西日本電信電話株式会社の子会社で働いていた元派遣社員が約900万件の顧客情報を不正流出させた事案は大きく報道されました。
本メルマガを購読されている方々もこの事案のことはご存じの方も多いと思います。
今回、関係する会社による情報やインターネットにある情報を基に「事案を発生させない為に何ができたか」などについて考えて行きたいと思います。
今回の事案の構図はどうなってる?
まず今回の情報漏洩に関する構図について整理したいと思います。
今回の事案に登場する会社は3社あります。
1.西日本電信電話株式会社(以下「NTT西日本」)
2.株式会社NTTマーケティングアクトProCX(以下「ProCX」)
3.NTTビジネスソリューションズ株式会社(以下「BS」)
ProCXはコンタクトセンター業務を行っており、BSがProCXに対してコンタクトセンターのシステムを提供しています。
またProCXはNTT西日本を含む企業や自治体などの顧客からテレマーケティング業務を受託しています。
※テレマーケティング業務
電話を使った自社の見込み客に対して、商品やサービスなどの販売促進活動を行う営業手法のこと
下図に示すように、NTT西日本、ProCX、そしてBSの3社が関与しています。
<顧客>
・企業や自治体(NTT西日本の顧客も含まれる)
↓
↓業務委託
↓
・ProCX
↑
↑システム保守管理
↑
・BS
※この部署に勤務していた元派遣社員が顧客情報をUSBにダウンロードし、名簿販売業者に情報を渡した
個人情報はどのように持ち出された!?
ProCXのWebサイトの10月17日付けニュースリリースで原因や今後の対策等が掲載されています。
個人情報を不正に持ち出したのは、BSに派遣されていた元派遣社員でProCXはBSのコンタクトセンターシステムを運用・保守していました。
この元派遣社員はシステム管理者のアカウントを不正に使用して、個人情報が格納されたサーバに不正にアクセスし、保守作業で使用する端末にダウンロード、更にUSBメモリに個人情報を移し持ち出し、外部の第三者に渡したと見られています。
ProCXの報告書によりますと情報が持ち出された原因は以下の通りでした。
1.保守作業端末にダウンロード可能になっていた
2.保守作業端末に外部記憶媒体を接続し、データを持ち出すことが可能となっていた。
3.セキュリティリスクが大きいと想定される振る舞いをタイムリーに検知できていなかった。
4.各種ログ等の定期的なチェックが十分でなかった。
なるほど。個人情報を多数扱う業務を行っている事を考えると、必要な対策がされていなかったと言わざるを得ないと思います。
今回注目すべき点は!?
今回の事案の注目すべき点は幾つかあります。
1.情報漏洩の規模は約900万件という膨大な数
→2014年6月に発生した株式会社ベネッセコーポレーションにおける約3,504万件の情報漏洩と比較すると少ないのですが、絶対的な件数としては膨大な件数です。
2.不正に情報が持ち出された期間が約8年と長期間に渡る
→2014年4月から2022年3月の間に断続的に情報が不正に持ち出された
3.顧客から情報漏洩の可能性を指摘されていた
→コールセンター業務を委託していた企業から2022年1月~3月にその企業の顧客から「他者から勧誘の電話があったが情報漏洩していないか」との問い合わせがあり、同4月にProCXに調査を依頼。ProCXは同7月に「漏洩に関する事実はない」と回答した。
まず2.について情報セキュリティマネジメントシステム(ISMS)の認証取得について調べたところ、ProCXとBSは一体となって認証を取得していたようです。
ISMS認証には内部監査を行う規定があり、ProCXやBSの業務内容とそのシステムにおける情報の管理、セキュリティ対策などを監査して行けばリスクが存在していることは十分に指摘できたのではないか、という点が気になります。
今回情報漏洩の期間が約8年と長いことから、内部監査で指摘されたことを少しずつでも改善させていれば、このような長期間に渡る情報漏洩にはならなかったかもしれません。
また、顧客から情報漏洩の可能性を指摘されていたにも関わらず、その事実を認識できなかったことも注目すべき点です。
情報漏洩の可能性を指摘されることは、それなりの理由があったと推測されますが、ProCXが調査を行った結果で漏洩の事実は無いと回答したことから、システムの操作ログやファイルの保存に関するログなどが正しく収集および保管されていなかった可能性もあります。
事案を発生させないために何ができたか!?
ProCXの報告書には、原因に対する対処として技術的な対処だけではなく、管理面での強化策も示されています。
しかしながら今回の事案のキーワードに「管理者アカウントを利用して」とあり、管理者アカウントを利用すれば、極端に言えば「なんでもできてしまう」ことにあります。
仮にコールセンターのシステムの顧客情報にアクセスできる「管理者アカウント」を使える社員において、仮に顧客情報を取り出すことができても、その部分と普段の運用保守業務に利用する端末から更に顧客情報を持ち出すことは別な次元と考える事はできると思います。
つまりは、コールセンターに関するシステムの管理者と、普段運用保守業務に関わる端末などの仕組みのシステム管理者を分けることで「勝手なことはさせない、できない」2段構えの対策も有効であると思います。
もちろん必要なログの取得や、不正な情報の持ち出しができない仕組みの導入のほか、ログの監査、そして仕組み自体のリスクが無いかなどの内部監査の実施と、その報告を社員にする事での不正ができない、してもその事は分かるということをアピールして不正を行わさせない環境作りも重要ではないでしょうか。
今回の事案は決して対岸の火事では無いと思います。
本事案については継続して見て行き、必要に応じて報告したいと思います。