2023年10月17日にNTT西日本の子会社から約900万件の個人情報の不正流出が発表されました。
報道発表資料に添付された資料を読んで「あーあ、やっぱりやっちゃったのね」というのが正直な感想です。
特に注目したのが次の2点です。
1.保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていた。
2.2022年4⽉、あるクライアントから「⾃社のお客さま情報の流出が⽣じている可能性があるので、社内調査を実施いただきたい」旨の依頼を受け、2社で調査したが、その時点では漏えいに関する事実を把握することができなかった。
では、なぜ注目したのかについて説明しましょう。
「1」については、2014年6月27日に発生した某教育事業者による個人情報漏えい事故の教訓が生かされていなかった、要は外部記録媒体かスマートフォンかの違いはあるものの、データの持ち出しの可能性を予見し、必要な対策をしていなかった、ということです。
あの事故発生以降、勤務していた独立系情報サービス会社はもとより、業界を問わず各社が対策に追われました。
にも関わらず、対策をしていなかったなんて、、、
「世間の動きから約10年遅れています。」
思わず「電電公社の常識は世間の非常識」と揶揄されていた頃を思い出してしまいました。
「2」については、調査を担当したチームの責任者とメンバーに関するスキルがどうであったのか、徹底した捜査・調査が必要であろうという点です。
かつて、NTT西日本が東西分割で生まれた時、情報セキュリティ関連の内部統制は通信研究所でBS7799(後のISMS、ISO27000)を研究していた某氏を部長待遇で迎えることでスタートしました。
実際の社内監査は、東西分割前のNTTで検討された社内システムをオープンシステム化する際のフロントエンドプロセッサ(実際にはサーバ)の設置に関する考え方を無視し自身の研究結果を押し通そうとする、特定の社員を個人攻撃するような監査報告書を作成するといったような、到底、監査実務に精通しているとは言えないようなレベルでした。
それから約20年、今回の当事者となった子会社も含めて、どのような経緯を経れば、漏えいに関する事実を把握することができないような、業界他社では到底考えられないレベルに陥ってしまったのでしょう?
既に捜査に着手しているといわれる岡山県警の捜査結果、個人情報保護委員会の調査結果が待たれます。
もっとも、個人情報の不正流出の原因は2社だけの責任ではありません。
報道発表資料に記載されていた59の組織による委託元としての「委託先の監督(要は委託先の選定責任・監督責任)」、中でも監督責任が問われます。
このあたりも徹底した捜査・調査の結果が待たれます。