目次

  1. 元派遣社員から個人情報928万件のデータ流出
  2. 個人情報の流出が発覚した経緯
    1. 2013年 個人情報の流出開始か
    2. 2022年4⽉ 漏洩の事実を把握できず
    3. 2023年7⽉13⽇ 警察が捜査
    4. 2023年9⽉28⽇・10⽉9⽇ 被害クライアントを特定
  3. 個人情報の不正持ち出しの経路
  4. 個人情報保護委員会、個人情報の売却先に立入検査
  5. 個人情報流出の可能性を公表した企業・自治体
    1. 山田養蜂場からは約400万件
    2. NTT西日本からは120万件
    3. 森永乳業からは約34万件
    4. フォーマルクラインからは約19万件
    5. ソニーネットワークコミュニケーションズからは約14万件
    6. TOKAIコミュニケーションズ、件数非公表
    7. NTTドコモからは7.2万件
    8. 日本学生支援機構からは約5万件
    9. WOWOWからは約4万件
    10. MXモバイリングからは1.2万件
    11. 21自治体・団体でも個人情報の流出を公表
  6. NTT西社長が引責辞任 

 NTT西の子会社2社のプレスリリースによると、CX社が利⽤するコールセンターシステムの運⽤保守業務を担うBS社で、システムの運⽤保守業務を担う元派遣社員が顧客情報を不正に持ち出し、第三者に流出させていたことがわかりました。

 個人情報の流出被害にあったのは、テレマーケティング業務を委託していた自治体や企業など少なくとも59社・団体、流出した個人情報は約900万件に上り、氏名、住所、電話番号のほか、一部はクレジットカード情報が含まれていました。

 その後、警察機関への捜査協力も含め、更なる社内調査・分析を実施した結果、12月19日時点で、69社・団体から928万件流出していることがわかりました。

 個人情報の流出が発覚した経緯は以下の通りです。

 顧客情報のファイル更新⽇時情報から、個人情報の流出は2013年ごろから始まっていた可能性があるといいます。

 あるクライアントから「⾃社の顧客情報が流出している可能性があるので、社内調査をしてほしい」という依頼を受け、BS社とCX社で調査しましたが、この時点では漏洩に関する事実を把握することができなかったといいます。

 警察がBS社に対して、不正競争防止法違反の容疑で捜索。これをきっかけに、顧客情報が不正に持ち出されたクライアントの特定を進めていたといいます。

 個人情報が不正に持ち出されたクライアントを順次特定し、情報連絡、事前対応を進めて10月17日に公表しました。

 BS社によると、システム管理者アカウントを悪⽤し、個人情報が保管されているサーバにアクセスして、業務で使⽤していた端末などから、複数のクライアント企業の個人情報をUSBメモリを使って不正に持ち出していた可能性があるといいます。情報セキュリティとして次のような問題点があったといいます。

  1. 保守作業端末にダウンロードが可能になっていた
  2. 保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていた
  3. セキュリティリスクが⼤きいと想定される振る舞いをタイムリーに検知できていなかった
  4. 各種ログ等の定期的なチェックが⼗分でなかった

 個人情報保護委員会は2024年9月11日、「株式会社NTTマーケティングアクトProCX等における不正持ち出し事案に対する個人情報の保護に関する法律に基づく行政上の対応について」を公表しました。

 それによると、岡山県警や岡山地方裁判所津山支部での公判の内容などから持ち出した個人データが中央ビジネスサービスとネクストステージに売却されたことが明らかとなったため、個人情報保護委員会は、6月19日に中央ビジネスサービス、20日にネクストステージに対し、立入検査を実施。

 いずれもは既に消去済みである旨を説明し、両社の個人情報データベースなどから今回のデータの残存を確認することはできなかったといいます。

 NTT西の子会社経由で個人情報流出の可能性について公表した企業・自治体は以下の通りです。

 山田養蜂場の公式サイトによると、2016年2月~2023年1月に個人情報約400万件が流出した可能性があるといい、氏名、住所、電話番号、生年月日、性別の情報が含まれていたといいます。ただし、クレジットカードやマイナンバーなどの、直ちに経済的被害につながる情報流出はないと説明しています。 

