NTTドコモグループで発生した情報漏洩事件まとめ|サイバーセキュリティ.com

NTTドコモグループで発生した情報漏洩事件まとめ



情報セキュリティ関連のインシデント事故についてある程度詳しい人であれば、「協力会社」や「業務委託」などの従業員が関わっていることに気づかれているのではないでしょうか。

NTTドコモはこれまでいくつかのセキュリティ事故を経験してきています。今回は、これらを取り上げて、正規雇用、業務委託、派遣、など多種多様な雇用形態の社員が存在する中でのセキュリティ事故への対応と情報管理のあり方について考えてみましょう。

NTTドコモグループで起きた情報漏洩事件

今回はNTTドコモグループ3社の例を挙げてみます。

NTTドコモ関西

2006年8月26日 ドコモショップ草津駅前店の元スタッフが契約者情報をドコモ関西の顧客情報管理システム上で検索
→不正に情報を取得し、外部に流出させたと考えられる。
2006年8月29日 契約者から住所などの情報漏えいの指摘があり発覚
2007年2月2日 ドコモ関西は不正競争防止法違反で元スタッフを告訴
→12月3日に東京地検より不起訴(起訴猶予)処分との通知がなされた。

この事例の犯人は「元スタッフ」ということになっていますが、新聞報道などでは、パナソニック・テレコムに窓口業務担当として派遣された社員と言われています。

NTTドコモ(業務委託先会社社員のケース)

2005年4月21日 威力業務妨害罪の容疑で警視庁に逮捕
→中越地震の被災地域で料金減免措置を行った顧客の一部と2004年12月1日から23日にFOMAデータ通信でナビダイヤルを利用した関東甲信越のユーザーの個人情報2万4,632件が流出したというもの。

こちらはNTTドコモに業務委託をされた社員が行ったことになっています。

NTTドコモ九州(北九州支店に勤務していた派遣社員のケース)

2004年9月28日 元派遣社員が詐欺幇助の疑いで警視庁に逮捕
→2003年4月から6月まで北九州支店に勤務していた際に、クレジットカードの番号を取得、外部の詐欺グループに売り渡したという。

このように、NTTドコモグループでは同時期に立て続けに、外部委託や派遣社員が行ったセキュリティ事故の発生がありました。

事件が起きた原因(問題点)

NTTドコモグループで発生したこれらの事例を詳しくみてみると、いずれも派遣社員等が個人情報に簡単にアクセスできてしまっているところに問題があると考えざるを得ません。

したがって、事件の再発を防ぐには情報を管理する体制を明確にすると同時に適切にアクセス権限を設定して、権限のないものが情報にアクセスできないようにする必要があります。

漏洩した情報

今回のNTTドコモグループ各社で漏えいした情報は、顧客の氏名や住所といった個人情報です。さらにNTTドコモ九州のケースではクレジットカードの情報まで漏えいしてしまいました。

事件後の対応

各社の事件後の対応は総じて、「事件発生の公表」と「漏えいの犯人に対する責任の追求」にまとめられています。事件の発表や、犯人の逮捕・訴訟といった一連の対応は比較的迅速に行われています。

ここまでは一般的な対応と言えるのですが、同社はこれらの事件を契機として各グループ会社を統合することとなりました。これによって、全社統合型で情報の管理や運用に対してより適切に行うことができるようになったと考えられます。

まとめ

NTTドコモグループ各社で発生した一連の情報漏えい事件は、業務委託や派遣で来ていた社員によって引き起こされたものとなっています。

しかし、重要なことは業務委託や派遣社員が情報を漏えいしたことからNTTドコモには責任がないということではなく、情報を管理するのは同社であり、あくまでNTTドコモに背責任があるということです。これらの事件の最大の原因は、管理されるべき個人情報が十分管理されず、誰しもがアクセスできる状態になっていたことです。

高度な情報である個人情報は、マイナンバーの安全管理措置規程にもあるように「扱う者」「体制」を明確にし、“許可されたもののみが適切に使えるようにする”必要があります。

そういう意味では、この後にグループ会社の統合を行なったNTTドコモグループはこれらをより適切に実施していく責務があると考えられます。


SNSでもご購読できます。