2023年10月17日、NTTビジネスソリューションズは同社の元派遣社員が顧客情報の不正な持ち出しを行っていたと公表しました。持ち出された顧客情報はコールセンターのシステムに保存されていたもので、元派遣社員は2013年より不正な行為を及んでいたとみられています。ここでは関連する情報をまとめます。
10年近く前から顧客情報を不正に持ち出し
- 不正な行為を行っていたのはNTTビジネスソリューションズに2008年6月より派遣されていた元派遣社員(公表時点で派遣会社から退職済)で、コールセンターシステムの運用保守管理を担当していた。10年間で100回以上にわたって不正な取得行為を行っていた。*1
- NTTビジネスソリューションズはNTTマーケティングアクトProCXが利用していたコールセンターシステムのシステム運用を行っており、元派遣社員によって不正に持ち出されていた情報はNTTマーケティングアクトProCXが顧客組織から受領していたテレマーケティング業務で使用する顧客データの一部。不正に持ち出されていたファイル更新日付より2013年7月から2023年1月まで不正な行為に及んでいたと2社はみている。
- 2022年1月以降、山田養蜂場は自社の顧客4人から「他社から勧誘の電話がかかってくる」と問い合わせが相次いだ。*2 *3 そのため山田養蜂場はNTTマーケティングアクトProCXへ自社の顧客情報が流出している可能性があるとの連絡を行った。2社は社内調査を実施するも流出の事実を確認することが出来なかったため、山田養蜂場に対して「流出の可能性はない」と回答を行っていた。*4 この時行われた調査は社内調査委員会にて検証が行われており、「調査と呼べるものではない」との評価しており、NTT西日本社長もずさんで重大な問題があったと言及。*5 悪質性は認められなかったが、参考情報としての位置づけで考えていたなどとしてログなどのエビデンスの改ざんが行われていた。山田養蜂場は同時期に岡山県警にも被害相談を行っており、その後のNTTビジネスソリューションズに対して不正競争防止法違反容疑による警察の捜索が実施され、元派遣社員が使用していたPCが押収されたことを発端として社内調査を継続し流出事実の把握に至った。*6 警察による捜査は公表時点でも進められている。
- 元派遣社員への聞き取り調査の結果より、不正に持ち出された情報の一部は外部の名簿業者に渡っていた可能性がある。*7 2社は元派遣社員が金銭授受などを行っていたかは把握していないが、捜査を通じて名簿業者から対価とみられる2,000万円を超える金銭授受の疑いがあることが明らかになった。*8 *9 *10 男は過去に起きた大手教育情報会社の事案を参考にしたとして、借金の一括返済を迫られ生活費に困った時に売っていたと供述。*11 福岡県では消費者生活センターに身に覚えのない投資などの勧誘電話が頻繁に来るようになったとの相談があったと報じられている。*12 名簿業者は男が持ち込んだ情報が盗んだものだったとの認識はなかったと取材に答えている。
- 元派遣社員が情報を渡したと名簿業者からは東京都内の貴金属販売業者に一部の情報が転売されていた。貴金属販売業者は電話での営業活動に利用することを目的に購入をしたもので、名簿業者にリクエスト(「着物購入者」や「証券取引経験者」など)を伝え名簿業者から「健康食品の購入者」の名簿を入手していた。その後電話の営業活動を行っていたところ、健康食品の販売業者(個社名は封じられていないが山田養蜂場とみられる)より自社の名簿を使用していないかとの問い合わせを受け、さらにその後警察によって記録媒体など押収されていた。貴金属販売事業者は名簿の出所について把握せずに使用を行なっていた。*13
- 岡山県警はその後、元派遣社員を不正競争防止法違反(営業秘密の領得、開示)の容疑で逮捕した。*14 2023年1月17日に、勤務先のNTTビジネスソリューションズのサーバーから山田養蜂場の顧客リスト3万2759名分のデータを業務用PCに不正にダウンロード、複製し、名簿業者にメールで不正取得したデータを送信した疑い。*15元派遣社員は取り調べに対して、すべて間違いはないと容疑を認める供述を行っているほか、金が欲しかったと話している。*16 *17 名簿業者からは約2万円を報酬として受領していた。
元派遣社員が持ち出した情報
- 公表時点で把握されている不正に持ち出された情報の概要は次の通り。流出した情報のうち、約1割は顧客組織の特定に至っておらず、今後影響を受けた顧客組織の数が増える可能性がある。*18