 NTT西日本のプレスリリースによると、2014年4月~2022年3月に新サービスやオプションサービスをご案内するテレマ業務で利用された個人情報約120万件が流出した可能性があるといい、氏名、住所、電話番号、生年月日の一部などが含まれていますが、クレジットカード情報や金融機関口座情報などの決済関連情報、各種パスワードは含まれていなかったといいます。

 森永乳業の公式サイトによると、2016年3月9日までに牛乳宅配サービスのテレマーケティング業務で活用した約34万件の利用者情報が流出した可能性があるといいます。氏名や住所、電話番号が含まれており、クレジットカードなど決済関連の情報は含まれていないといいます。

 フォーマルクラインの公式サイトによると、テレビ通販番組やテレビCMから2022年8月以前に商品を購入した約19万件の個人情報が流出した可能性があるといい、会員ID、漢字氏名、カナ氏名、電話番号(携帯含む)、郵便番号、住所、性別、年齢、誕生日などが含まれていますが、クレジットカード情報や代金引換などの決済方法に関する情報は含まれていないといいます。

 ソニーネットワークコミュニケーションズの公式サイトによると、2016年5月までにSo-net光に申し込んだ人のうち、約14万件が流出した可能性があるといい、氏名、住所、電話番号、メールアドレス、生年月日、性別などが含まれていますが、クレジットカード情報及び金融機関口座情報などの決済関連情報は含まれていないといいます。

 TOKAIコミュニケーションズが公表した資料によると、2015年3月~2016年6月にTNCインターネット接続サービス「フレッツ光対応サービス」を利用者の一部の個人情報が流出した可能性があるといい、氏名、住所、電話番号、性別、生年月日などが含まれていますが、クレジットカード情報や金融機関口座情報などは含まれていないといいます。

 NTTドコモのプレスリリースによると、以下の3つの業務で個人情報の流出があったとみられます。

  1. アウトバウンドテレマ業務(2015年4月~2015年6月)…約1.5万件
  2. スマホ・光乗り換えサポート事務局業務(2018年3月~2020年8月)…約5.2万件
  3. ひかりTVチューナー設置勧奨業務(2019年12月~2020年1月)…約0.5万件

 それぞれ氏名、住所、電話番号などが流出しましたが、クレジットカード情報および金融機関口座情報などの決済関連情報、各種パスワードは含まれていないといいます。

 日本学生支援機構の公式サイトによると、2018年3月19日以前に奨学金相談センターに問い合わせをした方の個人情報(氏名、電話番号、郵便番号、住所、生年月日)のうち、約5万件が流出した可能性があるといいます。

 WOWOWの公式サイトによると、2016年3月16日~2017年6月19日に「WOWOW15日間無料体験」に申し込んだ約4万件が流出した可能性があるといい、氏名、氏名カナ、電話番号、郵便番号、住所、生年月日、性別などが含まれていましたが、クレジットカード情報および金融機関口座情報などの決済情報や各種パスワードは含まれていないといいます。

 MXモバイリングの公表資料によると、2015年12月7日~2016年10月18日の「Marubeniひかりサービスの注文申込受付業務」に使用された個人情報1.2万件が流出した可能性があるといい、契約者名カナ、契約者名、設置場所郵便番号、設置場所住所などが含まれていましたが、クレジットカード情報及び金融機関口座情報などの決済関連情報、各種パスワードは含まれていなかったといいます。

 このほか、少なくとも21自治体・団体が個人情報の流出を公表しています。

 NTT西のずさんな情報管理体制に対し、総務省は2024年2月9日に電気通信事業法とNTT法に基づき、NTT西を行政指導しました。

 これを受けて、NTT西の森林正彰社長は2024年3月末に引責辞任することを明らかにしました。NTT西の公式サイトでは、外部専門家を交えた社内調査委員会の報告書を公表しました。

 それによると、システム緊急総点検の結果、会社許可以外の記録媒体・端末の接続が可能になっていた、個人の特定・ログ点検が出来ていなかったなど、複数のシステムで不備が発覚しました。不備が見られた項目に対し、約6割のシステムは12月末、残る4割のシステムは2月中旬に暫定対処を完了したといいます。