NTT西子会社で個人情報漏えい −事故の本質 その2−

2024年2月29日に西日本電信電話株式会社、株式会社NTTマーケティングアクトProCX、NTTビジネスソリューションズ株式会社の連名で「お客さま情報の不正持ち出しを踏まえたNTT西日本グループの情報セキュリティ強化に向けた取組みについて」が発表されました。

今を遡ること約四半世紀、1997年に実施されたNTT本社における内部監査(NTT西日本本社の前身である当時の関西支社も監査対象)に監査メンバーの一人として参加した際の内容と今回発表された「調査報告書」の内容で気になった点を比較してみたいと思います。

1.派遣社員に対するマネジメント
1997年の監査時点で既に派遣社員に対するマネジメントの不備が想定されていたため、監査対象組織でどのようなマネジメントが行われているか注目して監査しています。
その結果、派遣社員だけで特定の部屋で作業してもらっているという状況(NTT社員は不在)が複数確認されたため、派遣社員による悪意の防止に対する対策が不十分としてマネジメントの不備を指摘しています。
今回の調査報告書でも情報を持ち出した派遣社員に対して頼り切っていた実態が明確になっており、マネジメントの不備が発生しています。

2.サーバ管理者のアカウント管理・運用
1997年の監査時点でサーバ管理者のアカウント管理・運用についても注目して監査しています。
当時のシステムではサーバ管理者に対して個別のアカウントを設定することが困難な状況がありましたので、他の方法を監査で助言しています。
また、サーバのアカウント運用状況に不備がないか定期的に確認しているかについても、若干の意識不足が見受けられたため、監査で助言しています。
今回の調査報告書でもサーバ管理者のアカウント管理・運用について不備が報告されています。

3.内部監査への対応
1997年の監査で当時の関西支社では特徴的な監査対応が見受けられました。厳しい言い方をすれば「監査妨害」です。
監査経験のある方ならすぐにおわかりいただけると思いますが、ヒアリングしていて「なんかおかしいな?」「これはどうなんだろう?」と思われる内容について証拠となる資料の提示、コピーの提出を求めることがあります。この求めをことごとく拒否していたのです。
今回の調査報告書でも内部監査における問題点が報告されています。

以前の投稿でも紹介したとおり、NTT西日本がNTT本社の内部監査で得られたノウハウを引き継いでいなかった、というか引き継ごうとしなかった、自分たちだけでできるんだといった考えの「ツケ」が今になって回ってきたのかもしれません。