- その後の調査を通じて、対象件数、影響を受けた顧客組織数ともに数の修正が行われた。また10月17日時点で特定の顧客への紐づけが行えていなかったものについて、すでに紐づけ済みのものにも不適切な(紐づけが適切でない)対象が計上されていたことが判明し、最終的に138万件が不特定対象の初期件数として計上された。この内、21万件は顧客特定が行えたものの、依然117万件が特定に至っていない。これらについて、大半が氏名、住所、電話番号のみのファイルであったことから特徴的な情報がないとして顧客特定が行えなかったと説明した。
- NTTビジネスソリューションズは、影響を受けた件数特定のため、個人情報保護委員会と相談を行い、次の2つの方法により紐づけ調査を進めたとして説明。
- サーバーからのダウンロード履歴情報(件数、日時にかかる情報)とファイル情報の突合
- ファイル内情報の目視確認より、顧客情報に含まれる住所、年齢、項目名より固有の特徴を抽出
| 対象件数 | 約928万件の情報(10/17公表の約900万件より修正) |
|---|---|
| 影響を受けた顧客組織 | 69組織(12/19公表時点)(10/17公表の59組織より修正) |
| 持ち出された情報 | 氏名、住所、電話番号など 顧客2組織より受領していた81件の情報にはクレジットカード情報も含まれていた。 |
USBメモリにコピーし持ち出しか
- 顧客データはNTTビジネスソリューションズのデータセンター内のコールセンターシステム上に保管されていた。元派遣社員は自身の所有していた管理者用のアカウントを悪用し保守用ネットワークを通じて保管していたサーバーに接続し運用保守用の端末にコピーを行っていたと2社はみている。
- 業務用端末はサーバーからデータの持ち出しが可能になっていた他、外部記録媒体を接続し端末内のデータを持ち出すことも可能となっており、元派遣社員はUSBメモリを用いてデータを持ち出ししていたとみられるが、社内調査委員会ではWebメール等の別方法での持ち出しが可能であったと指摘する。2社は端末の問題のほか、リスクベースで検知する仕組みを導入していなかったことやログなどの定期的な確認を十分に行っていなかったことも不正行為を許した主な原因として挙げている。
- NTTはグループ全体でUSBメモリを業務に使用しないとする再発防止策をとること、全グループ企業を対象に記録媒体の持ち込み禁止が徹底されているか緊急調査を進めていることを明らかにしている。*19
- 元派遣社員の不正行為が可能となったこれら原因に対して、次の緊急的な対処策を講じたと2社は説明している。
| 主な原因 | 2社の対処策 |
|---|---|
| 保守作業端末で顧客データのダウンロードが可能 | 中継サーバーを介してコールセンターシステムへの接続する方式とし、保守端末からはRDP接続し端末へのダウンロードを不要とする運用に変更。加えて端末は技術的にダウンロード不可とした。 |
| 保守作業端末で外部記録媒体を用いた持ち出しが可能 | 端末への外部記録媒体を接続不可とした。持ち出し要の業務の場合は複数の管理者の承認を必要とする運用に変更した。 |
| セキュリティリスク大の振る舞いを検知できず | リスクベースの検知を行い管理者に通知する措置を導入した。 |
| ログ等の定期的確認が不十分 | 定期的なログ確認の徹底と第三者による抜き打ちチェックを導入した。 |
影響を受けた顧客組織
| 影響を受けた顧客組織 | 流出可能性の件数 | 流出可能性のある情報 | 外部流出の有無 | 発覚の経緯 |
|---|---|---|---|---|
| 山田養蜂場 | 約400万件 | 氏名、住所、電話番号、生年月日、性別 (テレマーケティング業務 2016年2月~2023年1月委託) |
流出可能性あり | 8月に報告受領し判明 |
| NTT西日本 | 約120万件 | 氏名、住所、電話番号、生年月日(一部)等 | 流出あり 対象顧客の特定作業中 |
記載無し |
| キューサイ | 約46万件 | 氏名、住所、電話番号、生年月日、年齢、郵便番号、顧客番号、商品購入履歴等 (コールセンター業務 2011年6月~2018年12月委託) |
記載なし | 記載なし |
| ピュール | 516,185件 | 氏名、住所、電話番号、生年月日、性別、年齢 (顧客対応業務の一部委託) |
悪用情報なし | 10月2日報告受領し判明 |
| 森永乳業 | 約34万件 | 氏名、住所、電話番号、郵便番号等 (牛乳宅配サービスのテレマーケティング業務委託) |
記載なし | 10月16日報告受領し判明 |
| ⽇本メディアシステム(第2報) | 約23万件(重複含む) | 氏名、電話番号、住所(一部顧客は住所含まず) (ひかりコールセンターの運営に伴う業務委託) |
