NTT西日本とNTTビジネスソリューションズ、NTTマーケティングアクトProCXは10月17日、元派遣社員が不正に約900万件の個人情報を持ち出し、外部に漏えいさせたと発表した。元派遣社員はシステム管理者アカウントを不正に使用して不正アクセスを行い、外部記録媒体に個人情報を保存して第三者に提供したという。
各社によると、NTTマーケティングアクトProCXはコンタクトセンター業務を手掛け、NTT西日本子会社のNTTビジネスソリューションズがNTTマーケティングアクトProCXにコンタクトセンターのシステムを提供している。NTTマーケティングアクトProCXは、NTT西日本を含む企業顧客からテレマーケティング業務を受託していた。
各社の関係
個人情報を持ち出したのは、NTTビジネスソリューションズに派遣された元派遣社員で、NTTマーケティングアクトProCXが利用していたNTTビジネスソリューションズのコンタクトセンターシステムの運用保守業務を担当していたとする。この人物は、システム管理者アカウントを不正に使用して、個人情報が格納されていたサーバーに不正アクセスを行い、保守作業で使う端末に個人情報をダウンロードしたという。さらに、この端末から外部記録媒体に個人情報のデータを移して持ち出し、外部の第三者に提供したと見られている。
情報漏えいの原因イメージ
同日までに確認された漏えい規模は、59社の約900万件になり、このうちNTT西日本分は2014年4月~2022年3月に断続的に実施されたテレマーケティング業務での約120万件になる。漏えいした内容は氏名、住所、電話番号、生年月日の一部などで、NTT西日本分についてはクレジットカード情報や金融機関口座情報などの決済関連情報と各種パスワードが含まれていないとした。NTTマーケティングアクトProCXは、2社・81件についてクレジットカード情報が含まれていると公表している。
NTTマーケティングアクトProCXは、2022年4月に顧客企業から情報漏えいの可能性を指摘され、NTTビジネスソリューションズと調査したものの事実を把握できなかったという。2023年7月13日には、情報漏えいの可能性を指摘した顧客企業に関する警察の捜査が行われた。これを契機として警察の捜査に協力しながら調査を行い、9月28日と10月9日に情報漏えいの状況を特定したとする。
NTTマーケティングアクトProCXは、情報漏えいの原因として(1)保守作業の端末にダウンロードが可能だった、(2)保守作業の端末に外部記録媒体を接続してデータの持ち出しが可能だった、(3)セキュリティリスクの高い行動や振る舞いを適切に検知できなかった、(4)各種ログなどの定期的なチェックが不十分だった――の4点を挙げた。
再発防止策について、(1)では中継サーバーを設置して保守管理サーバーなどのデータを中継サーバーにダウンロードする仕組みとし、保守作業の端末から中継サーバーへリモートデスクトップ接続を行うように変更して、保守作業の端末へのデータダウンロードを不要にするという。(2)では、保守作業の端末への外部記録媒体の接続を禁止に変更する。
原因1の対策
原因2の対策
(3)では、セキュリティリスクのある振る舞いを検知してすぐ管理者に通知することにするといい、(4)では、各組織の定期的なログ確認の徹底と当事者以外の第三者による抜き打ち検査を実施することにしている。
原因3の対策
NTTビジネスソリューションズとNTTマーケティングアクトProCXは関係者に謝罪するとともに、漏えいに不安を覚えた人からの問い合わせ窓口(電話番号:0120-220-614、受付:午前9時~午後8時)を設置した。NTT西日本も特設コールセンター(電話番号:0120-282-922、受付:午前9時~午後8時)を開設している。