パスワードを忘れた? アカウント作成
17421572 story
NTT

NTT西日本子会社から顧客情報900万件が流出 60

ストーリー by nagazou
最悪のケース 部門より
NTT西日本の子会社であるNTTマーケティングアクトProCXは17日、約900万人分の個人情報が外部に漏洩したことを発表した。個人情報は、別の子会社で働いていた元派遣社員によって不正に持ち出され、一部は名簿業者に提供されたという。漏洩容疑について警察が不正競争防止法違反で捜査をしているという(TBS NEWS DIG日経新聞朝日新聞)。

容疑者である元派遣社員は、NTTビジネスソリューションズでコールセンターシステムの運用業務に従事し、2008年から勤務していた。漏洩は2013年7月から2023年1月までの約10年間に渡っているという。容疑者はサーバーへのアクセス権限を悪用して個人情報をUSBメモリーにダウンロードして持ち出したという。漏洩した情報には、顧客の氏名、住所、電話番号などが含まれており、一部にはクレジットカード情報も含まれている。今後、さらに増える可能性もあるという。

東京商工リサーチによれば、上場企業の情報漏洩・紛失事件の中で、規模としては2012年以降で4番目に大きいものだという。

あるAnonymous Coward 曰く、

システムの保守担当の派遣社員が、管理者アカウントでデータをダウンロードして、USBメモリで持ち出して名簿の買い取り業者に売っていたということで、なんというかいろいろと全力でヤバそうな情報漏洩案件である。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 経緯 (スコア:2, 参考になる)

    by Anonymous Coward on 2023年10月18日 12時55分 (#4547869)

    https://www.nttactprocx.com/uploads/extraFile/nttbizsol_20231017.pdf [nttactprocx.com]

    ■2022年4月
    あるクライアントさまから「自社のお客さま情報の流出が生じている可能性がある
    ので、社内調査を実施いただきたい」旨の依頼を受け、BS及びProCXにおいて
    調査を行いましたが、その時点では漏えいに関する事実を把握することができず、
    その旨、当該クライアントさまへご報告していました。
    ■2023年7月13日
    BSに対して、当該クライアントさまに係る情報漏えいの疑いで、警察による
    捜査が実施されたことを契機に、捜査に全面的に協力しながら社内調査等を継続し、
    お客さま情報が不正に持ち出されたクライアントさまの特定を進めてまいりました。

    「あるクライアントさま」が問題化に尽力したんかな。
    実際漏洩の事実の特定って難しい面あるけど。

  • by Anonymous Coward on 2023年10月18日 12時11分 (#4547828)

    900万件も流出してるのに、四天王の中では最弱なのか...
    トップ3ってどんなのだっけ?

    • by Anonymous Coward on 2023年10月18日 13時45分 (#4547905)

      ベネッセ(2014年7月3,504万件)「NTT日本がやられたようだな」
      ヤフー(2013年5月2,200万件)「ククク...奴は情報漏洩四天王の中でも最弱...」
      ソフトバンクPayPay(2020年12月2007万件)「派遣社員ごときに負けるとは情報漏洩の面汚しよ...」

      四天王のうち2つがソフトバンクグループな件

      親コメント
      • by Anonymous Coward

        2つがソフトバンクグループ

        慰謝料1件500円という謎の相場を定着させたり、情報漏洩界のパイオニアってイメージある

    • by Anonymous Coward

      四天王最強のベネッセは今回の4倍ぐらい。

      他はせいぜい1.5倍ぐらいのオーダーだったような?

    • by Anonymous Coward

      去年のデータだけど
      下の方にある
      https://www.tsr-net.co.jp/data/detail/1197322_1527.html [tsr-net.co.jp]

      今年分を含めると3位、4位が入れ替わって
      3位がNTTドコモ(2023/7/21 500万件超)
      4位が今回のNTT西日本
      になるはず

      • by Anonymous Coward

        リンク先を見てもどれの事を指しているのか分からないですが、3位のNTTドコモが500万件超なら、
        今回の900万件よりも少ないので、去年だけのランキングなのでは?

    • by Anonymous Coward

      なんで2012年以降なんだろ。
      2011年以降ならばソニーが最大。
      https://ja.wikipedia.org/wiki/%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E6%... [wikipedia.org]

  • by Anonymous Coward on 2023年10月18日 12時17分 (#4547833)

    名簿買い取りを禁止すればいいのに。

    • by Anonymous Coward on 2023年10月18日 12時33分 (#4547847)

      国がちゃんと住民名簿を公開すれば属性がない名簿は集める必要なくなる。

      親コメント
    • by Anonymous Coward

      「個人情報の売買は人身売買に準じる重罪とする」くらい?

    • by Anonymous Coward

      購入した名簿での営業行為も禁止で
      顧客は自社で集めろ

      • by Anonymous Coward

        購入層一致してる異業種間のコラボが全部禁止になるな

        • by Anonymous Coward

          コラボで名簿直渡しとか現代の常識では既にNGやろ

          • by Anonymous Coward

            直渡しはしてないが他社の名簿を使いたいところは沢山ある。
            例えば楽天ブックスで株の本を買ったら、数ヶ月後に日経ベリタスの勧誘DMが来たみたいな。

            • by Anonymous Coward

              そういうのは楽天が日経のDM送れば購入したことにはならんで
              楽天の責任において行われるので日経に情報は渡らん

              • by Anonymous Coward

                そこは個人データの取扱いの外部委託条項を小さく書いておけば回避できる()

        • by Anonymous Coward

          購入層一致してる異業種間のコラボが全部禁止になるな

          禁止でええやろ

          俺は何かのサービスを買う契約はしたが
          電話番号を別の業者に渡していいとは言っていないし
          その電話番号を使って勝手に営業電話を掛けていいとも言っていないので

          • by Anonymous Coward

            「別の商品のご案内」として契約書に載ってるはずなので一応合意してるはず。

    • by Anonymous Coward

      BIG DATA名目で利用者から吸い上げた情報売りまくっているから線引できないのかも

    • by Anonymous Coward

      利用者からサービスに最低限必要な情報以外を求めることを禁止した方がいい

  • by Anonymous Coward on 2023年10月18日 12時33分 (#4547849)

    よく電話が来るんだけど
    もしかして、関係ある?