記載なし | 10月16日報告受領し判明 |
| NTTドコモ(第2報) | 約6.9万件 内訳: アウトバウンドテレマ業務 約1.5万件 スマホ・光乗り換えサポート事務局業務 約4.9万件 ひかりTVチューナー設置勧奨業務 約0.5万件 |
アウトバウンドテレマ業務:氏名、電話番号、携帯電話番号、郵便番号、契約者住所、契約者性別(2015年4月~2015年6月委託) スマホ・光乗り換えサポート事務局業務:氏名、電話番号、郵便番号、契約者住所、プロバイダ名(2018年3月~2020年8月委託) ひかりTVチューナー設置勧奨業務:氏名、電話番号、郵便番号、設置住所、チューナー機種名、ISP-ID、ユーザID(2019年12月~2020年1月委託) |
外部流出情報なし | 10月11日報告受領で判明 |
| フォーマルクライン (第2報) | 196,468件 | 会員ID、氏名、電話番号、郵便番号、住所、性別、年齢、生年月日 | 流出あり | 10月2日報告受領し判明 |
| TOKAIコミュニケーションズ | 記載なし(調査中) | 氏名、住所、電話番号、生年月日、性別、ユーザID (TNCインターネット接続サービス「フレッツ光対応サービス」テレマーケティング業務 2015年3月~2016年6月委託) |
記載なし | 報告受領し判明 |
| ソニーネットワークコミュニケーションズ(第2報) | 16,892件 | 氏名、住所、電話番号、生年月日、性別、メールアドレス等 (「So-net 光」関連業務を委託) |
記載なし | 10月16日報告受領し判明 |
| エバーライフ | 88,195件 | 氏名、住所、電話番号、生年月日、性別、年齢、初回購入日、最終購入日、購入回数、お客様番号、会員ステージ | 記載なし | 記載なし |
| ニフティ | 約4万件 | 氏名、住所、電話番号 (「@nifty光」の工事調整業務 2016年3月~2019年1月委託) |
第三者への流出なし | 10月16日報告受領し判明 |
| MXモバイリング | 約1.2万件 | 氏名(契約者・申込者)、住所、電話番号、郵便番号、生年月日、建物種別、東西区分、SEQNO、申込日、申込プラン (Marubeniひかりサービスの注文申込受付業務 2015年12月7日~2016年10月18日委託) |
記載なし | 記載なし |
| やずや | 約3万件 | 氏名、住所、電話番号、年齢、性別 (一部の業務2021年12月まで委託) |
記載なし | 報告受領し判明 |
| テレ・マーカー | 約6万件 | 氏名、住所、電話番号、代表者、TMTプラン、通信会社名、プロバイダ名等 (プラチナ光契約獲得に向けたアウトバウンドテレマに関する業務委託) |
記載なし | 記載なし |
| WOWOW | 約4万件 | 氏名、住所、電話番号、生年月日、郵便番号、性別 (「WOWOW15日間無料体験」のテレマーケティング業務 2018年6月まで委託) |
記載なし | 10月16日報告受領し判明 |
| 日本オプティカル | 記載なし | 氏名、住所、電話番号、生年月日、会員番号 (コンタクトレンズケア用品宅配サービステレマーケティング業務2023年3月まで委託) |
記載なし | 記載なし |
| 日本学生支援機構 | 約5万件 | 氏名、住所、電話番号、生年月日、郵便番号 (奨学金相談センターの設置及び運営業務委託) |
悪用情報なし | 10月12日報告受領し判明 |
| オージオ | オージオ顧客 1528件 なちゅライフ顧客 3455件 |
氏名、住所、電話番号、生年月日、郵便番号、性別、クレジットカード情報(67件) (テレマーケティング業務 2016年4月まで委託) |
流出情報なし | 記載なし |
| リフレ | 963件 | 氏名、電話番号、性別、生年月日、郵便番号、性別、クレジットカード情報(14件) (テレマーケティング業務 2016年7月まで委託) |
流出情報なし | 記載なし |
| 東京都足立区 | 約7千件 | 氏名、電話番号、性別、生年月日、年度末年齢、郵便番号、住所、方書 (特定健康診査未受診者への受信勧奨業務 2017年9月~2018年3月委託) |
報告以上の情報把握せず | 10月16日報告受領し判明 |
| 東京都町田市 | 約8千件 | 氏名、住所、電話番号、生年月日、性別、保険証記号番号、2014年度特定健康診査受信有無 (特定健康診査の受診勧奨業務 2015年度委託) |
記載なし | 記載なし |
| 千葉県千葉市 | 約5万件 | 氏名、住所、電話番号、性別、年齢 (特定健康診査未受診者電話勧奨業務 2015年度委託) |
