コールセンターの個人情報約900万件が不正に持ち出される、NTT西日本子会社が情報を公開

　株式会社NTTマーケティングアクトProCXとNTTビジネスソリューションは10月17日、株式会社NTTマーケティングアクトProCXが利用するコールセンタシステムを提供しているNTTビジネスソリューションズの運用保守業務従事者が管理者アカウントを悪用し、顧客情報を不正に持ち出し、第三者に流出させていたことを明らかにした。不正に持ち出された個人情報は約900万件にのぼるとしている。

　両社はNTT西日本グループの企業。発表時点で明らかになっている持ち出された個人情報は、NTTマーケティングアクトProCXへテレマーケティング業務を委託していた59クライアントの、約900万件の顧客の情報。内容は氏名・住所・電話番号などクライアントから預かった項目で、2クライアント81件では、クレジットカード情報が含まれていることを確認しているという。

　同社は、2022年4月にクライアントから「個人情報の流出が生じている可能性があるため調査してほしい」という依頼を受け調査を行ったが、その時点では漏洩を確認できなかったという。

　その後、2023年7月13日にNTTビジネスソリューションズに対し、情報漏えいの疑いで警察による捜査が実施されたことを契機に、NTTマーケティングアクトProCXも社内調査を実施し、個人情報が不正に持ち出されたクライアントの特定を進めた。その結果9月28日、10月9日に、不正に持ち出されたクライアントを順次特定した。

　主な原因として、保守作業端末にダウンロードできたこと、保守作業端末に外部記録媒体を接続し、データを持ち出せたこと、セキュリティリスクが大きいと想定される振る舞いをタイムリーには検知できなかったこと、各種ログ等の定期的なチェックが十分でなかったこと、の4点を挙げている。不正に持ち出された情報のファイルの更新日時から、2013年7月ごろから不正持ち出しが行われていたと想定しているという。

発表資料より、不正持ち出しの経路や手段の概要

　NTTマーケティングアクトProCXとNTTビジネスソリューションズでは、今後、クライアントの考えを聞きながら、情報を流出された個人の特定に向けた対応を進めていき、同時に問い合わせ窓口を開設するとしている。また、流出に関して新たな情報が判明した場合には、随時公開するとしている。

　また、クライアントの不安解消に向けた取り組みとして、システム面および運用管理面での不正抑止や全業務の再点検、従業員の教育の充実などを図っていくとしている。