NTTマーケティングアクトProCX(大阪市、室林明子社長)は、同社のコールセンターシステムの運用保守業務を担っているNTTビジネスソリューションズにおいて顧客情報の持ち出し、流出が発生していたことを発表した。
ことの顛末はすでに一般紙やテレビなどで報じられているが、59社、約900万件(2023年10月17日現在)の顧客情報を、NTTビジネスソリューションズに派遣されていた派遣社員(すでに派遣会社から退職)がシステム管理者アカウントの悪用、2013年夏頃から2023年1月までの間、不正持ち出しを継続していた。持ち出されたデータは名簿の買い取り業者に渡ったと推察される。
NTTマーケティングアクトProCXおよびNTTビジネスソリューションズは、10月17日に記者会見を開き、室林社長が謝罪。持ち出しの経路や手段について説明した(画像、クリックで拡大)。
原因については、(1)保守作業端末にダウンロードが可能となっていた、(2)保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能だった、(3)セキュリティリスクが大きいと想定される振る舞いをタイムリーに検知できていなかった、(4)各種ログ等の定期的なチェックが十分ではなかった――としている(画像、クリックで拡大)。
それぞれに対する対処策は画像の通り。とくに致命的と考えられた(1)(2)については、以下の対応を徹底する。
(1)新設した中継サーバーにダウンロードし、端末からリモートデスクトップ接続を行うことで端末へのダウンロードを不要とする(技術的に保守作業端末へのダウンロードを不可とする、画像左、クリックで拡大)
(2)保守作業端末への外部記録媒体への接続を技術的に不可化。データの持ち出しが必要な業務の場合、複数管理者の相互チェックを経ない限り、持ち出しできないシステム的措置を実施(画像右、クリックで拡大)。
すでに、NTTグループ以外にもWOWOW、ソニーネットワークコミュニケーションズ、山田養蜂場などが漏洩の事実を公表。とくに山田養蜂場は「約400万件の漏洩と報告されているが、詳細を確認中」とサイトで公開、現段階では最多の漏洩件数となっている。
BPOベンダーの情報セキュリティ対策は、同社のみならず、センターの運営現場で勤務しているスタッフやシステムに関しては、さまざまなセキュリティが施されている。今回は、現場とは離れた、システムの委託先で起こった漏洩だった。現在、BPOベンダーに業務委託している(NTTマーケティングアクトProCXではない)企業の執行役員は、今回の事案発生を受けて、「BPO事業者のセンターのみならず、その会社がどのように外部業者選定を行い、どのように情報が適切に管理できているのかの確認・評価を継続的に行う運用が出来るかが重要」とコメント。いわば直接の委託先だけでなく、「その先」の協業企業の確認と評価が今後のベンダーマネジメントに追加される要素となりそうだ。
2024年01月31日 18時11分 公開
2023年10月23日 11時21分 更新
新規登録
ログイン