記載なし | 10月16日報告受領し判明 |
| 静岡県富士市 | 3,196件 | 氏名、住所、電話番号、生年月日、郵便番号、性別、方書 (平成29年度特定健診電話受診勧奨業務 2017年年度委託) |
記載なし | 10月18日報告受領し判明 |
| 静岡県浜松市 | 約5万件 | 氏名、住所、電話番号、年齢、性別 (特定健康診査等電話勧奨業務委託 2016年6月~2016年12月委託) |
記載なし | 報告受領し判明 |
| 静岡県焼津市 | 約3千件 | 氏名、電話番号、生年月日、電話番号 (特定健診の未受診者に対するコールセンター業務 2015年12月~2016年3月委託) |
流出情報なし | 報告受領し判明 |
| 福岡県 (第2報)(第3報)(第4報) | 133,655件+29,173件 | 氏名、電話番号、郵便番号、住所、年齢、生年月日 (自動車税に関する納税者業務委託 2015年~2020年委託) |
記載なし | 10月13日報告受領し判明 |
| 愛知県半田市 | 約4千件 | 氏名、住所、電話番号、生年月日、年齢、性別 (半田市国民健康保険特定健康診査受診勧奨業務委託 2017年7月~9月委託) |
流出情報なし | 記載なし |
| 愛知県小牧市 | 約3万件 (電話番号での名寄せで1万件) |
氏名、住所、電話番号、性別、年齢、生年月日、特定健診の受診券番号等 (特定健康診査、特定保健指導の受診勧奨業務 2013年~2015年、2017年、2018年委託) |
記載なし | 記載なし |
| 愛知県豊橋市 | 約3万件 | 氏名、住所、電話番号、生年月日等 (国民健康保険特定健康診査受診勧奨等の業務 2018年8月~2019年12月委託) |
悪用情報なし 対象者特定されず |
記載なし |
| 愛知県瀬戸市 | 約8千件 | 氏名、電話番号、生年月日、性別等 (国民健康保険特定健康診査受診勧奨業務 2013年9月12日~27日委託) |
記載なし | 10月16日報告受領し判明 |
| 愛知県あま市 | 約5千件 | 氏名、住所、電話番号、生年月日、性別、年齢 (特定健康診査受診勧奨業務 2014年度委託) |
流出情報なし | 記載なし |
| 奈良県国民健康保険団体連合会 対象地方公共団体等:奈良市、大和郡山市、天理市、生駒市、香芝市、高取町、下市町、上北山村、川上村 |
4,376 件 | 氏名(カナ)、住所、電話番号、生年月日、年齢 (平成 30 年度電話による特定健康診査受診勧奨業務委託、平成 30 年度奈良県国民健康保険料(税)コールセンター業務委託) |
悪用情報なし | 12月13日報告受領し判明 |
| 大阪府堺市 | 69,239万件 | 氏名、住所、電話番号、生年月日、性別 (がん検診総合相談センター設置・運営業務 2017年5月~2022年3月委託) |
悪用情報なし | 10月16日報告受領し判明 |
| 大阪府岸和田市(第2報) | 約1万7,500件 | 氏名、住所、電話番号、生年月日、年齢 (特定健康診査受診電話勧奨業務 2016年、2017年度委託) |
記載なし | 10月16日、12月12日報告受領し判明 |
| 大阪府河内長野市(指名停止措置) | 572件 | 氏名、住所、電話番号、生年月日 (市税集中電話催告業務 2017年9月~12月委託) |
悪用情報なし | 確認し判明 |
| 大阪府豊中市 | 約3千件 | 氏名、住所、電話番号、生年月日、性別 (特定検診未受診者勧奨業務 2015年度委託) |
記載なし | 報告受領し判明 |
| 大阪府松原市(第2報) | 3千件 | 氏名、住所、電話番号、生年月日、性別、年齢 (松原市国民健康保険特定健康診査未受診者電話勧奨業務 2020年度委託) |
流出情報なし | 記載なし |
| 三重県 | 約2,400件 | 氏名、住所、電話番号、郵便番号等 (PCB含有安定器等の保有に関するフォローアップ調査業務 2020年11月8日~2021年3月23日再委託) |
記載なし | 10月13日報告受領し判明 |
| 三重県国民健康保険団体連合会 (第2報) 関連して公表した地方公共団体:四日市市、伊勢市、伊賀市、津市、桑名市(第2報)、志摩市、鈴鹿市(第2報)、亀山市、川越町、御浜町、紀北町、大台町、紀宝町、木曽岬 |
約3万件 | 氏名、住所、電話番号、生年月日、性別 (特定健診等受診電話勧奨および国民健康保険料電話催告業務委託) |
記載なし | 10月16日報告受領し判明 |
| 生活協同組合コープぎふ(第2報) | 約1.5万件 | 氏名、住所、電話番号、生年月日、郵便番号、性別 (共済掛金振替日の変更案内業務 2018年8月委託) |
