NTT西日本子会社から顧客情報900万件が流出 60
ストーリー by nagazou
最悪のケース 部門より
最悪のケース 部門より
NTT西日本の子会社であるNTTマーケティングアクトProCXは17日、約900万人分の個人情報が外部に漏洩したことを発表した。個人情報は、別の子会社で働いていた元派遣社員によって不正に持ち出され、一部は名簿業者に提供されたという。漏洩容疑について警察が不正競争防止法違反で捜査をしているという(TBS NEWS DIG、日経新聞、朝日新聞)。
容疑者である元派遣社員は、NTTビジネスソリューションズでコールセンターシステムの運用業務に従事し、2008年から勤務していた。漏洩は2013年7月から2023年1月までの約10年間に渡っているという。容疑者はサーバーへのアクセス権限を悪用して個人情報をUSBメモリーにダウンロードして持ち出したという。漏洩した情報には、顧客の氏名、住所、電話番号などが含まれており、一部にはクレジットカード情報も含まれている。今後、さらに増える可能性もあるという。
東京商工リサーチによれば、上場企業の情報漏洩・紛失事件の中で、規模としては2012年以降で4番目に大きいものだという。
あるAnonymous Coward 曰く、
容疑者である元派遣社員は、NTTビジネスソリューションズでコールセンターシステムの運用業務に従事し、2008年から勤務していた。漏洩は2013年7月から2023年1月までの約10年間に渡っているという。容疑者はサーバーへのアクセス権限を悪用して個人情報をUSBメモリーにダウンロードして持ち出したという。漏洩した情報には、顧客の氏名、住所、電話番号などが含まれており、一部にはクレジットカード情報も含まれている。今後、さらに増える可能性もあるという。
東京商工リサーチによれば、上場企業の情報漏洩・紛失事件の中で、規模としては2012年以降で4番目に大きいものだという。
あるAnonymous Coward 曰く、
システムの保守担当の派遣社員が、管理者アカウントでデータをダウンロードして、USBメモリで持ち出して名簿の買い取り業者に売っていたということで、なんというかいろいろと全力でヤバそうな情報漏洩案件である。
経緯 (スコア:2, 参考になる)
https://www.nttactprocx.com/uploads/extraFile/nttbizsol_20231017.pdf [nttactprocx.com]
■2022年4月
あるクライアントさまから「自社のお客さま情報の流出が生じている可能性がある
ので、社内調査を実施いただきたい」旨の依頼を受け、BS及びProCXにおいて
調査を行いましたが、その時点では漏えいに関する事実を把握することができず、
その旨、当該クライアントさまへご報告していました。
■2023年7月13日
BSに対して、当該クライアントさまに係る情報漏えいの疑いで、警察による
捜査が実施されたことを契機に、捜査に全面的に協力しながら社内調査等を継続し、
お客さま情報が不正に持ち出されたクライアントさまの特定を進めてまいりました。
「あるクライアントさま」が問題化に尽力したんかな。
実際漏洩の事実の特定って難しい面あるけど。
2012年以降で4番目に大きい (スコア:0)
900万件も流出してるのに、四天王の中では最弱なのか...
トップ3ってどんなのだっけ?
Re:2012年以降で4番目に大きい (スコア:2, 興味深い)
ベネッセ(2014年7月3,504万件)「NTT日本がやられたようだな」
ヤフー(2013年5月2,200万件)「ククク...奴は情報漏洩四天王の中でも最弱...」
ソフトバンクPayPay(2020年12月2007万件)「派遣社員ごときに負けるとは情報漏洩の面汚しよ...」
四天王のうち2つがソフトバンクグループな件
Re: (スコア:0)
2つがソフトバンクグループ
慰謝料1件500円という謎の相場を定着させたり、情報漏洩界のパイオニアってイメージある
Re: (スコア:0)
四天王最強のベネッセは今回の4倍ぐらい。
他はせいぜい1.5倍ぐらいのオーダーだったような?
Re: (スコア:0)
去年のデータだけど
下の方にある
https://www.tsr-net.co.jp/data/detail/1197322_1527.html [tsr-net.co.jp]
今年分を含めると3位、4位が入れ替わって
3位がNTTドコモ(2023/7/21 500万件超)
4位が今回のNTT西日本
になるはず
Re: (スコア:0)
リンク先を見てもどれの事を指しているのか分からないですが、3位のNTTドコモが500万件超なら、
今回の900万件よりも少ないので、去年だけのランキングなのでは?
Re: (スコア:0)
なんで2012年以降なんだろ。
2011年以降ならばソニーが最大。
https://ja.wikipedia.org/wiki/%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E6%... [wikipedia.org]
名簿買い取り (スコア:0)
名簿買い取りを禁止すればいいのに。
Re:名簿買い取り (スコア:1)
国がちゃんと住民名簿を公開すれば属性がない名簿は集める必要なくなる。
Re: (スコア:0)
「個人情報の売買は人身売買に準じる重罪とする」くらい?
