ピンボールマシン カオスホース

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

NTTビジネスソリューションズ元派遣社員による顧客情報の不正な持ち出しについてまとめてみた

2023年10月17日、NTTビジネスソリューションズは同社の元派遣社員が顧客情報の不正な持ち出しを行っていたと公表しました。持ち出された顧客情報はコールセンターのシステムに保存されていたもので、元派遣社員は2013年より不正な行為を及んでいたとみられています。ここでは関連する情報をまとめます。

10年近く前から顧客情報を不正に持ち出し

  • 不正な行為を行っていたのはNTTビジネスソリューションズに2008年6月より派遣されていた元派遣社員(公表時点で派遣会社から退職済)で、コールセンターシステムの運用保守管理を担当していた。
  • NTTビジネスソリューションズはNTTマーケティングアクトProCXが利用していたコールセンターシステムのシステム運用を行っており、元派遣社員によって不正に持ち出されていた情報はで使用する顧客データの一部。不正に持ち出されていたファイル更新日付より2013年7月から2023年1月まで不正な行為に及んでいたと2社はみている。
  • 2022年1月以降、山田養蜂場は自社の顧客4人から「他社から勧誘の電話がかかってくる」と問い合わせが相次いだ。*1 *2 そのため山田養蜂場はNTTマーケティングアクトProCXへ自社の顧客情報が流出している可能性があるとの連絡を行った。2社は社内調査を実施するも流出の事実を確認することが出来なかったため、山田養蜂場に対して「流出の可能性はない」と回答を行っていた。*3山田養蜂場は同時期に岡山県警にも被害相談を行っており、その後のNTTビジネスソリューションズに対して不正競争防止法違反容疑による警察の捜索が実施され、元派遣社員が使用していたPCが押収されたことを発端として社内調査を継続し流出事実の把握に至った。*4 警察による捜査は公表時点でも進められている。
  • 元派遣社員への聞き取り調査の結果より、不正に持ち出された情報の一部は外部の名簿業者に渡っていた可能性がある。*5 2社は元派遣社員が金銭授受などを行っていたかは把握していないが、捜査を通じて名簿業者から対価とみられる1,000万円を超える金銭授受の疑いがあることが明らかになった。((

,NHK,2023年11月7日)) *6 福岡県では消費者生活センターに身に覚えのない投資などの勧誘電話が頻繁に来るようになったとの相談があったと報じられている。*7

元派遣社員による不正持ち出し事案の概要
元派遣社員が持ち出した情報
  • 公表時点で把握されている不正に持ち出された情報の概要は次の通り。流出した情報のうち、約1割は顧客組織の特定に至っておらず、今後影響を受けた顧客組織の数が増える可能性がある。*8
対象件数 約900万件の情報
影響を受けた顧客組織 59組織(10/17公表時点)
持ち出された情報 氏名、住所、電話番号など
顧客2組織より受領していた81件の情報にはクレジットカード情報も含まれていた。
USBメモリにコピーし持ち出しか
  • 顧客データはNTTビジネスソリューションズのデータセンター内のコールセンターシステム上に保管されていた。元派遣社員は自身の所有していた管理者用のアカウントを悪用し保守用ネットワークを通じて保管していたサーバーに接続し運用保守用の端末にコピーを行っていたと2社はみている。
  • 業務用端末はサーバーからデータの持ち出しが可能になっていた他、外部記録媒体を接続し端末内のデータを持ち出すことも可能となっており、元派遣社員はUSBメモリを用いてデータを持ち出ししていたとみられる。2社は端末の問題のほか、リスクベースで検知する仕組みを導入していなかったことやログなどの定期的な確認を十分に行っていなかったことも不正行為を許した主な原因として挙げている。
  • NTTはグループ全体でUSBメモリを業務に使用しないとする再発防止策をとること、全グループ企業を対象に記録媒体の持ち込み禁止が徹底されているか緊急調査を進めていることを明らかにしている。*9
  • 元派遣社員の不正行為が可能となったこれら原因に対して、次の緊急的な対処策を講じたと2社は説明している。
主な原因 2社の対処策
保守作業端末で顧客データのダウンロードが可能 中継サーバーを介してコールセンターシステムへの接続する方式とし、保守端末からはRDP接続し端末へのダウンロードを不要とする運用に変更。加えて端末は技術的にダウンロード不可とした。
保守作業端末で外部記録媒体を用いた持ち出しが可能 端末への外部記録媒体を接続不可とした。持ち出し要の業務の場合は複数の管理者の承認を必要とする運用に変更した。
セキュリティリスク大の振る舞いを検知できず リスクベースの検知を行い管理者に通知する措置を導入した。
ログ等の定期的確認が不十分 定期的なログ確認の徹底と第三者による抜き打ちチェックを導入した。