記載なし | 10月16日報告受領し判明 |
| 岐阜県国民健康保険団体連合会(第2報) 対象地方公共団体等: 岐阜市、大垣市(第2報)、多治見市、関市(第2報)、中津川市(第2報)、美濃市、瑞浪市、羽島市、恵那市(第2報)、美濃加茂市(第2報)、土岐市、可児市、山県市、本巣市(第2報)、下呂市(第2報)、海津市、岐南町、笠松町、養老町、垂井町、関ヶ原町、北方町、坂祝町、富加町、八百津町、御嵩町(第2報)、建設国保 |
最大延べ約48.3万件 | 氏名、住所、電話番号、性別、年齢 (国民健康保険特定健診受診率向上に向けた受診勧奨の共同実施(コールセンター)業務 2015年~2019年度、2021年度再委託) |
記載なし | 10月12日報告受領し判明 |
| 愛知県みよし市 | 約4千件 | 氏名、住所、電話番号、性別、年代、登録日 (特定健康診査の受診勧奨業務 2016年度委託) |
悪用情報なしと報道 | 記載なし |
| 愛知県稲沢市 | 2,052件 | 氏名、住所、電話番号、生年月日、性別、年齢 (特定健康診査電話勧奨業務 2017年度委託) |
悪用情報なし | 報告受領し判明 |
| 奈良県橿原市 | 約4千件 | 氏名、住所、電話番号、年齢、性別、世帯主名 (国民健康保険特定健康診査受診勧奨電話業務 2013,2014年度委託) |
流出情報なし | 記載なし |
| 石川県加賀市 | 3,192件(重複あり) | 氏名、住所、電話番号、生年月日、郵便番号 (税料金の未納付者に対する納付勧奨業務 2018年度、2019年度委託) |
記載なし | 報告受領し判明 |
| 石川県能美市(第2報) | 延1,909件(1,074人分) | 氏名、住所、電話番号、生年月日、郵便番号 (市税等コールセンター運営業務 2018年度委託) |
悪用情報なし | 10月12日報告受領し判明 |
| 福井県福井市(第2報) | 9,173件 | 氏名、住所、電話番号、生年月日、性別、年齢、郵便番号、地区 (国民健康保険特定健康診査受診勧奨業務 2015~2017年度委託) |
記載なし | 報告受領し判明 |
| 福井県鯖江市 | 1,334件(死亡者、転出者含む) | 氏名、住所、電話番号、生年月日、郵便番号、性別、年齢、方書 (国保特定健診未受診者電話勧奨業務 2015年度再委託) |
記載なし | 報告受領し判明 |
| 富山県氷見市 | 約2千件 | 氏名、住所、電話番号、生年月日、性別、年齢、郵便番号 (国民健康保険特定健康診査未受診者勧奨業務及び納税コールセンター業務 2017年12月18日~2019年2月18日委託) |
記載なし | 記載なし |
| 富山県射水市 | 約3千件 | 氏名、住所、電話番号、生年月日、性別、年齢、郵便番号 (国民健康保険特定健康診査受診勧奨業務 2016年9月、2021年9月委託) |
記載なし | 記載なし |
| 富山県上市町 | 約2千件 | 氏名、住所、電話番号、生年月日、郵便番号、年齢、性別 (がん検診受診勧奨業務 2014年~2019年委託) |
悪用情報報告なし | 報告受領し判明 |
| 富山県滑川市 | 約2,000件 | 氏名、住所、電話番号、生年月日、性別、年齢 (国民健康保険特定健康診査未受診者の受診勧奨業務 2014年~16年委託) |
記載なし | 記載なし |
| 富山県黒部市 | 約2,000件 | 氏名、住所、電話番号、生年月日、性別、年齢 (国民健康保険特定健診受診勧奨業務 2015年~2020年委託) |
記載なし | 記載なし |
| 徳島県鳴門市 | 3,071件 | 氏名、住所、電話番号、生年月日、年齢、郵便番号(一部項目がない等データごとに対象項目が異なる) (特定検診未受診者勧奨業務 2016年8月26日~12月28日まで委託) |
流出情報なし | 記載なし |
| 福岡県大野城市 | 3,200件 | 氏名、住所、電話番号、生年月日、宛名番号、特定兼真珠試験整理番号 (特定健康診査未受診者受診勧奨業務 2018年委託) |
記載なし | 12月13日報告受領し判明 |
| 鹿児島県(第2報) | 108,304件 | 氏名、住所、電話番号、生年月日、年齢等 (自動車税納税お知らせセンター業務 2011年~2020年委託) |
流出情報なし | 記載なし |
| 沖縄県(第2報) | 32,242件 | 氏名、住所、電話番号、生年月日 (自動車税に係るコールセンター業務 2013,2014年度委託) |
悪用情報なし | 報告受領し判明 |
個人情報保護委員会の勧告および指導
