NTT、各社ごとに重要情報漏えい対策を推進 「USBメモリの使用禁止」も

[金子麟太郎，ITmedia]

　NTTグループは2024年3月8日、NTT西日本子会社のNTTマーケティングアクトProCXで個人情報が流出した問題を受け、再発防止を徹底する考えを示した。

　不正に持ち出されたのは、NTTマーケティングアクトProCXにテレマーケティング業務を委託していた一部クライアントの情報だったが、後にNTTドコモのユーザー情報が含まれていることが発覚した。

• →ドコモユーザーの個人情報流出　NTT西日本子会社の元派遣社員が不正持ち出し
• →NTT西日本子会社で約900万件の個人情報流出　元派遣社員が不正持ち出し

　NTTが2023年11月7日に開催した記者向けの決算説明会では、島田明社長が「業務においてUSBメモリの使用を原則禁止していたが、一切禁止にしていく必要がある。例外的に使わざるを得ない場合は許可を取るようにしていく」ことを明らかにした。

USBメモリの使用を禁止するNTT

　NTTグループCISO（Chief Information Security Officer）の横浜信一氏は、今回の問題について、「内部不正という、必ずしもITやセキュリティだけでなく、労務や法務、内部監査など、複合的な要因が絡み合ったもの」とする。

　「ルールはあったものの、守られていなかった」という実態を受け、NTTグループは、緊急対策として内部不正による情報流出に関わる項目の順守状況を確認、不備部分については、「2023年内に対処した」としている。

　加えて、NTTグループ各社は、業内容も異なることから、考慮すべき点は持株会社から指示した上で、各社ごとに重要情報漏えい対策を推進する方針を示す。

　国内事業会社（直接帰属24社と、そのグループ会社）は、24年度事業計画の一環として再発防止策に努めるとしている。今後、NTTデータインクなど、海外の事業会社でも、「国内と同様の再発防止策を徹底」（同氏）するため、既に海外事業会社のCISOとも協議を進めているという。

USBメモリの使用禁止については、再発防止策の例に盛り込まれている

　NTTグループは、再発防止策を通じて、セキュリティレベルを継続的に強化、向上させるとしている。