影響を受けた顧客組織

  • 不正持ち出しにより情報流出の可能性があるとして公表を行っている顧客組織(報道のみを含む*10 *11 *12 *13)は以下の通り。
影響を受けた顧客組織 流出可能性の件数 流出可能性のある情報 外部流出の有無 発覚の経緯
約400万件 氏名、住所、電話番号、生年月日、性別
(テレマーケティング業務 2016年2月~2023年1月委託)
流出可能性あり 8月に報告受領し判明
約120万件 氏名、住所、電話番号、生年月日(一部)等 流出あり
対象顧客の特定作業中
記載無し
約46万件 氏名、住所、電話番号、生年月日、年齢、郵便番号、顧客番号、商品購入履歴等
(コールセンター業務 2011年6月~2018年12月委託)
記載なし 記載なし
約34万件 氏名、住所、電話番号、郵便番号等
(牛乳宅配サービスのテレマーケティング業務委託)
記載なし 10月16日報告受領し判明
() 約23万件(重複含む) 氏名、住所、出羽番号、代表者名、軽やプラン、通信会社名、プロバイダ名等
(media ひかりコールセンターの運営に伴う業務委託)
記載なし 記載なし
() 約6.9万件

内訳:
アウトバウンドテレマ業務 約1.5万件
スマホ・光乗り換えサポート事務局業務 約4.9万件
ひかりTVチューナー設置勧奨業務 約0.5万件
アウトバウンドテレマ業務:氏名、電話番号、携帯電話番号、郵便番号、契約者住所、契約者性別(2015年4月~2015年6月委託)

スマホ・光乗り換えサポート事務局業務:氏名、電話番号、郵便番号、契約者住所、プロバイダ名(2018年3月~2020年8月委託)