- 個人情報保護委員会は、2社に対して個人情報保護法法第 148 条第1項に基づく勧告及び第 147 条に基づく指導等を行ったと公表。勧告および指導の対象となった具体的な指摘事項に関しては資料詳細版に記載されている。
NTTマーケティングアクトProCXに対して
| 勧告内容 | 過去の調査が不十分であり、その経緯と原因を明らかにできていないこと、個人情報保護委員会への報告ができていないこと、個人データ取扱状況を把握する組織体制が現状も十分でないこと。これらより現在も多数の個人データや保有個人情報の取扱いを委託され業務を継続していることから、この状態を放置しておくことは個人の権利利益を侵害するおそれが高い。よって組織的安全管理措置の不備(第23条の規定違反)を是正するための必要な措置として、当該違反行為を是正するために必要な措置を取るよう勧告するもの。 |
|---|---|
| 指導内容 | その他に確認された個人情報保護法第 23 条が求める安全管理措置及び法第 25 条が求める委託先の監督の不備の問題点を改善するよう指導するもの。 |
| 報告期限 | 2024年2月29日まで(過去調査における不適切な調査報告に至った経緯及び原因) 2024年3月29日まで(勧告及び指導に対するその後の確実な再発防止策の実施状況) |
NTTビジネスソリューションズに対して
| 勧告内容 | NTTマーケティングアクトProCX同様に過去の調査が不十分であり、その経緯と原因を明らかにできていないこと、個人情報保護委員会への報告ができていないこと、個人データ取扱状況を把握する組織体制が現状も十分でないこと。これらより現在も多数の個人データや保有個人情報の取扱いをNTTマーケティングアクトProCXより委託され業務を継続していることから、この状態を放置しておくことは個人の権利利益を侵害するおそれが高い。よって組織的安全管理措置のうち個人データの取扱状況の把握及び安全管理措置の見直し(第23条の規定違反)を是正するための必要な措置として、当該違反行為を是正するために必要な措置を取るよう勧告するもの。 |
|---|---|
| 指導内容 | その他に確認された個人情報保護法第 23 条が求める安全管理措置及び法第 25 条が求める委託先の監督の不備の問題点を改善するよう指導するもの。 |
| 報告期限 | 2024年2月29日まで(過去調査における不適切な調査報告に至った経緯及び原因) 2024年3月29日まで(勧告及び指導に対するその後の確実な再発防止策の実施状況) |
総務省の指導
- NTT西日本に対して、総務省が委託先の適切な監督を行うよう指導を行った。指導の対象は今回影響を受けた約928万件のうち約120万件で、これを同社が占めており、電気通信事業法、NTT法より適切ではないと判断されたもの。*24
- 個人情報取り扱い方法の見直しや影響を受けた顧客対応への徹底など再発防止策の取り組み状況について報告を求めるもので、期限は2024年3月29日。
- NTT西日本は5月10日付で社内にセキュリティ&トラスト部を設置したと公表。同部では、既存の情報セキュリティ推進部、技術革新部のサイバーセキュリティ戦略室等を統合するなどし、グループ内のセキュリティ人材を集め、セキュリティガバナンスの強化をはかる。*25
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2008年6月 | コールセンターシステムの運用保守管理担当に元派遣社員がアサインされる。 |
| 2013年3月 | 元派遣社員による不正な持ち出し行為が始まったとみられる。 |
| : | 元派遣社員が名簿業者に情報を販売か。さらにその後名簿業者から貴金属販売業者に情報の一部を転売か。 |
| 2022年1月~3月 | 山田養蜂場に対して他社から勧誘電話がかかってくるとの問い合わせが相次ぐ。 |
| 2022年3月下旬 | 山田養蜂場が岡山県警に被害相談。*26 |
| 2022年春頃 | 食品業者(山田養蜂場と見られる)より貴金属販売業者に自社名簿を使用していないかとする連絡。 |
| 2022年4月 | 山田養蜂場より自社の顧客情報が流出している疑念についてNTTマーケティングアクトProCXへ連絡。 |
| : | 2社で流出疑念に対する内部調査を実施するも事実確認に至らず。 |
| 2022年7月 | NTTマーケティングアクトProCXより流出の事実はないと山田養蜂場へ回答。 |
| 2022年12月 | 岡山県警が貴金属販売業者より記録媒体などを押収。 |
| 2023年7月 | 利用組織より警察による捜査が行われていると報告。*27 |
