こちらは印刷用ページです。印刷する戻る
ストラテジーオペレーションIT

NTTマーケティングアクトProCXが挑む「万全な情報セキュリティ」への強化

流出事案を踏まえ信頼回復に挑む

 コンタクトセンターが保有する最大の「資産」――それはやり取り(顧客の声:VOC)を含めた顧客情報だ。利用価値が高いがゆえに、その扱いは極めて慎重になるべきで、とくにコンタクトセンターを受託するBPOベンダーにとっては、その死守は至上命題となる。
 しかし、情報漏洩事件はたびたび、発生している。2023年10月、NTTマーケティングアクトProCXで発覚した個人情報漏洩事案では、委託元69団体、928万件の顧客情報が流出。委託先における、 たった1人の派遣社員の悪意に基づく行動が、業界全体を揺るがす事案に発展した。

「内部流出」にフォーカス
ジョブ/案件ごとのリスクを排除

 同社はその後、事案の全貌を把握するとともに、漏洩した(可能性含む)消費者に対する特設コンタクトセンターを開設(2025年10月現在も稼働中)。そしてNTT西日本グループ全体の総力を挙げて、情報セキュリティ対策を実施した。その対策の基本方針は、大きく、(1)「情報の出口」の集約、(2)個人情報保護委員会から指摘された「委託業務上の完全管理義務」を果たす強化(個人情報にアクセスできる特権アカウントに対するアクセス認証強化や作業利敵の管理など)、(3)従業員の「ふるまい検知」の強化――の3点だ(図1)。
 
 CXソリューション部 統括担当部長(バリュープロバイド&マネジメント担当 兼 情報システム担当)の新開清史氏は、「事案は外部からの攻撃ではなく、内部の人材による不正による流出だったため、その対処からスタートしました」と説明する。まず、実施したのが、全社一斉のセキュリティ点検だ。
 その過程で、新開氏をはじめとした担当者は、「各拠点、各ジョブ(案件)ごとに、クライアント様との契約に基づく仕様のセキュリティを構築している」ことを改めて確認。これは、おそらくBPOベンダーなら当たり前のシステム仕様だが、同社では「言い換えれば、ジョブの数だけ、流出リスクがある」(新開氏)という結論に達し、その対策を実施した。
 そのビフォー・アフターを図式化したのが図1の図解部分だ。「情報の出口を集約・限定する閉域網を構築し、想定リスクに対して集中的対策を取る」(新開氏)という手法で、事案で大きな原因のひとつとなったUSBメモリの利用撤廃をはじめ、すべての端末を一極集中で管理できる体制を整えた。

図1:個人情報流出防止の基本的考え方
図1:個人情報流出防止の基本的考え方(クリックして拡大可能)

牽制・監視機能を強化した
「3つの専門組織」

 (2)の委託業務上の安全管理義務については、個人情報保護法の根本的な解釈からはじまっている。同法の第23条では「安全管理措置の義務」、第24条、25条では「従業者・委託先の監督」が定められている。同社は、個人情報取扱い事業者であることはもちろん、受委託双方の立場になるため、「会社として最もリスクを低減できる可能性が高いガバナンス体制を選択する」(新開氏)方針で対策を進めた。その取り組みのコアとなったのが、「3ラインモデル」と呼ばれる組織体制の構築だ(図2)。

図2:組織的安全管理体制(クリックして拡大可能)
図2:組織的安全管理体制(クリックして拡大可能)


 
 3つの独立した組織で、情報セキュリティに関するディフェンスラインを構築。とくに牽制・監視機能は大幅に強化されている。システムへの投資は、当然ながら相当、大きなものになった。さまざまなセキュリティ対策ソリューションを導入、「業界最高水準の安全措置管理」(新開氏)と自負するレベルまで達している。

大きく踏み込んだ「個人」の行動監視
異常行動を検知する最新AIの威力

 そして「内部流出対策」としては、大きく踏み込んだ取り組みといえるのが「ふるまい検知」の強化だ。
 グローバルでさまざまな企業が採用している情報セキュリティ対策ソリューションベンダーである、Exabeamが提供する「UEBA」を採用。これは、「ネットワーク監視やインシデント検知を目的とした仕組みであるSIEMのなかでも、従業員単位の行動分析を行い、不正な行動やリスクを早期に検知する仕組み」(新開氏)だ。
 その概要を図3に示す。従業員単位の「通常時の振る舞い」を機械学習し、内部不正や情報流出が起きる際の予兆となる異常行動を検知する。例えば、会社に対して不満を感じた従業員の行動(転職サイトの検索やアクセスなど)を感知した場合、その従業員が「通常と異なる行動」をしていないかを検知。その段階でマネジメントは、ヒアリングするなどの不正を予防する行動ができる。

「振る舞い検知」の概要(クリックして拡大可能)
「振る舞い検知」の概要(クリックして拡大可能)


 
 この行動検知は、同社のネットワークにアクセスする従業員はマネジメントに至るまですべてが対象となる。コンタクトセンターにありがちな複雑なシフト管理にも対応しており、流出事案のような「個人のモラルや過ち」に関してはかなり大きな効果を発揮しそうだ。

コンタクトセンター起因の流出事案に備える
専門家からも高い評価

 企業の情報漏洩事案は、さまざま原因や背景がある。外部からの攻撃によるケースもかなり多い。しかし、コンタクトセンターにおける流出事案は、そのほとんどが「個人のモラルに反した行為」、あるいは担当者のミスなど、内部の人材が起因となっているのは否定しようのない事実だ。
 同社をはじめ、NTT西日本グループは当然、外部からの攻撃に対する備えも強化している。同時に、今回の事案を踏まえ、個々人のモラルに反する行動や行為への対策を考えうる最上級のレベルまで実施したといえる。
 起こしてしまった事案は、確かにコンタクトセンター運営のプロ――BPOベンダーとして許されるものではなく、「脇が甘い」という指摘もやむを得ないものだった。しかし、以降の取り組みについては、ユーザーアンケートの結果も、セキュリティ専門家の評価もかなり高い。
 同社では現在、外れてしまっているプライバシーマーク認証の取得に向けた対応を進めており、「安心・安全対策」の強化を徹底訴求する方針だ。