ひかりTVチューナー設置勧奨業務:氏名、電話番号、郵便番号、設置住所、チューナー機種名、ISP-ID、ユーザID(2019年12月~2020年1月委託)
外部流出情報なし 10月11日報告受領で判明
188,507件 会員ID、氏名、電話番号、郵便番号、住所、性別、年齢、生年月日 流出あり 10月2日報告受領し判明
記載なし(調査中) 氏名、住所、電話番号、生年月日、性別、ユーザID
(TNCインターネット接続サービス「フレッツ光対応サービス」テレマーケティング業務 2015年3月~2016年6月委託)
記載なし 報告受領し判明
約14万件 氏名、住所、電話番号、生年月日、性別、メールアドレス等
(「So-net 光」関連業務を委託)
記載なし 10月16日報告受領し判明
88,195件 氏名、住所、電話番号、生年月日、性別、年齢、初回購入日、最終購入日、購入回数、お客様番号、会員ステージ 記載なし 記載なし
約4万件 氏名、住所、電話番号
(「@nifty光」の工事調整業務 2016年3月~2019年1月委託)
第三者への流出なし 10月16日報告受領し判明
約1.2万件 氏名(契約者・申込者)、住所、電話番号、郵便番号、生年月日、建物種別、東西区分、SEQNO、申込日、申込プラン
(Marubeniひかりサービスの注文申込受付業務 2015年12月7日~2016年10月18日委託)
記載なし 記載なし
約3万件 氏名、住所、電話番号、年齢、性別
(一部の業務2021年12月まで委託)
記載なし 報告受領し判明
約6万件 氏名、住所、電話番号、代表者、TMTプラン、通信会社名、プロバイダ名等
(プラチナ光契約獲得に向けたアウトバウンドテレマに関する業務委託)
記載なし 記載なし
約4万件 氏名、住所、電話番号、生年月日、郵便番号、性別
(「WOWOW15日間無料体験」のテレマーケティング業務 2018年6月まで委託)
記載なし 10月16日報告受領し判明
記載なし 氏名、住所、電話番号、生年月日、会員番号
(コンタクトレンズケア用品宅配サービステレマーケティング業務2023年3月まで委託)
記載なし 記載なし
約5万件 氏名、住所、電話番号、生年月日、郵便番号
(奨学金相談センターの設置及び運営業務委託)
悪用情報なし 10月12日報告受領し判明
約7千件 氏名、電話番号、性別、生年月日、年度末年齢、郵便番号、住所、方書
(特定健康診査未受診者への受信勧奨業務 2017年9月~2018年3月委託)
報告以上の情報把握せず 10月16日報告受領し判明
約8千件 氏名、住所、電話番号、生年月日、性別、保険証記号番号、2014年度特定健康診査受信有無
(特定健康診査の受診勧奨業務 2015年度委託)
記載なし 記載なし
約5万件 氏名、住所、電話番号、性別、年齢
(特定健康診査未受診者電話勧奨業務 2015年度委託)
記載なし 10月16日報告受領し判明
3,196件 氏名、住所、電話番号、生年月日、郵便番号、性別、方書
(平成29年度特定健診電話受診勧奨業務 2017年年度委託)
記載なし 10月18日報告受領し判明
約5万件 氏名、住所、電話番号、年齢、性別
(特定健康診査等電話勧奨業務委託 2016年6月~2016年12月委託)
記載なし 報告受領し判明
約3千件 氏名、電話番号、生年月日、電話番号
(特定健診の未受診者に対するコールセンター業務 2015年12月~2016年3月委託)
流出情報なし 報告受領し判明
133,655件 氏名、電話番号、郵便番号、住所、年齢、生年月日
(自動車税に関する納税者業務委託)
記載なし 10月13日報告受領し判明
約4千件 氏名、住所、電話番号、生年月日、年齢、性別
(半田市国民健康保険特定健康診査受診勧奨業務委託 2017年7月~9月委託)
流出情報なし 記載なし
約3万件
(電話番号での名寄せで1万件)
氏名、住所、電話番号、性別、年齢、生年月日、特定健診の受診券番号等
(特定健康診査、特定保健指導の受診勧奨業務 2013年~2015年、2017年、2018年委託)
記載なし 記載なし
約3万件 氏名、住所、電話番号、生年月日等
(国民健康保険特定健康診査受診勧奨等の業務 2018年8月~2019年12月委託)
悪用情報なし
対象者特定されず
記載なし
約8千件 氏名、電話番号、生年月日、性別等
(国民健康保険特定健康診査受診勧奨業務 2013年9月12日~27日委託)
記載なし 10月16日報告受領し判明
約5千件 氏名、住所、電話番号、生年月日、性別、年齢
(特定健康診査受診勧奨業務 2014年度委託)
流出情報なし 記載なし
69,239万件 氏名、住所、電話番号、生年月日、性別
(がん検診総合相談センター設置・運営業務 2017年5月~2022年3月委託)
悪用情報なし 10月16日報告受領し判明
約1万5千件(2017年11月2日頃流出終期の可能性) 氏名、住所、電話番号、生年月日、年齢
(特定健康診査受診電話勧奨業務 2016年度委託)
記載なし 10月16日報告受領し判明
572件 氏名、住所、電話番号、生年月日
(市税集中電話催告業務 2017年9月~12月委託)
悪用情報なし 確認し判明
約3千件 指名、住所、電話番号、生年月日、性別
(特定検診未受診者勧奨業務 2015年度委託)
記載なし 報告受領し判明
約2,400件 氏名、住所、電話番号、郵便番号等
(PCB含有安定器等の保有に関するフォローアップ調査業務 2020年11月8日~2021年3月23日再委託)
記載なし 10月13日報告受領し判明

関連して公表した地方公共団体:、、、、、、、、、、、、、
約3万件 氏名、住所、電話番号、生年月日、性別
(特定健診等受診電話勧奨および国民健康保険料電話催告業務委託)
記載なし 10月16日報告受領し判明
約1.5万件 氏名、住所、電話番号、生年月日、郵便番号、性別
(共済掛金振替日の変更案内業務 2018年8月委託)
記載なし 10月16日報告受領し判明