| 2023年7月13日 | NTTビジネスソリューションズに対し警察が不正競争防止法違反の容疑で捜索。 |
| 2023年7月 | 元派遣社員がNTTビジネスソリューションズでの勤務を終了。 |
| 2023年9月28日、10月9日 | 不正行為の影響を受けた顧客企業を特定。 |
| 2023年10月17日 | 2社が元派遣社員による不正持ち出し行為による情報流出について公表。 |
| 2023年10月20日 | 大阪市内のイベントで親会社のNTT西日本社長が今回の不正事案について陳謝。*28 |
| 2023年11月7日 | NTT社長が今回の不正事案について陳謝。 |
| 2023年12月19日 | NTTビジネスソリューションズが影響件数が追加されたとして続報公表。 |
| 2024年1月24日 | 個人情報保護委員会がNTTマーケティングアクトProCX、NTTビジネスソリューションズに対して個人情報保護法に基づく勧告及び指導等を行ったと公表。 |
| 2024年1月26日 | NTT西日本がグループ2社の情報流出を受け謝罪。 |
| 2024年1月31日 | 岡山県警が元派遣社員を不正競争防止法違反の容疑で逮捕。 |
| 2024年2月2日 | 岡山県警が元派遣社員を検察庁へ送致。 |
| 2024年2月9日 | 総務省がNTT西日本を指導。 |
| 2024年2月21日 | 岡山地検が元派遣社員を起訴。*29 |
| 2024年2月29日 | NTTマーケティングアクトProCX、NTTビジネスソリューションズが個人情報保護委員会へ報告。 |
| 同日 | NTT西日本、NTTマーケティングアクトProCX、NTTビジネスソリューションズが事案発生を受けた取り組みについて公表。 |
| 2024年4月1日 | 同日付で就任したNTT西日本社長が就任記者会見にて、今後3年間をめどに情報管理を徹底する体制を作ると発言。*30 |
| 2024年5月10日 | NTT西日本が組織体制の変更として、セキュリティ&トラスト部の設置を行ったと公表。 |
| 2024年5月23日 | 岡山地裁にて元派遣社員の初公判。*31 検察は懲役3年、罰金100万円を求刑。*32 |
| 2024年7月11日 | 岡山地裁は元派遣社員に対して懲役3年、執行猶予4年、罰金100万円の有罪判決。*33 |
| 2024年7月26日 | 控訴期限までに検察・弁護側ともに控訴がされなかったことから元派遣社員に対する判決確定。*34 |
公式発表
- 2023年10月17日 NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)
- (別添資料) [PDF] NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)
- 2023年12月19日 NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(続報)
- 2024年1月24日 当社に対する個人情報保護委員会からの勧告および指導について(NTTビジネスソリューションズ)
- 2024年1月24日 当社に対する個人情報保護委員会からの勧告および指導について(NTTマーケティングアクトProCX)
- 2024年1月26日 お客さま情報の不正流出に関するお詫びとお知らせ (西日本電信電話)
- 2024年2月9日 当社に対する総務省からの指導について(西日本電信電話)
- 2024年2月9日 お客さま情報の不正流出に関するお詫びとお知らせ(NTTマーケティングアクトProCX、NTTビジネスソリューションズ)
- 2024年2月29日 お客さま情報の不正持ち出しを踏まえたNTT西日本グループの情報セキュリティ強化に向けた取組みについて(西日本電信電話、NTTマーケティングアクトProCX、NTTビジネスソリューションズ)
- 2024年5月10日 本社組織の見直しについて(西日本電信電話)
個人情報保護委員会
総務省
- 2024年2月9日 西日本電信電話株式会社に対する行政指導
更新履歴
- 2023年10月18日 AM 新規作成
- 2023年10月18日 AM 影響を受けた顧客組織を追加、重複ありとの公表が見受けられるため対象数を人→件へ表記修正
- 2023年10月19日 PM 続報反映(山田養蜂場関連)
- 2023年11月8日 AM 続報反映(NTTグループの再発防止等)
- 2023年11月22日 PM 続報反映(貴金属販売業者への転売)
- 2023年12月19日 AM 続報反映(被害組織の続報等追記)
- 2023年12月20日 PM 続報反映(NTTBS社の続報反映)
