プロジェクトオーガナイザの吉田聖書です。
10月17日に、NTT西日本の100%子会社である株式会社NTTマーケティングアクトProCXと、同じくNTT西日本の100%子会社であるNTTビジネスソリューションズ株式会社が連名でニュースリリースを出しまして、コールセンターシステムの運用保守業務従事者が顧客情報を外部に流出させていたと発表しました。
NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)
(2023/10/17 株式会社NTTマーケティングアクトProCX、NTTビジネスソリューションズ株式会社)
これは事故というよりは事件ですよね。NTTマーケティングアクトProCX社はテレマーケティング業務、コールセンター業務を請け負っている会社でして、NTTビジネスソリューションズ社はそのコールセンター業務で使うシステムの運用と保守を請け負っていた会社です。その運用・保守業務を行うNTTビジネスソリューションズに以前派遣されていた元派遣社員が、システム管理者のアカウントを使って不正に顧客の個人情報を取得し、外部に持ち出していたそうです。
その件数が、そのニュースリリース発表時点で分かっているだけでもクライアント数で59件、個人情報のデータ数で約900万件だということです。NTTドコモが同様にプレスリリースを出していますので、この59件のクライアントの一つはNTTドコモですね。調査が進めばもっと増える可能性もあるようです。しかも、データの流出は2013年ごろから行われていたのではないかということが分かっているようです。これは結構派手にやってますね。
このニュースリリースには、詳細な別添の資料が公開されていまして、事件の詳しい経緯とか、原因と対策について書かれています。
経緯については興味深い点がありまして、まず、去年の4月に取引先の一つから情報漏洩の可能性を指摘されて調査を行ったところ、その時には何らの事実も掴むことができなかったそうです。なんですけれども、その取引先に関する情報漏洩の疑いで、今年の7月に警察が動き出したそうです。そこで、再度調査したところ、情報漏洩の事実が確認されたということなんですね。
気になったのは去年はどんな調査をして、今年はどんな調査をしたのか。なぜ去年は事実確認ができなかったのか。そしてなぜ今年は事実が確認できたのか…ということです。逆に言うと、去年の時点でどんな調査をしていれば情報漏洩の事実を確認することができたのかということです。他社のセキュリティ事故と比較して詳細な経緯が述べられていることについては敬意を表したいと思いますが、この点(具体的な調査方法)について全く触れられてないのは残念です。
もしかすると、去年実施した調査があまりにも杜撰だったので公表するに堪えないということなのだろうかと勘繰りたくもなります(そうでないことを願いますが)。少なくとも、どのような調査が決め手となったかについては、他社にとっても有益な情報となり得るのではないかと考えます。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
また、今回の事件の発生原因として4点あげていて、それぞれについて既に対策済みであることが対策内容とともに記載されています。これについても敬意を表したいと思いますが、もう少し掘り下げて技術的にどのような対応をしたのかについて知りたいと思いました。
それらの記載されている原因は確かに直接的なセキュリティ上の欠陥であることは間違いないのですが、それよりも気になった点があります。それはどうしてそのようなセキュリティ上の欠陥が発生したのかという根本原因について触れられていない点です。ニュースリリースでは、再発防止策として「再点検」と「従業員の教育」を挙げていますが、根本原因が特定できていないとこれらの対策は空振りに終わります。
ここからは推測になりますが、根本的な原因は、「従業員による犯行」を想定の範囲外に置いたことなのではないかと思います。どんな従業員であっても不正をし得るんだという想定を置けば、それなりの対策ができると思います。
本件と直接関係ない話ですが、昔はこういう犯行を犯そうとしたら身元を隠して社員になるしかありませんでした。ところが今はどんどん業務を外部に委託していますし、正社員ではない、つまり委託元の組織にとっては身元が明らかでない従業員が入り込む余地が大きくなっています。
今回の犯人が最初からそのつもりだったのかは分かりませんけれども、システム管理者の権限とか暗号鍵のような重要な情報は、直接身元を確認できている人にしか預けないような発想が必要なのではないかと思います。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。