月刊コールセンタージャパン

NTTマーケティングアクトProCX、情報漏洩の経緯と再発防止などを公表

NTTマーケティングアクトProCX（大阪市、室林明子社長）は、同社のコールセンターシステムの運用保守業務を担っているNTTビジネスソリューションズにおいて顧客情報の持ち出し、流出が発生していたことを発表した。

ことの顛末はすでに一般紙やテレビなどで報じられているが、59社、約900万件（2023年10月17日現在）の顧客情報を、NTTビジネスソリューションズに派遣されていた派遣社員（すでに派遣会社から退職）がシステム管理者アカウントの悪用、2013年夏頃から2023年１月までの間、不正持ち出しを継続していた。持ち出されたデータは名簿の買い取り業者に渡ったと推察される。

NTTマーケティングアクトProCXおよびNTTビジネスソリューションズは、10月17日に記者会見を開き、室林社長が謝罪。持ち出しの経路や手段について説明した（画像、クリックで拡大）。

原因については、（１）保守作業端末にダウンロードが可能となっていた、（２）保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能だった、（３）セキュリティリスクが大きいと想定される振る舞いをタイムリーに検知できていなかった、（４）各種ログ等の定期的なチェックが十分ではなかった――としている（画像、クリックで拡大）。

それぞれに対する対処策は画像の通り。とくに致命的と考えられた（１）（２）については、以下の対応を徹底する。
（１）新設した中継サーバーにダウンロードし、端末からリモートデスクトップ接続を行うことで端末へのダウンロードを不要とする（技術的に保守作業端末へのダウンロードを不可とする、画像左、クリックで拡大）
（２）保守作業端末への外部記録媒体への接続を技術的に不可化。データの持ち出しが必要な業務の場合、複数管理者の相互チェックを経ない限り、持ち出しできないシステム的措置を実施（画像右、クリックで拡大）。

すでに、NTTグループ以外にもWOWOW、ソニーネットワークコミュニケーションズ、山田養蜂場などが漏洩の事実を公表。とくに山田養蜂場は「約400万件の漏洩と報告されているが、詳細を確認中」とサイトで公開、現段階では最多の漏洩件数となっている。

BPOベンダーの情報セキュリティ対策は、同社のみならず、センターの運営現場で勤務しているスタッフやシステムに関しては、さまざまなセキュリティが施されている。今回は、現場とは離れた、システムの委託先で起こった漏洩だった。現在、BPOベンダーに業務委託している（NTTマーケティングアクトProCXではない）企業の執行役員は、今回の事案発生を受けて、「BPO事業者のセンターのみならず、その会社がどのように外部業者選定を行い、どのように情報が適切に管理できているのかの確認・評価を継続的に行う運用が出来るかが重要」とコメント。いわば直接の委託先だけでなく、「その先」の協業企業の確認と評価が今後のベンダーマネジメントに追加される要素となりそうだ。