- 2024年1月24日 PM 続報反映(個人情報保護委員会の勧告および指導等)
- 2024年2月1日 AM 続報反映(元派遣社員の逮捕)
- 2024年2月10日 AM 続報反映(NTT西日本に対する総務省指導)
- 2024年3月6日 PM 続報反映(NTT西日本の取り組み公表等)
- 2024年5月16日 PM 続報反映(NTT西日本体制変更等)
- 2024年7月26日 AM 続報反映(元派遣社員の判決確定)
*1:顧客情報漏えい事件 元派遣社員が100回以上ダウンロードしたか,NHK,2024年2月2日
*2:山田養蜂場、最大規模の400万件流出か NTT西系問題,日本経済新聞,2023年10月19日
*3:NTT西傘下900万件流出、個人情報400万件は山田養蜂場のもの…県警に相談して発覚,読売新聞,2023年10月20日
*4:顧客情報900万件が流出 NTT西系、元派遣社員が不正,共同通信,2023年10月17日
*5:NTT西日本 森林社長 3月末で退任 子会社の個人情報不正流出で,NHK,2024年2月29日
*6:顧客情報900万件流出 住所、クレジットカードなど―元派遣社員持ち出し・NTT西子会社,時事通信,2023年10月17日
*7:NTT西900万件流出、元派遣社員が不正,産経新聞,2023年10月17日
*8:NTT西日本子会社情報漏えい 元派遣社員「金に困ってやった」,NHK,2024年2月1日
*9:個人情報不正流出 元派遣社員に名簿業者から1000万円超か,NHK,2023年11月7日
*10:NTT西子会社、900万件の情報流出 USBに記録し第三者に渡す,朝日新聞,2023年10月17日
*11:顧客情報漏えいで逮捕の元派遣社員 “過去の流出事件参考に”,NHK,2024年2月20日
*12:納税者情報約14万件“売却”か…福岡県の委託業者,KBC,2023年10月17日
*13:NTT西日本子会社 情報流出 一部が貴金属販売業者で商品勧誘に,NHK,2023年11月21日
*14:NTT西日本系の顧客情報流出、容疑の元派遣社員を逮捕,日本経済新聞,2024年1月31日
*15:名簿売却、総額2千万円以上か NTT西系情報流出容疑の元派遣社員,朝日新聞,2024年1月31日
*16:個人情報流出問題 NTT西日本の子会社元派遣社員を逮捕,NHK,2024年1月31日
*17:NTT西日本子会社の個人情報流出、元派遣社員の60代男を逮捕…山田養蜂場の情報は400万件持ち出しか,読売新聞,2024年1月31日
*18:NTT西子会社で顧客情報900万件が流出、サーバー運用の元派遣社員が不正に持ち出し,日経クロステック,2023年10月17日
*19:情報流出でNTT社長が謝罪 USBは全面使用禁止に,毎日新聞,2023年11月7日
*20:個人情報約3万件 豊橋市“流出情報に含まれている疑いある”,NHK,2023年10月17日
*21:NTT西系元社員、個人情報900万件流出 名簿業者に渡る,日本経済新聞,2023年10月17日
*22:【速報】NTT西日本子会社の元派遣社員 顧客情報持ち出し「900万件」を不正流出 十数年前から第三者に 情報の一部は名簿業者へ流出,MBS,2023年10月17日
*23:焼津市でも3千人分の個人情報流出か NTT西日本子会社問題,静岡新聞,2023年10月20日
*24:NTT西日本に行政指導 900万件個人情報流出問題で総務省,産経新聞,2024年2月9日
*25:NTT西日本、情報セキュリティー強化の新部署 漏洩問題,日本経済新聞,2024年5月10日
*26:NTT西側「漏洩なし」と回答 昨年、山田養蜂場に,産経新聞,2023年10月20日
*27:NTT西日本の子会社の元派遣社員が『顧客情報900万件』を不正流出 一部は名簿業者に,TBS,2023年10月17日
*28:NTT西日本社長が陳謝 子会社の情報流出「管理不十分、私も責任」,朝日新聞,2023年10月20日
*29:元派遣社員の男を起訴 NTT西子会社情報流出,東京新聞,2024年2月21日
*30:NTT西日本・北村亮太新社長、情報管理の徹底「3年めどに」,日本経済新聞,2024年4月1日
*31:NTTの3万人以上情報流出、5月初公判 元派遣社員の男、岡山地裁津山支部,産経新聞,2024年4月1日
*32:顧客情報漏えい 不正競争防止法違反の罪 被告に懲役3年求刑,NHK,2024年5月23日
*33:顧客情報を漏えい NTT西日本子会社 元派遣社員に有罪判決 岡山,NHK,2024年7月11日
*34:顧客情報流出 猶予判決が確定 岡山地裁津山支部,山陽新聞,2024年7月26日
