![日本流通産業新聞オンライン[通信販売]](https://static.online.bci.co.jp/asset/common/img/logo_online.png){kind=logo}
![日本流通産業新聞オンライン[通信販売]](https://static.online.bci.co.jp/asset/common/img/logo_online_sp.png){kind=logo}
10年にわたり派遣社員が持ち出し
プロクスの発表によると、流出したのは、クライアントの顧客の氏名・住所・電話番号などの個人情報。クライアント2社については、81件のクレジットカード情報が含まれているという。
うち約100万件については、クライアント名が現時点で特定されておらず、対象となる企業・団体は今後増える可能性がある。
プロクスが利用するコールセンターシステムの運用保守業務を行うNTTビジネスソリューションズ(以下BS)で、運用保守業務に従事していた派遣社員1人が、クライアントの顧客情報を不正に持ち出し、一部もしくは全部を、名簿事業者に流出させていたことが確認されたとしている。当該派遣社員は今年7月10日が最終出社で、現在は退職済みという。
BSによると、「作業自体は、社員2人、派遣社員2人の計4人で行っていた。ただ、派遣社員1人の管理者IDで情報にアクセスできる状態になっていた」(広報担当)としている。流出は、13年7月ごろから始まって、今年の1月まで続いていたとみられるとしている。
流出した企業・団体は「お詫び」の文書を公表
個人情報が流出した企業・団体は続々と「お詫び」の文書を公表している。山田養蜂場の文書によると、流出の対象となったのは2013年7月~2023年1月の期間の顧客情報約400万件。不正に持ち出された可能性があるのは(1)氏名(2)住所(3)電話番号(4)生年月日(5)性別─。カード情報などの流出はないとしている。
同社では、対象顧客が特定でき次第、個別連絡する方針。「同様の事態が再び発生しないよう業務委託先はもちろん自社内においても個人情報管理体制の一層の強化を図っていく」(文化広報室)と言う。顧客に対する補償や、NTT側への賠償請求などについては、「検討中」(同)としている。
フォーマルクラインでは、2019年6月から、休眠顧客の掘り起こし業務を、プロクスに委託していたという。2019年9月2日~2023年2月1日までの間の18万8507件の顧客情報、が流出の対象になったとしている。流出した情報は(1)会員ID (2)氏名 (3)電話番号 (4)携帯番号 (5)住所 (6)性別 (7)年齢 (8)誕生日─など。カード情報や決済情報は含まれないという。
同社では、10月2日にプロクスから、個人情報の不正持ち出しに関する一報を受けた。正式な報告を受けた翌3日にプロクスへの業務委託を停止したとしている。現在は、プロクスのシステムから、顧客情報が削除済みであることを確認しているという。10月23日時点では、個人情報の流用・悪用事例は把握していないという。
対象の顧客はほぼ特定できており、順次、お詫びとお知らせの文書を送付していく方針だ。対象顧客への補償などについては「検討中」(人事総務部)。同社では、すでに個人情報保護委員会などへの報告も行っているとしている。委託先の管理を含め、管理体制の強化に努めるとしている。
2022年に調査も「漏えいなし」と報告
プロクスでは、2022年4月の段階で、山田養蜂場から「顧客情報の流出が生じている可能性があるので、社内調査を実施してもらいたい」旨の依頼を受けていたという。
山田養蜂場によると「2022年1~3月に、『他社から勧誘の電話がかかってくる。自分の個人情報が漏れているのではないか』と、計4件のお問い合わせをもらったのが流出に気付いたきっかけ」(文化広報室)としている。「1件のみならば、お客さまの勘違いの場合も往々にしてあるのだが、3月に2件目の問い合わせがあった段階で、自社内調査を実施。当社からの漏えいの可能性はないとの判断に至った」(同)としている。山田養蜂場では、2022年3月下旬に警察に相談。「社内調査の結果を報告したところ、警察も、当社からの漏えいは考えづらいとのことだった」(同)と言う。
2022年4月の時点で、BSとプロクスが共同調査を実施。その時点では漏えいに関する事実を把握できず、その旨を山田養蜂場に報告したという。今年7月13日に山田養蜂場の情報漏えいの件で、警察がBSを捜索。容疑は「不正競争防止法違反だと聞いている」(BS広報担当)という。
捜査をきっかけに、プロクスで社内調査を実施。顧客情報の不正な持ち出しが確認されたという。その後、59クライアント約900万件の持ち出しが特定されたことから発表に至ったとしている。
10年にわたって漏えいが繰り返されていたことについてプロクスでは「BSとはこれまで、業務委託契約ではなくサービス利用契約を結んでいた。メールソフトの利用者が、メールソフトのシステムの奥まで調べることがないのと同様、我々もシステムの中までのぞき込んで問題を把握できなかった」(広報担当)としている。
2022年に山田養蜂場から端緒情報が寄せられた段階においても漏えいを把握できなかった点についてBSでは「当時の調査の詳細はお話ししていない。ただ情報流出を把握できなかったのは事実。検証の必要がある」(広報担当)としている。
「ルール通りの運用できていなかった」
プロクスでは漏えいの主な原因として(1)保守作業端末へのダウンロードが可能になっていた (2)保守作業端末に外部記録媒体を接続しデータを持ち出すことが可能になっていた (3)セキュリティーリスクが大きいと想定される振る舞いをタイムリーに検知できていなかった (4)各種ログ等の定期的なチェックが十分でなかった─の4点を挙げている。
プロクスでは「NTT西日本グループの統一のセキュリティールールでは、指紋認証機能を備えた特定のUSBしか利用できないことになっていた。BSでもルールに基づいた運用が行われていたと思っていたが、そうではなかった」(広報担当)と話す。BSでは「ルール通りの運用ができていなかった」(広報担当)と認めている。プロクスでは、保守作業端末へのダウンロードを技術的にできなくするなど4点についてそれぞれ対処策を講じるという。
山田養蜂場では、社外に個人情報を連携する際の対策を見直す考えだ。従来から実施している「外部委託先の定期的な監査」「個人情報保護に関する教育の実施」に加え、新たな施策を行っていくという。すでに、データ取り扱いの環境を見直し、よりセキュリティーの高いデータ連携装置を導入済みだとしている。データ受け渡し時に使用していた暗号化ツールを最新ソフトに置き換えて、暗号化したままデータが保管できるものを導入。「今後は、業務委託先にも、自社と同レベルのセキュリティー対策を求めていこうと考えている」(文化広報室)と言う。
BSではISMS(情報セキュリティマネジメントシステム)やプライバシーマーク(Pマーク)の認証も取得していた。
通販・EC会社にとっても、情報セキュリティーのあり方を見直すきっかけになりそうだ。
