可化。データの持ち出しが必要な業務の場合、複数管理者の相互チェックを経ない限り、持ち出しできないシステム的措置を実施

「セキュリティリスクがある振る舞いを検知し、管理者にタイムリーにアラーム通知する措置を実施」

「各組織での定期的なログチェックを徹底することに加え、当事者以外の第三者による抜き打ちチェックも実施」

　この内容に対しSNS上では、

＜背筋が凍る程ヤバい＞

＜ガバガバセキュリティ＞

＜どうやってISMS監査通したとかそのレベル＞

＜セキュリティ管理体制がおよそ存在しないと言われても文句を言えないのではないかというくらい、基礎的なところから壊滅している＞

といった声があがっているが、ITジャーナリストの三上洋氏はいう。

「大規模な顧客情報漏洩としては2014年にベネッセコーポレーションの約4858万人分の個人情報が流出した事件が記憶に新しいですが、今回のProCX社とBS社による59クライアント分の顧客情報漏洩も、法人・組織の数という面、さらには被害にあった組織が一般企業から金融機関、自治体と多岐にわたるという面で、国内でかつてないほど重大な事件といえます。また、BS社は事業としてセキュリティ対策の商品・ソリューションを提供しており、『情報の取り扱いが命』であるはずの企業自ら、このような失態を招いたという点も大きな問題です」

　三上氏は、企業内部の不正防止対策としては主に2つあると指摘する。

「一つはシステム面の対策です。例えば『部長職はすべてのデータにアクセスできる』『一般社員は～までしかアクセスできない』といったように、個々の社員ごとにIDを発行して、どこまでアクセスしてよいかを設定するアクセス権限設定・アクセス管理、および誰がどこまでアクセスしているのかを監視するということは、現在では多くの企業で当たり前に行われています。今回BS社で漏洩が起きた部署では、複数の正社員と派遣社員が一つのIDとパスワードを共有していたということなので、あまりに杜撰といえます。

　もう一つは社員の働く環境、待遇など人事面での取り組みです。会社で不正を起こす人の動機としては、給料などの待遇やポジション、解雇を伝えられたなど、会社に対する不満が大きな要因になっているケースが多いことがわかっています。そのため、会社側は日頃から意識的に社員とのコミュニケーションを深めて不満を取り除くという人事面での取り組みが重要となってきますが、基本的に派遣社員は派遣元企業の指示に基づいて働いているので、派遣先企業とのコミュニケーションには限界があります。

　現在のシステム開発・運用の現場は派遣社員や委託先企業の社員などの存在なしでは回らないのが現状です。ただ、今回のBS社のケースのように、クライアントの顧客データを直接扱う重要な業務を派遣社員に行わせ、さらに複数の社員でIDを使い回していたということが適切であったとはいえないでしょう」

　また、大手ベンダSEはいう。

「クライアントの個人顧客データを扱うコールセンターで、このセキュリティ管理の緩さは『ヤバい』レベル。今どき顧客データが入ったサーバから直接、社員の端末にデータをダウンロードして、それをUSBメモリなどの外部記憶媒体で持ち出し放題の会社なんて、見つけるほうが難しい。『今後の対策』の内容も、いったい何年前の時代の話なんだとツッコミたくなる。顧客は『NTTの子会社だから、そのへんのセキュリティ管理はしっかりしているだろう』と信頼して業務を委託しているので、裏切られた気持ちだろう。

　さらに解せないのは、自社自身の顧客情報も大量に流出した親会社のNTT西日本の対応だ。HP上で報告しているだけで記者会見もしないというのは、親会社としても、また大規模な情報漏洩を起こした会社としてもあり得ない。NTT西グループのガバナンスが健全に機能してないのは明白」

NTT西、問われる危機管理体制

　ProCX社とBS社は前出・報告書の「今後の対応について」のなかで

「まずは、クライアントさまのお客さまへの対応に向けて、クライアントさまのお考えを伺いしながら、お客さまの特定に向けた対応を始めています」

「その後のお客さまへの対応については、クライアントさまのお考えをお伺いしながら、クライアントさまに真摯に向き合って対応してまいります」

「ProCX及びBSにおいて、ご不安を感じられるお客さまからのお問い合わせをお受けする窓口を開設いたします」

としているが、大手企業のシステム部門社員はいう。

「社内で担当役員なり然るべくポジションにいる複数のマネージャー層によるチェックを含む正式な承認プロセスを経て発表されたものなのか、疑いたくなるほど酷い内容。通常、これだけの重大事故を起こした場合、体裁だけでも整えるために極力、具体的な対応方針を書くものだが、ここまで抽象的で内容がなく批判必至の対応策を平気で発表できるというのは、ちょっと信じられない。これまでProCXにセンシティブな顧客データを扱うコールセンター業務を任せていたクライアントは、肝を冷やしているのではないか」

　NTT西日本は今月10日にProCX社とBS社から約120万件の情報流出の報告を受け、事態を把握したが、HP上でその事実を公表したのは1週間が経過した17日になってのことだった。今後も会見の予定はないが、同社は昨年8月に200万以上の回線に影響が及んだ通信障害をめぐって公表が遅れ、国から行政指導を受けたこともあり、同社の危機管理体制が問われている。

（文＝Business Journal編集部、協力＝三上洋／ITジャーナリスト）