対象地方公共団体等:
、、、、、、、、、、、、、、、、、、、、、、、、、、
最大延べ約48.3万件 氏名、住所、電話番号、性別、年齢
(国民健康保険特定健診受診率向上に向けた受診勧奨の共同実施(コールセンター)業務 2015年~2019年度、2021年度再委託)
記載なし 10月12日報告受領し判明
約4千件 氏名、住所、電話番号、性別、年代、登録日
(特定健康診査の受診勧奨業務 2016年度委託)
悪用情報なしと報道 記載なし
2,052件 氏名、住所、電話番号、生年月日、性別、年齢
(特定健康診査電話勧奨業務 2017年度委託)
悪用情報なし 報告受領し判明
約4千件 氏名、住所、電話番号、年齢、性別、世帯主名
(国民健康保険特定健康診査受診勧奨電話業務 2013,2014年度委託)
流出情報なし 記載なし
3,192件(重複あり) 氏名、住所、電話番号、生年月日、郵便番号
(税料金の未納付者に対する納付勧奨業務 2018年度、2019年度委託)
記載なし 報告受領し判明
延べ851件(720人分) 氏名、住所、電話番号、生年月日、郵便番号
(市税等コールセンター運営業務 2018年度委託)
記載なし 10月12日報告受領し判明
約5千件 氏名、住所、電話番号、生年月日、性別、年齢、郵便番号
(国民健康保険特定健康診査受診勧奨業務 2015~2017年度委託)
記載なし 報告受領し判明
1,334件(死亡者、転出者含む) 氏名、住所、電話番号、生年月日、郵便番号、性別、年齢、方書
(国保特定健診未受診者電話勧奨業務 2015年度再委託)
記載なし 報告受領し判明
約2千件 氏名、住所、電話番号、生年月日、性別、年齢、郵便番号
(国民健康保険特定健康診査未受診者勧奨業務及び納税コールセンター業務 2017年12月18日~2019年2月18日委託)
記載なし 記載なし
約3千件 氏名、住所、電話番号、生年月日、性別、年齢、郵便番号
(国民健康保険特定健康診査受診勧奨業務 2016年9月、2021年9月委託)
記載なし 記載なし
約2千件 氏名、住所、電話番号、生年月日、郵便番号、年齢、性別
(がん検診受診勧奨業務 2014年~2019年委託)
悪用情報報告なし 報告受領し判明
3,071件 氏名、住所、電話番号、生年月日、年齢、郵便番号(一部項目がない等データごとに対象項目が異なる)
(特定検診未受診者勧奨業務 2016年8月26日~12月28日まで委託)
流出情報なし 記載なし
約6.5万件(精査中) 氏名、住所、電話番号、生年月日
(自動車税に係るコールセンター業務 2013,2014年度委託)
悪用情報なし 報告受領し判明

関連タイムライン

日時 出来事
2008年6月 コールセンターシステムの運用保守管理担当に元派遣社員がアサインされる。
2013年3月 元派遣社員による不正な持ち出し行為が始まったとみられる。
2022年1月~3月 山田養蜂場に対して他社から勧誘電話がかかってくるとの問い合わせが相次ぐ。
2022年3月下旬 山田養蜂場が岡山県警に被害相談。*14
2022年4月 山田養蜂場より自社の顧客情報が流出している疑念についてNTTマーケティングアクトProCXへ連絡。
2社で流出疑念に対する内部調査を実施するも事実確認に至らず。
2022年7月 NTTマーケティングアクトProCXより流出の事実はないと山田養蜂場へ回答。
2023年7月 利用組織より警察による捜査が行われていると報告。*15
2023年7月13日 NTTビジネスソリューションズに対し警察が不正競争防止法違反の容疑で捜索。
2023年7月 元派遣社員がNTTビジネスソリューションズでの勤務を終了。
2023年9月28日、10月9日 不正行為の影響を受けた顧客企業を特定。
2023年10月17日 2社が元派遣社員による不正持ち出し行為による情報流出について公表。
2023年10月20日 大阪市内のイベントで親会社のNTT西日本社長が今回の不正事案について陳謝。*16
2023年11月7日 NTT社長が今回の不正事案について陳謝。

公式発表

  • 2023年10月17日
  • (別添資料) [PDF]

更新履歴

  • 2023年10月18日 AM 新規作成
  • 2023年10月18日 AM 影響を受けた顧客組織を追加、重複ありとの公表が見受けられるため対象数を人→件へ表記修正
  • 2023年10月19日 PM 続報反映(山田養蜂場関連)
  • 2023年11月8日 AM 続報反映(NTTグループの再発防止等)

*1:,日本経済新聞,2023年10月19日

*2:,読売新聞,2023年10月20日

*3:,共同通信,2023年10月17日

*4:,時事通信,2023年10月17日

*5:,産経新聞,2023年10月17日

*6:,朝日新聞,2023年10月17日

*7:,KBC,2023年10月17日

*8:,日経クロステック,2023年10月17日

*9:,毎日新聞,2023年11月7日

*10:,NHK,2023年10月17日

*11:,日本経済新聞,2023年10月17日

*12:,MBS,2023年10月17日

*13:,静岡新聞,2023年10月20日

*14:,産経新聞,2023年10月20日

*15:,TBS,2023年10月17日

*16:,朝日新聞,2023年10月20日