  • by Anonymous Coward on 2023年10月18日 12時37分 (#4547852)

    これ被害者に連絡くるの?それはそれで詐欺とかに使われそうだけど。

  • by Anonymous Coward on 2023年10月18日 12時40分 (#4547855)

    流出した人間を擁護してんの?

    • 「流出させた人間」の間違いか?
      それとも流出した名簿に載ってた人名のこと?

      親コメント
    • by Anonymous Coward on 2023年10月18日 13時54分 (#4547912)

      流出した人間を擁護してんの?

      「この度流出した方のお名前は以下の方々です」(違

      # ヤメローーー

      親コメント
    • by Anonymous Coward

      捜査段階で逮捕してないからじゃない?

    • by Anonymous Coward

      人間は流出していませんよ

    • 報道しようにも、実名がわからない。つまり、
       ・警察から発表されていない(逮捕前だから当たり前)
       ・実名を知りうる数次の元請けも、訴訟リスクを考えると発表できない
       ・この2者からの正式発表なり、リークがないと報道は動きようがない
      からでは。

      • by Anonymous Coward

        同意見。
        個人情報ながした奴はコイツだ!って個人情報をながすことになりかねんリスクがあろうし、報道側が調べても関係者が答えないんでしょうね。
        というより、実名入り外見映像でデジタルタトゥーになる恐れがあるのに、”被疑者”段階で実名報道するのがそもそもおかしいと思う。

        • by Anonymous Coward

          世の中、被疑者段階で実名が報道され外見映像が晒されている事例だらけ。
          最近はネット掲載記事は匿名にしつつ紙面記事では実名という報道が増えつつありますが、被疑者の実名を晒すことは続いています。

          不起訴になったら匿名になるわけですが、全く意味ないです。

          • by Anonymous Coward

            不起訴になったことが詳しく調べないとわからなくなるから、この時こそ実名を続けて欲しい。
            逮捕記事しか検索で出てこないじゃないか。

            • by Anonymous Coward

              NHKのニュースで時々流してるよ。
              時間余った穴埋めなのかな?

      • by Anonymous Coward

        報道で発表されていてもリリースでは伏せてるぐらいに、役員とかでもない限り会社側から社員の名前が出ることは過去の様々な事件からしてもほぼ無いな。

  • by Anonymous Coward on 2023年10月18日 13時10分 (#4547877)

    「元派遣社員」という書き方が分かりにくい。
    「NTTマーケティングアクトProCXの社員が流出させた(NTTマーケティングアクトProCXからNTTビジネスソリューションズに派遣されていた)」としている記事もあれば、
    「NTTビジネスソリューションズの派遣社員が流出させた(派遣会社からNTTビジネスソリューションズに派遣されていた)」としている記事もある。
    まあ、後者だと思うが。

  • by Anonymous Coward on 2023年10月18日 13時55分 (#4547913)

    「管理者アカウントで漏洩したので、管理者アカウントを使える人は厳しく制限するように」
    「USBメモリで漏洩したので、USBメモリは使用禁止。ポートは全部物理的に塞ぐ」
    「派遣社員が漏洩したので、重要な権限は全て自社社員のみに与えるように」

    やってるとこは既にやっていると言えばやってるけど。ある程度の必要性は分かりつつも、あんまりガチガチになると辛い。

    • by Anonymous Coward on 2023年10月18日 21時30分 (#4548249)

      それはガチガチとは言わん。やってて当たり前の対応。
      ちなUSBポート云々はデータの扱いがいい加減だから全部とかになってしまうのであって、データにアクセス可能な端末と不可能な端末とで扱い変わっていいんやで。
      当然その端末へのアクセスもまた制限があるものだけど。

      親コメント
    • by Anonymous Coward

      個人情報扱う端末で、USBメモリ接続の管理(≠All Deny)すらしてない会社や、できない担当者は滅びて良いよ。
      業務上必要にしたって、監査ログ残して確認ぐらいして当たり前だ。

    • by Anonymous Coward

      「保守担当者はPC使用禁止」

      いや、保守対象と無関係な個人情報に無制限にアクセスできるとか、どんなザル運用だよ

      • by Anonymous Coward

        保守対象が本番システムなら、本番システムの管理者アカウントを持っているのは別におかしくないだろ。
        管理者アカウントとあるが、DBの本番アカウントを知ってたとかかもしれない。
        1か月だけの派遣とかならともかく、10年プロジェクトに居る人なら、なおさらおかしくない。

  • by Anonymous Coward on 2023年10月19日 10時38分 (#4548462)

    「企業の顔」「最も大切な仕事」とか持ち上げるのにハケンやら外注やらワープアの巣窟になってる時点でおかしい。
    扱う情報も機微なんだしきちんと教育した正社員で対応しろと。

    だいたい失うものがあまりないワープアって「金になる」個人情報を扱わせるだけでリスクだろと。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...