NTT西日本の子会社である「NTTマーケティングアクトProCX(CX社)」が利用するコールセンターシステムの運⽤保守業務を担うNTTビジネスソリューションズ(BS社)の元派遣社員が約928万件の個人情報を不正に流出させた問題で、個人情報保護委員会は、元派遣社員から個人情報を入手した名簿業者の一つ、「中央ビジネスサービス」に立入検査を実施した後、刑事告発したことがわかりました。個人情報保護委員会が個人情報保護法にもとづき報告を求めた際に、中央ビジネスサービスが虚偽の報告をしたためだといいます。
CX社が利⽤するコールセンターシステムの運⽤保守業務を担うBS社で、システムの運⽤保守業務を担う元派遣社員が顧客情報を不正に持ち出し、第三者に流出させていたことがわかり、2023年10月17日に公表しました。
個人情報の流出被害にあったのは、テレマーケティング業務を委託していた自治体や企業など少なくとも59社・団体、流出した個人情報は約900万件に上り、氏名、住所、電話番号のほか、一部はクレジットカード情報が含まれていました。その後、警察機関への捜査協力も含め、更なる社内調査・分析を実施した結果、12月19日時点で、69社・団体から928万件流出していることがわかりました。
元派遣社員は2024年7月に、不正競争防止法違反の罪で執行猶予付きの有罪判決が出ています。
個人情報保護委員会の公式サイトによると、2024年9月11日に「NTTマーケティングアクトProCX等における不正持ち出し事案に対する個人情報の保護に関する法律に基づく行政上の対応について」を公表。
それによると、元派遣社員が持ち出した個人データが「中央ビジネスサービス」と「ネクストステージ」に売却されたことが明らかとなったとしたうえで、個人情報保護委員会は、6月19日に中央ビジネスサービス、20日にネクストステージに対し、個人情報保護法にもとづいて立ち入り検査を実施していたといいます。
立ち入り検査の結果、元派遣社員から個人データを取得していた事実を確認。両社に対し、入手した個人データの削除を求めたところ、消去済みだと説明したといい、委員会が両社の個人情報データベース等を確認したところ、該当するデータは確認できなかったといいます。
個人情報保護委員会によると、中央ビジネスサービスは、2016年から2023年1月までの間、元派遣社員から個人情報のデータを1回あたり平均10万件、合計で約650万人分を入手していましたが、初回取得時のみ、口頭で「盗品ではない」旨を確認したにとどまり、それ以上にXが個人データを取得した経緯等を確認したことはなかったといいます。
中央ビジネスサービスは、2022年3月31日までの間、元派遣社員から取得した個人データを第三者に提供していました。
中央ビジネスサービスは、2023年1月20日、元派遣社員から取得した個人データ等を保存していたパソコンを岡山県警察に押収され、その後、個人データ等を削除した上で、中央ビジネスにパソコンが還付されたといいます。
このパソコンのほかに、元派遣社員から入手した個人データ等のバックアップを保管していましたが、中央ビジネスサービスは「バックアップのうち、元派遣社員から購入した個人データについては全て削除した」と説明しており、立ち入り検査時に、該当データを発見できなかったといいます。
個人情報保護委員会は、元派遣社員から個人情報データを入手する際、中央ビジネスサービスが第三者提供についての本人同意を得ることなく個人データの提供をしようとしていることは当然に想定することができ、容易に知ることができたのに個人情報を取得していた点が個人情報保護法違反にあたるなどと指摘しています。
また、個人情報保護委員会が実施した調査のなかで「第三者から個人データの提供を受けた件数」はゼロと報告していましたが、実際は元派遣社員から大量の個人情報データを入手していたことから「虚偽の報告」と認定。こうした経緯から、個人情報保護法違反があったとして警察当局に刑事告発したことが複数の関係者への取材でわかりました。
また、ネクストステージについても、元派遣社員から個人データを取得するにあたり、職業や個人データの取得の経緯、第三者提供についての本人同意の有無などを一切確認しておらず、「元派遣社員がネクストステージに提供する個人情報は、不正に取得したものではないこと、また、個人情報保護法に従い適正に入手したものである」という定型文をメールで送信させるのみで、1回あたり少なくとも数万件という大量の個人データを取得していたといいます。
個人情報保護委員会は、元派遣社員から個人情報データを入手する際、ネクストステージも第三者提供についての本人同意を得ることなく個人データの提供をしようとしていることは当然に想定することができ、容易に知ることができたのに個人情報を取得していた点が個人情報保護法違反にあたるなどと指摘しています。
こうした法律違反が認められたため、個人情報保護委員会は今後、中央ビジネスサービスも含めて、個人情報保護法にもとづく指導と報告等の求めを実施し、今後1年間、3ヵ月ごとに、個人データの第三者提供を受けた状況と個人データの第三者提供をした状況を報告させて法遵守状況を注視していく予定です。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。
