USBメモリーは原則禁止→全面禁止に NTT西子会社の情報漏えいで、NTT島田社長が表明

[山川晶之，ITmedia]

　11月7日に開かれたNTTの2023年度第2四半期決算会見では、NTT西日本グループ企業で発生した情報漏えいに関する質問が記者から飛び出した。これに対し同社の島田社長は「誠に申し訳ない」と謝罪。社内で定められた情報管理に関するルールの再確認と恒久的な対策の実施を明言した。

NTT代表取締役社長の島田明氏（写真：NTTドコモ提供）

　この漏えい問題はNTTマーケティングアクトProCXが発表したもので、コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズの元派遣社員が、クライアントから預かっていた顧客情報900万件を不正に持ち出していたとされている。これにより、NTTドコモなどのグループ企業やWOWOW、福岡県といった自治体の情報にも影響が出たことが分かっている。

テレマーケティング業務を委託されたNTTマーケティングアクトProCXは、NTTビジネスソリューションズ（NTT BS）のコールセンターシステムを利用。情報漏えいはNTT BSの元派遣社員が起こしたという

元派遣社員は管理者アカウントを悪用し、データが保管されていたサーバにアクセス。業務端末から情報を持ち出していたという

　島田社長は「グループの中で規定、ルール化はいろいろしていた」「記録媒体は持ち込んではいけない、振る舞い検知のソフトを入れないといけない、ログをしっかり残さないといけないなどのルールはできていたが、実際のガバナンスが効いていなかったのは非常に反省している」「現在、緊急対応としてグループ全社に対し、（ルールが）的確に実施されているのかをまず確認し、課題があれば適切に、早急に見直していく」と回答した。

　あわせて恒久的な対策も検討を進めている。「USBメモリみたいなものは、今までも業務の中で原則使わないようにしていたが、原則をとって一切使わない形にする。例外的に使わざるを得ない場合は、限定して許可を取る形にする」という。また「振る舞い検知は2020年6月に、特にお客様絡みのシステムには導入するというのも持株から指示が出ていたが、それも守られていなかった」とし、この2点を徹底。内部統制の監査も含めて対応するとしている。

ProCXは原因として、外部記録媒体を接続できていたこと、振る舞い検知がタイムリーに出来ていなかったこと、ログの定期的チェックが十分ではなかったことなどを挙げていた