2023.10.25 08:00
【NTT情報流出】悪意から守る意識徹底を
国内最大規模の情報通信グループでありながら、情報セキュリティーに対する緊張感を欠いていたのではないか。長期にわたって漏えいを許した管理態勢を検証し、再発防止を徹底する必要がある。
NTT西日本の子会社NTTビジネスソリューションズ(大阪市)で約900万件の顧客情報が不正に流出した問題が波紋を広げている。被害はNTTグループのみならず、業務を委託していた企業や自治体など多方面に及んだ。グループとして過去最大級の流出という。警察も不正競争防止法違反の疑いも視野に捜査に着手した。
同社などの説明によると、グループの別会社が運営するコールセンターで、システムの運用保守に従事していた元派遣社員が不正流出に関わっていた。2013年7月ごろから今年1月までの約10年にわたり、社内ルールで禁止されているUSBメモリーを持ち込み、顧客情報をダウンロードしていたとみられる。
記者会見で、同社は「守秘義務」を理由に被害の詳細について明確な説明を避けたが、業務を委託していた多くの企業や自治体、公的機関が次々と情報漏えいの可能性を発表。中には生活習慣病予防を目的とした特定健康診断や、自動車税の滞納といった、極めてデリケートな個人情報が含まれていた。
情報の一部は名簿業者に渡った恐れが指摘されており、極めて悪質というほかない。現時点では、情報が不正に利用されたケースは確認されていないというものの、十分な警戒が怠れない。
厳格な安全対策が求められる業務であるにもかかわらず、同社の管理態勢が不十分だった面は否めまい。禁止していた外部記録媒体の持ち込みを許した上、業務用パソコンとの接続も可能な状態だった。
被害をもっと早く発見する機会もあったが、それを生かすことができなかった。
業務委託元の民間企業が昨年4月、NTT西側に顧客情報が漏えいした可能性を伝えていたものの、ずさんな調査で不正を見過ごし、流出を否定していた。結局、今年7月に警察から連絡があるまで、被害に気付いていなかった。
社内ルールやセキュリティー対策は随時更新してきたと釈明したが、そうした意識にこそ油断があったのではないか。
安全管理に加え、危機対策でも後手に回った結果、被害の拡大につながったことを重く受けとめる必要がある。少なくとも悪意を持った従業員の不正行為に対して、適切に対応できなかった。
個人情報保護法は個人情報を集めたデータベースを不正な利益を得るために提供する行為を禁じているが、企業などが保有する膨大な情報を狙った犯罪は後を絶たない。
情報管理の信頼性が揺らげば経済面はもちろん、あらゆる社会活動に影響が及ぼう。情報を取り扱う事業者はやはり、悪意を想定した対応が求められる。
NTT西日本の子会社NTTビジネスソリューションズ(大阪市)で約900万件の顧客情報が不正に流出した問題が波紋を広げている。被害はNTTグループのみならず、業務を委託していた企業や自治体など多方面に及んだ。グループとして過去最大級の流出という。警察も不正競争防止法違反の疑いも視野に捜査に着手した。
同社などの説明によると、グループの別会社が運営するコールセンターで、システムの運用保守に従事していた元派遣社員が不正流出に関わっていた。2013年7月ごろから今年1月までの約10年にわたり、社内ルールで禁止されているUSBメモリーを持ち込み、顧客情報をダウンロードしていたとみられる。
記者会見で、同社は「守秘義務」を理由に被害の詳細について明確な説明を避けたが、業務を委託していた多くの企業や自治体、公的機関が次々と情報漏えいの可能性を発表。中には生活習慣病予防を目的とした特定健康診断や、自動車税の滞納といった、極めてデリケートな個人情報が含まれていた。
情報の一部は名簿業者に渡った恐れが指摘されており、極めて悪質というほかない。現時点では、情報が不正に利用されたケースは確認されていないというものの、十分な警戒が怠れない。
厳格な安全対策が求められる業務であるにもかかわらず、同社の管理態勢が不十分だった面は否めまい。禁止していた外部記録媒体の持ち込みを許した上、業務用パソコンとの接続も可能な状態だった。
被害をもっと早く発見する機会もあったが、それを生かすことができなかった。
業務委託元の民間企業が昨年4月、NTT西側に顧客情報が漏えいした可能性を伝えていたものの、ずさんな調査で不正を見過ごし、流出を否定していた。結局、今年7月に警察から連絡があるまで、被害に気付いていなかった。
社内ルールやセキュリティー対策は随時更新してきたと釈明したが、そうした意識にこそ油断があったのではないか。
安全管理に加え、危機対策でも後手に回った結果、被害の拡大につながったことを重く受けとめる必要がある。少なくとも悪意を持った従業員の不正行為に対して、適切に対応できなかった。
個人情報保護法は個人情報を集めたデータベースを不正な利益を得るために提供する行為を禁じているが、企業などが保有する膨大な情報を狙った犯罪は後を絶たない。
情報管理の信頼性が揺らげば経済面はもちろん、あらゆる社会活動に影響が及ぼう。情報を取り扱う事業者はやはり、悪意を想定した対応が求められる。