Re: (スコア:0)
1件500円の罰金刑
Re: (スコア:0)
購入した名簿での営業行為も禁止で
顧客は自社で集めろ
Re: (スコア:0)
購入層一致してる異業種間のコラボが全部禁止になるな
Re: (スコア:0)
コラボで名簿直渡しとか現代の常識では既にNGやろ
Re: (スコア:0)
直渡しはしてないが他社の名簿を使いたいところは沢山ある。
例えば楽天ブックスで株の本を買ったら、数ヶ月後に日経ベリタスの勧誘DMが来たみたいな。
Re: (スコア:0)
そういうのは楽天が日経のDM送れば購入したことにはならんで
楽天の責任において行われるので日経に情報は渡らん
Re: (スコア:0)
そこは個人データの取扱いの外部委託条項を小さく書いておけば回避できる()
Re: (スコア:0)
購入層一致してる異業種間のコラボが全部禁止になるな
禁止でええやろ
俺は何かのサービスを買う契約はしたが
電話番号を別の業者に渡していいとは言っていないし
その電話番号を使って勝手に営業電話を掛けていいとも言っていないので
Re: (スコア:0)
「別の商品のご案内」として契約書に載ってるはずなので一応合意してるはず。
Re: (スコア:0)
BIG DATA名目で利用者から吸い上げた情報売りまくっているから線引できないのかも
Re: (スコア:0)
利用者からサービスに最低限必要な情報以外を求めることを禁止した方がいい
光インターネットの営業電話 (スコア:0)
よく電話が来るんだけど
もしかして、関係ある?
Re: (スコア:0)
ないよ。
Re: (スコア:0)
あるよ。
Re: (スコア:0)
ないあるよ。
Re: (スコア:0)
なぁ..いるよ...
Re:光インターネットの営業電話 (スコア:1)
被害者に連絡は? (スコア:0)
これ被害者に連絡くるの?それはそれで詐欺とかに使われそうだけど。
Re:被害者に連絡は? (スコア:1)
はがきできてATMで還付してくれるやつかな…
Re: (スコア:0)
で、ATMの前で電話かけながら機械操作するヤツだよね。
Re: (スコア:0)
来た時点で詐欺確定じゃないかな
また実名報道してない (スコア:0)
流出した人間を擁護してんの?
Re:また実名報道してない (スコア:3)
「流出させた人間」の間違いか?
それとも流出した名簿に載ってた人名のこと?
Re:また実名報道してない (スコア:1)
流出した人間を擁護してんの?
「この度流出した方のお名前は以下の方々です」(違
# ヤメローーー
Re: (スコア:0)
捜査段階で逮捕してないからじゃない?
Re: (スコア:0)
人間は流出していませんよ
どうやって実名を知る? (スコア:0)
報道しようにも、実名がわからない。つまり、
・警察から発表されていない(逮捕前だから当たり前)
・実名を知りうる数次の元請けも、訴訟リスクを考えると発表できない
・この2者からの正式発表なり、リークがないと報道は動きようがない
からでは。
Re: (スコア:0)
同意見。
個人情報ながした奴はコイツだ!って個人情報をながすことになりかねんリスクがあろうし、報道側が調べても関係者が答えないんでしょうね。
というより、実名入り外見映像でデジタルタトゥーになる恐れがあるのに、”被疑者”段階で実名報道するのがそもそもおかしいと思う。
Re: (スコア:0)
世の中、被疑者段階で実名が報道され外見映像が晒されている事例だらけ。
最近はネット掲載記事は匿名にしつつ紙面記事では実名という報道が増えつつありますが、被疑者の実名を晒すことは続いています。
不起訴になったら匿名になるわけですが、全く意味ないです。
Re: (スコア:0)
不起訴になったことが詳しく調べないとわからなくなるから、この時こそ実名を続けて欲しい。
逮捕記事しか検索で出てこないじゃないか。
Re: (スコア:0)
NHKのニュースで時々流してるよ。
時間余った穴埋めなのかな?
Re: (スコア:0)
報道で発表されていてもリリースでは伏せてるぐらいに、役員とかでもない限り会社側から社員の名前が出ることは過去の様々な事件からしてもほぼ無いな。
元派遣社員 (スコア:0)
「元派遣社員」という書き方が分かりにくい。
「NTTマーケティングアクトProCXの社員が流出させた(NTTマーケティングアクトProCXからNTTビジネスソリューションズに派遣されていた)」としている記事もあれば、
「NTTビジネスソリューションズの派遣社員が流出させた(派遣会社からNTTビジネスソリューションズに派遣されていた)」としている記事もある。
まあ、後者だと思うが。
今後予想される展開 (スコア:0)
「管理者アカウントで漏洩したので、管理者アカウントを使える人は厳しく制限するように」
「USBメモリで漏洩したので、USBメモリは使用禁止。ポートは全部物理的に塞ぐ」
「派遣社員が漏洩したので、重要な権限は全て自社社員のみに与えるように」
やってるとこは既にやっていると言えばやってるけど。ある程度の必要性は分かりつつも、あんまりガチガチになると辛い。
Re:今後予想される展開 (スコア:1)
それはガチガチとは言わん。やってて当たり前の対応。
ちなUSBポート云々はデータの扱いがいい加減だから全部とかになってしまうのであって、データにアクセス可能な端末と不可能な端末とで扱い変わっていいんやで。
当然その端末へのアクセスもまた制限があるものだけど。
Re: (スコア:0)
個人情報扱う端末で、USBメモリ接続の管理(≠All Deny)すらしてない会社や、できない担当者は滅びて良いよ。
業務上必要にしたって、監査ログ残して確認ぐらいして当たり前だ。
Re: (スコア:0)
「保守担当者はPC使用禁止」
いや、保守対象と無関係な個人情報に無制限にアクセスできるとか、どんなザル運用だよ
Re: (スコア:0)
保守対象が本番システムなら、本番システムの管理者アカウントを持っているのは別におかしくないだろ。
管理者アカウントとあるが、DBの本番アカウントを知ってたとかかもしれない。
1か月だけの派遣とかならともかく、10年プロジェクトに居る人なら、なおさらおかしくない。
コールセンター (スコア:0)
「企業の顔」「最も大切な仕事」とか持ち上げるのにハケンやら外注やらワープアの巣窟になってる時点でおかしい。
扱う情報も機微なんだしきちんと教育した正社員で対応しろと。
だいたい失うものがあまりないワープアって「金になる」個人情報を扱わせるだけでリスクだろと。