NTT西子会社個人情報漏えい事件
NTT西日本の子会社2社は17日、コールセンターシステムの運用保守を担当していた元派遣社員が、約900万件の個人情報を不正に流出させたと発表 。
漏えいしたのは「NTTマーケティングアクトProCX(プロクス社) 」が受託したテレマーケティング業務59社900万件の個人情報。
犯人は、同社からシステムの運用管理を委託されていた「NTTビジネスソリューションズ(BS社)」所属の派遣社員。
2013年7月~2023年1月まで10年にわたり情報を抜き続け、複数の名簿業者に売りつけ、合計約2400万円を受領。
発覚しそうになった今年6月に退職。
被害は、
山田養蜂場(通販顧客) 400万件
NTT西日本(フレッツ契約者) 120万件
岐阜県国保連合会(健診受信者) 18万件
福岡県(自動車税納税者) 14万件
他、59団体あわせて約900万件
プロクス社の問題としては、以下の点が指摘されている。
USBメモリを使用禁止のルールとなっていたにも関わらず、技術者は使っていた
(必要であるため?使用不可の制御はせず、ルールのみ設定)ID/PWを技術者4人で共用していた
(誰が操作したかはっきりさせるためアカウント(ID/PW)を分けることが規格でも要求されているが、サーバの仕様か?アカウントを共用していた)ファイルの操作ログを取得していたが、点検していなかった
ファイルの不正な操作を検知してアラートを出せなかった(仕組みがなかった?検知できなかった?)
上記の3は、正規業務と不正作業の見分けはつかないので点検で発見するのはムリ。いざという時の犯人探しや法廷証拠(フォレンジック)を集められれば良い。
4も、不正操作の定義を予め設定する必要があり、現実的でない。
いずれも優秀なAI監視システムの登場を待つしかない。
しかし、USBメモリに関しては、使用する媒体を特定し、金庫保管、貸出簿の管理は可能。
また、アカウント管理も、USBメモリにパスワードや電子証明書を格納した「USBキー」を物理キーとして貸出管理が可能。あるいは、複数人での操作を義務付け、操作ログと監視カメラを連動させることも可能。
このような対応可能な対策をしていなかったのが、プロクス社の問題と言える。
今後の展開は、、、
行為者(犯人)は、逮捕・起訴され、不正競争防止法で10年以下の懲役かつ2000万円以下の罰金。
リストを買った・転売買した名簿業者は、不正競争防止法での罰金/個人情報保護法での勧告・命令か?
情報を摂取されたプロクス社も管理責任を問われ、行政処分・罰金/過料を科される可能性がある。
なにより、900万件×700円(見舞金500円+送料200円)=63億円以上の見舞金 + 賠償金の請求が来るだろう。
令和6年2月21日、犯人の景山昌浩(63)~名簿売却で得た2400万円で海外旅行や豪遊~は、岡山地検津山支部により起訴された。
→ 罰金刑(犯罪収益の没収の趣旨)の上限を越える犯罪収益を裁判所がどう判断するか、注目される。
令和6年2月29日 NTT西日本は、情報セキュリティ強化の取り組みと代表取締役社長の退任を発表。
令和6年5月23日、初公判で即日結審。求刑は懲役3年かつ罰金100万円の併科。7月11日判決の予定
→罰金が想定外に低いのは、犯罪収益を事前に返還したか?